Oggi le aziende italiane mettono a disposizione dei propri dipendenti device Mobile (come notebook, smartphone, tablet e mobile business app) con rischi molto elevati, non solo per il possibile furto o smarrimento dei dispositivi stessi ma anche per i possibili attacchi cyber mirati. Da alcune recenti ricerche emerge infatti che oltre il 20% degli intervistati ha subito una violazione della sicurezza tramite dispositivi mobili. In aggiunta il nuovo Regolamento sulla Data Protection, GDPR, stabilisce sanzioni pecuniarie elevate, fino a 20 milioni di euro o al 4% del fatturato, nei casi in cui sia accertato che l’azienda non ha predisposto misure e procedure di sicurezza sufficienti nel trattamento dei dati personali.
Approfondiamo il tema con Gloria Marcoccio, Compliance & Privacy Consultant, e con Riccardo Canetta, Regional Sales Director, Italy, Turkey and Greece di MobileIron, che il prossimo 26 settembre, saranno relatori del Webinar “GDPR COMPLIANCE. PRIVACY E SICUREZZA PER IL MOBILE. Impatto e indicazioni pratiche per l’adeguamento alle norme”, organizzato da Hitachi Systems CBT in collaborazione con MobileIron e The Innovation Group.
TIG. Come ottenere la GDPR Compliance per gli ambienti Mobile? Quali sono le sue principali raccomandazioni?
Gloria Marcoccio. Occorre una elencazione delle piattaforme usate per il Mobile Management e degli ambienti aziendali accessibili tramite ambiente mobile, finalizzata a rispettare, nel contesto dei trattamenti di dati personali svolti tramite device mobili, le prescrizioni in materia di:
- Privacy By Design By Default (Art 25 del GDPR)
- Risk Analysis e conseguenti misure (art 32 del GDPR)
- Data Protection Impact Assessment ove necessario (Art 35 e 36 del GDPR)
- Pianificazione delle azioni e, in caso di Data Breach, gestione dell’evento (Art.33 e 34 del GDPR)
Il tutto sempre in stretta osservanza dei principi privacy (liceità, correttezza e trasparenza, limitazione delle finalità, minimizzazione dei dati e loro esattezza, limitazione della loro conservazione, loro integrità e riservatezza, Art. 5 del GDPR), utilizzando una appropriata base legale per i trattamenti (consenso, contratto, come da Art. 6 del GDPR).
Un’attenzione particolare deve essere rivolta agli adempimenti che riguardano gli Interessati (in questo caso in particolare i dipendenti/collaboratori che operano in contesti Mobile) e dunque l’Informativa (Art. 13 GDPR) e quanto necessario per consentire l’esercizio dei loro diritti (Art 12-21 GDPR).
Occorre poi tenere presente che, nel caso di attività aziendali condotte tramite le funzionalità di Mobile Management, tipicamente si concretizzano le condizioni di un possibile controllo remoto dei lavoratori (es. geolocalizzazione dello smartphone dell’utente per esigenze aziendali) per cui si applicano le prescrizioni di cui all’Art 4 L. 300/70 (Statuto dei lavoratori, come novellato dai decreti Jobs Act del 2015).
TIG. Con il GDPR le misure andranno commisurate ai rischi specifici per la singola organizzazione: come si traduce questo concetto in pratica?
Gloria Marcoccio. Occorre svolgere l’analisi dei rischi privacy, ossia adottare misure tenendo presenti i rischi per i diritti e le libertà degli interessati (rischi per la riservatezza, integrità e disponibilità dei dati) considerando di volta in volta il contesto di trattamento (HR, uno specifico servizio erogato on line ai clienti, ecc.). Esistono diverse metodologie che costituiscono una guida effettiva per condurre tali analisi, e le aziende devono seguire quelle che più si adattano alla sua dimensione e tipologia di business: ne parleremo senz’altro nel corso del webinar.
TIG. Gestire la Mobility dell’azienda significa spesso tenere sotto controllo una molteplicità di device con form factor, sistemi operativi, configurazioni eterogenee. Il GDPR rende ancora più complessa la gestione, dovendo applicare maggiori controlli ai dati personali. Quali sono gli elementi di una soluzione di gestione dei device mobile che secondo lei facilitano il lavoro agli amministratori, e quindi abilitano una più semplice compliance alle nuove norme?
Riccardo Canetta. Il nostro mercato è nato quando, 10 anni fa, i primi smartphone sono arrivati in azienda: ai tempi, l’esigenza era la configurazione della posta elettronica e al limite del PIN di protezione del device. Oggi, gli utenti vogliono fare tutto con smartphone e tablet: una soluzione di Enterprise Mobility Management deve quindi integrarsi facilmente con l’infrastruttura dell’azienda, in modo da poter offrire una varietà di servizi come l’accesso alla intranet, il lavoro su risorse condivise e l’assistenza remota.
La soluzione deve poi essere estremamente scalabile perché tipicamente i nostri clienti iniziano con pochi device e pochi servizi per poi ampliare il raggio di azione – basti pensare ai PC/tablet con Windows10. Infine, la soluzione deve rispettare la privacy degli utenti, consentendo alle aziende di spiegare ai propri dipendenti le politiche adottate per i dati aziendali, tranquillizzandoli al tempo stesso sul fatto che l’azienda non ha accesso alle App e ai dati personali presenti sul dispositivo.
TIG. DPO, Responsabile IT, Risk Manager: come mettere intorno a un tavolo le diverse figure aziendali richieste dal GDPR e coinvolgerle nella definizione di una soluzione di mobility sicura?
Gloria Marcoccio. Queste figure sono tutte essenziali per un effettivo governo della sicurezza delle informazioni e protezione dei dati personali in azienda. Devono interagire tra loro senza ‘invadere’ però le rispettive responsabilità: questo aspetto è particolarmente importante per la figura del DPO, il quale, ove ricorrano le condizioni per nominarlo, deve poter operare in autonomia ed indipendenza e pertanto non può assumere altri incarichi che risultino incompatibili con questo principio (il Responsabile IT NON può svolgere funzioni di DPO).
Il coordinamento di queste figure diventa poi essenziale quando occorre affrontare casi di Data Breach, oppure svolgere una Data Protection Impact Assessment, o attivare azioni verso outsourcer (ad esempio per un audit). Una possibile soluzione è quella di costituire un Comitato sicurezza&privacy nel quale DPO, Responsabile IT e Risk Manager nel concreto operano il coordinamento di azioni tra loro necessario. Compiti, responsabilità, tempistiche di incontro e mezzi messi a disposizione di un tale Comitato, vanno di volta in volta definiti in funzione delle dimensioni dell’azienda e della tipologia del suo business.
TIG. BYOD, Shadow IT: oggi non è facile separare l’utilizzo personale dall’utilizzo aziendale. Quali sono le vostre raccomandazioni alle aziende, perché riescano ad evitare i comportamenti scorretti e non compliant da parte dei dipendenti?
Riccardo Canetta. La raccomandazione numero uno è senz’altro quella di mettere in sicurezza la user experience nativa del dispositivo, cioè di offrire agli utenti ciò che loro si aspettano e non uno strumento complicato e pieno di ostacoli – questa seconda strada porta infatti inevitabilmente gli utenti a cercare soluzioni “parallele” che ormai è davvero difficile bloccare. Di recente un nostro cliente ha scoperto che i top manager della propria azienda usavano un servizio cloud personale per condividere informazioni estremamente sensibili tra loro – ma l’ha scoperto sei mesi dopo che il vecchio amministratore delegato aveva lasciato l’azienda e aveva continuato ad avere accesso a quei dati. Con MobileIron le aziende possono gestire in sicurezza anche le app che accedono ai più popolari servizi cloud come Office365, G Suite, Salesforce, Dropbox ecc. – questo significa che l’IT può cavalcare l’onda del cloud anziché cercare di fermarla.
Mancano pochi giorni al Webinar GDPR COMPLIANCE. PRIVACY E SICUREZZA PER IL MOBILE
ISCRIVITI SUBITO!!!