Privacy, come affrontare il percorso verso la sicurezza in quattro fasi
Gli specialisti di Securbee illustrano la case history di Mediagraf
Piccoli step, formazione e condivisione con i dipendenti: così, per l'azienda di stampa di Padova con oltre 150 risorse, mettersi in regola con il GDPR diventa l'occasione per fare un salto culturale. Securbee individua i passi necessari, li traduce in realtà e prepara l'azienda a gestire privacy e sicurezza dati nel tempo
Se non adeguate, le imprese rischiano sanzioni (fino a 20 milioni di euro o il 4% del fatturato totale) e, negli ultimi mesi, c'è stata la corsa a mettersi in regola, spesso in modo grossolano. Non ha fatto così Mediagraf, azienda di stampa roto-offset, offset e digitale di Noventa Padovana, con oltre 150 dipendenti, che ha deciso di prendere sul serio la questione: «Fra le imprese si era creato un certo clima di "terrorismo" – ammette Angelo Juliani, HR Manager di Mediagraf –. Subito dopo l'entrata in vigore del Regolamento Europeo, il 25 maggio, circolavano informative incomprensibili e molti punti sono stati chiariti solo con il recente decreto attuativo. Data la complessità della materia noi di Medigraf abbiamo deciso di muoverci in modo ragionato, andando oltre la mera questione burocratica e cogliendo l'occasione di realizzare un vero cambiamento culturale».
Per affrontare l'adeguamento Mediagraf ha cominciato a documentarsi e informarsi sui fornitori per l'information security e la GDPR compliance nello specifico. La scelta è caduta su Securbee, società di Udine che si occupa di consulenza e servizi nell'ambito della cyber sicurezza, raggruppando al suo interno alcuni dei maggiori specialisti del settore. Insieme, Mediagraf e Securbee hanno impostato un percorso in quattro fasi che ha permesso di lavorare in modo efficace e con benefici per tutta l'organizzazione.
Fase 1: valutazioni preliminari – Il primo passo è stato quello della valutazione dello stato di maturità degli aspetti di privacy presenti in azienda, per cui Securbee fornisce un apposito servizio di GDPR Check Assessment: si tratta di capire quanti e quali dati personali sono presenti all'interno dell'organizzazione, per quale motivo sono raccolti, dove si trovano e chi li gestisce. «Questa fase è importante anche per evitare all'azienda dispendi inutili di energie e risorse, individuare i passi realmente necessari e le persone che occorre coinvolgere – spiega Manuel Cacitti, CEO di Securbee –. Con Mediagraf siamo partiti dall'acquisizione di tutti i documenti utili, primo fra tutti il Documento programmatico sulla sicurezza; successivamente abbiamo realizzato interviste ai responsabili dei diversi reparti e infine abbiamo fornito un report che evidenziava i gap da colmare per l'adeguamento al GDPR».
Fase 2: implementazione dei nuovi processi – Per la fase operativa Mediagraf ha continuato a collaborare con Securbee, forte di un team che era al corrente dello stato dell'arte all'interno dell'organizzazione e quindi poteva attuare interventi veloci e consapevoli. In questa fase, oltre a definire la propria politica di protezione dati, Mediagraf ha predisposto il registro dei trattamenti: «Uno strumento non obbligatorio, nel caso specifico di questa organizzazione, ma indispensabile per riassumere tutte le attività di trattamento di dati personali eseguite in azienda e facilitare il rapporto con gli organi di controllo in caso di ispezione» spiega Manuel Cacitti. Sempre in questa fase, Mediagraf ha predisposto l'accordo sindacale in vista del provvedimento del garante sulla videosorveglianza, accordo necessario in presenza di telecamere anche quando i dipendenti non vengono ripresi sulle loro postazioni di lavoro.
Fase 3: valutazione dei fornitori – Terminata la prima fase di lavoro e designato internamente il soggetto per il trattamento dei dati, un'operazione importante e delicata per Mediagraf consiste nel replicare queste attività per i responsabili (esterni). «La nostra azienda lavora con una serie di indirizzari per il recapito di riviste e altri materiali, e talvolta si rivolge a terzi per alcuni processi comeimbustamento e cellophanatura: questo ha rappresentato un aspetto critico nella gestione dei dati personali – spiega Angelo Juliani –. Dobbiamo quindi accertarci che i nostri fornitori siano in grado di trattare le informazioni dei clienti in sicurezza». Per farlo, Mediagraf ha messo a punto con Securbee un formulario e una serie di processi di verifica per assicurarsi della compliance dei fornitori.
Fase 4: aggiornamento delle politiche di IT security – Mediagraf possiede già un sistema di sicurezza dati e, nella quarta e ultima fase del lavoro sulla GDPR compliance, valuterà assieme a Securbee eventuali altre implementazioni tecnologiche per aumentare il livello di protezione, soprattutto in merito a data breach o portabilità degli stessi, cioè del trasferimento dei dati dei clienti a un altro fornitore.
In tutto questo percorso, la condivisione con i dipendenti e la formazione sono stati nodi cruciali. La funzione HR dell'azienda ha quindi lavorato di concerto con i responsabili IT, operando con una visione strategica. «Abbiamo affrontato la sfida non tanto per evitare sanzioni, ma per riordinare alcuni processi aziendali, e abbiamo deciso di fare le cose bene e con i tempi giusti – conclude Juliani –. Di questo vediamo effetti positivi già ora, con la crescita della consapevolezza dei dipendenti verso il business, a 360 gradi. E, per il futuro, mi aspetto ulteriori benefici».
L'attenzione alla sicurezza, inoltre, è un elemento importante per la competitività. «In Italia il cyber crimine, secondo il Rapporto Clusit 2018, causa danni per 10 miliardi di euro l'anno – sottolinea il CEO di Securbee Manuel Cacitti –. E al danno economico diretto per le aziende si aggiunge anche quello reputazionale, presso clienti, partner e fornitori che subiscono interruzioni del servizio o scoprono che i dati che li riguardano sono stati persi o trafugati».
securbee è una società nata nel 2017 che si occupa di consulenza e servizi nell'ambito della cyber security, raggruppando al suo interno alcuni dei maggiori specialisti del settore. Con sedi a Udine, Treviso, Trieste, Bologna e Bergamo, Firenze, Ferrara, securbee è un punto di riferimento per numerosi clienti che operano nel mercato dei servizi finanziari, della sicurezza e della tecnologia, a conferma dell'autorevolezza che la giovane società ha già acquisito anche presso aziende partner e di settori affini.
Manuel Cacitti, uno dei fondatori e CEO di securbee, è Cybersecurity Specialist e IT Security Auditor. Ha esperienza pluriennale come consulente, docente e formatore in ambito IT. È socio ItaSForum (Centro Studi per la Sicurezza), ISACA, AIP, AICA, AIIC, IISFA, Federprivacy ed è Research Fellow di IIP (Istituto Italiano per la Privacy e la Valorizzazione dei Dati). Ha conseguito le certificazioni, CISA, ITIL, ed è Lead Auditor ISO 27001e 9001.
Mediagraf S.p.A. rappresenta la risposta più efficace e innovativa nel campo della stampa tipografica e della stampa digitale, affiancando soluzioni altamente professionalizzate di comunicazione integrata e multimediale. Le radici di Mediagraf poggiano sulla secolare tradizione del Messaggero di S. Antonio e della tipografia Antoniana, pionieri nelle arti grafiche in Europa. La storia recente dell'azienda comincia oltre 30 anni fa e porta Mediagraf oggi a essere una tra le principali realtà nella stampa roto-offset e offset e dei servizi integrati per l'editoria, la grande distribuzione, la comunicazione e il terzo settore. Alla stampa tradizionale Mediagraf affianca servizi di stampa digitale e personalizzata ad alto livello tecnologico, e ricerca soluzioni creative innovative per integrare la carta stampata alle infinite potenzialità dell'ambiente web.
Nessun commento:
Posta un commento