Il GDPR è alle porte, sei pronto? E il tuo backup?

Il GDPR è alle porte, sei pronto? E il tuo backup?

Il cloud computing per le organizzazioni, imprese e Pubbliche Amministrazioni, è una chiave di volta per raggiungere obiettivi di innovazione tecnologica.
Ma il cloud è anche uno strumento efficace per una gestione dei dati sicura ed efficiente e soprattutto conforme al nuovo Regolamento Ue 2016/679, GDPR (General Data Protection Regulation).
Per comprendere al meglio le possibilità offerte dal cloud per un completo adempimento del GDPR ci soffermeremo, dopo una breve introduzione alla normativa, sul servizio di backup in cloud, un aspetto cruciale per il processo di salvaguardia dei dati.

Risk assessment e risk management

Il GDPR  è entrato in vigore come oramai noto il 25 maggio. La aziende italiane si stanno ancora organizzando per l’adempimento, preoccupate anche di essere colpite, in caso di mancato rispetto, dalle forti sanzioni che il Regolamento prevede.

IDC segnala che la spesa per adeguarsi alla normativa è arrivata a raggiungere i 161 milioni di euro. Un altro dato del Politecnico di Milano suggerisce che non tutte le imprese siano perfettamente in regola con i tempi: a febbraio, infatti, solo un’impresa su due aveva cominciato la sua preparazione. Sembrerebbe quindi che più che quest’anno sarà il prossimo ad essere determinate per l’effettivo recepimento.

Il ritardo nell’adeguamento è in qualche modo giustificato dalle difficoltà e dalla complessità della materia e dalle attività gestionali, organizzative e tecniche che la normativa impone. Il percorso ai più appare un vero e proprio tour de force.

Per districarsi meglio nell’organizzazione e nell’attuazione del provvedimento possono aiutare due concetti cruciali: il risk assessment e risk management.

Solo con una gestione oculata del rischio (risk management) e riuscendo a fornire una valutazione completa (risk assessment) dei problemi o rischi alla privacy è possibile attrezzarsi con le misure adeguate.

La “privacy by design”, perno su cui ruota l’intero impianto della normativa, significa proprio riuscire in una fase iniziale del progetto a valutare e gestire il rischio.
Le imprese devono essere capaci di raccogliere due importanti sfide lanciate dal GDPR: da una parte allinearsi al nuovo standard per la tutela dei consumatori e dall’altra rivedere all’impianto tecnologico di gestione di data protection garantendo anche quindi la business continuity. Continuità operativa che non può prescindere da attività di backup e di storage conformi alla normativa.

Il ruolo cruciale del backup nel GDPR

Razionalizzare e ottimizzare il processo di data recovery è un aspetto cruciale per un’adesione piena al Regolamento.
Per implementare una strategia di backup funzionale al GDPR ci alcuni suggerimenti che se colti possono fare davvero la differenza.
Un primo consiglio è di affidarsi alla buona regola del “backup 3-2-1”. Cosa vuol dire 3-2-1? Il 3 si riferisce alle tre copie di dati che è utile avere. Il 2 ai due supporti diversi per conservarli e last but not least 1 alla copia del backup offsite, in cloud. Altri quattro suggerimenti per iniziare fin da subito a mettersi in regola, li abbiamo raccolti da John Edwards di TechTarget.
1. Mappare
Come impone il GDPR occorre valutare i rischi per la privacy attraverso una mappatura dei flussi di dati e delle informazioni.
Un’attività che deve essere tanto dettagliata quanto accurata così da poter ricostruire fedelmente i flussi di dati che vanno dall’applicazione allo storage.
E’ importante che per ogni applicazione venga indicato uno storage fisico sia che si impieghi un file system o uno storage in cloud. Allo stesso modo ad ogni backup deve poter essere associata un’applicazione.
2. Raggiungere la responsabilità
Secondo il GDPR la responsabilità della protezione dei dati personali ricade interamente sull’organizzazione che raccoglie e archivia le informazioni dei residenti UE.
Ovviamente, quindi, è necessario che anche per il backup si abbia piena consapevolezza delle ragioni dello storage e del processo di archiviazione. In particolare, devono essere chiarite le motivazioni che hanno spinto all’acquisizione dei dati e quelle che hanno portato alla loro archiviazione, le modalità in cui i dati sono stati memorizzati, il tempo che è stato previsto per la conservazione e quali sono gli strumenti di protezione che sono utilizzati, infine la previsione e le ragioni di una loro condivisioni con parti terze.
3. Valutare le misure di protezione dei dati
L’accesso ai dato deve essere regolato da norme severe, deve essere attuato un controllo continuo ed efficace per individuare ogni violazione, e in caso per permettere immediatamente di correggere e modificare la propria strategia.
La tempistica di risposta alla violazione è un fattore determinate. Il Regolamento dà alle organizzazioni un massimo di 72 ore per segnalare le violazioni. I costi per l’inosservanza sono molto alti, non bisogna sottovalutare questo aspetto.
4. Valutazione funzionalità di ricerca, modifica ed eliminazione

Il diritto all’oblio, disciplinato dall’articolo 17 del Regolamento impone l’obbligo alle organizzazione di cancellare i dati personali dell’interessato in caso quest’ultimo lo richiedesse.

Per ciò che riguarda il backup è chiaro che bisogna assicurarsi che le funzionalità di ricerca, modifica ed eliminazione dati su richiesta siano possibili e pienamente operative.
In quest’ottica l’archivio in cloud è sicuramente una scelta più opportuna rispetto ad un archivio su nastro. La ricerca su nastro infatti richiede tempo ed è dispendiosa anche in termini di costi. Questo dato è un’ulteriore conferma che la strategia “backup 3-2-1” sia la migliore e anche prova di quanto il cloud sia prezioso nell’allineamento alla normativa.

aCloud un alleato, il cloud AWS una soluzione per il backup

In tutte le sfide c’è bisogno di un alleato, e quelle del GDPR non fanno la differenza. aCloud ha proprio l’obiettivo di guidare e semplificare il processo di adozione al cloud offrendo soluzioni tagliate a misura delle organizzazioni, imprese e Pubbliche Amministrazioni.
Il servizio di backup che aCloud propone è targato Amazon Web Services (AWS). l’eccellenza nei servizi IaaS. Il Provider garantisce la piena conformità al GDPR offrendo tutti i servizi e le soluzioni per attuarla. aCloud ti aiuta a snellire il processo di allineamento alla normativa. Insomma, cerca di rendere il processo per la conformità non un tour de force, ma una passeggiata.

Comments are closed.

Utilizzando il sito, accetti l'utilizzo dei cookie da parte nostra. maggiori informazioni

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o cliccando su "Accetta" permetti il loro utilizzo.

Chiudi