Il GDPR si avvicina, ma un dirigente su cinque ne ignora l’importanza
Molti decision-maker aziendali nel mondo non sono consapevoli delle implicazioni del Regolamento europeo in materia di protezione dei dati personali (GDPR, General Data Protection Regulation), nonché di altre normative come PCI-DSS e ISO27001/2, tanto che uno su cinque ammette di non sapere a quali normative è soggetta la propria organizzazione.
È uno dei risultati ottenuti dal report Risk:Value 2017 commissionato da NTT Security a Vanson Bourne e condotto tra 1.350 dirigenti non IT in 11 Paesi. Il sondaggio rivela che solo quattro intervistati su dieci (40%) a livello globale ritengono che la loro organizzazione sarà soggetta al GDPR, anche se il dato forse più preoccupante è che uno su cinque (19%) ammette di non sapere a quali normative è soggetta l’organizzazione.
Nel Regno Unito solo il 39% degli intervistati attualmente considera il GDPR un problema di conformità e il 20% ammette di non saperne niente, mentre al di fuori dell’Europa il livello di consapevolezza è perfino inferiore. Appena un quarto dei decision-maker aziendali negli Stati Uniti, il 26% in Australia e il 29% a Hong Kong ritiene infatti di essere soggetto a GDPR, sebbene queste norme saranno applicabili a qualsiasi azienda che tratta dati di cittadini europei.
Il GDPR sarà direttamente applicabile dal 25 maggio 2018 e il tempo rimasto per garantire la conformità ai nuovi rigorosi requisiti sulla protezione dei dati è quindi meno di un anno. Sono previste sanzioni fino a 20 milioni di euro o pari al 4% del fatturato annuo globale.
Analizzando la maturità di trattamento dei dati, il report Risk:Value rivela anche che un terzo degli intervistati non sa dove siano archiviati i dati dell’azienda, mentre appena il 47% afferma che tutti i dati critici sono archiviati in modo sicuro. Di quelli che sanno dove sono archiviati i dati, meno della metà (45%) si definisce “completamente consapevole” del modo in cui i nuovi requisiti normativi avranno effetto sull’archiviazione dei dati nella loro organizzazione.
Il maggior livello di conoscenza e consapevolezza in tal senso è stato registrato tra le organizzazioni nel settore bancario e dei servizi finanziari, e in quello delle tecnologie e dei servizi informatici. Un intervistato su otto ritiene inoltre che la scarsa sicurezza delle informazioni rappresenti il singolo rischio di maggiore entità per l’organizzazione. Il rischio segnalato più di frequente è l’acquisizione di quote di mercato da parte dei concorrenti (28%).
Gli intervistati stimano che in media solo il 15% del budget IT in azienda venga speso per la sicurezza delle informazioni, benché questo valore sia aumentato rispetto al 13% nel 2015 e al 10% nel 2014. Molti indicano come la spesa per la sicurezza sia inferiore a quella per le attività di ricerca e sviluppo (31%), vendita (28%) e marketing (27%).
Meno della metà (48%) delle organizzazioni ha infine un piano di risposta agli incidenti, anche se il 31% ne sta implementando uno. Tuttavia, solo il 47% dei decision-maker intervistati sa con precisione che cosa preveda il piano di risposta agli incidenti.