Business Continuity

GDPR: cosa c’è da sapere sulla profilazione di clienti e consumatori by luca nogara

25 maggio 2018 trattamento dei dati personali siti webdevono essere the eu stati membri gdpr general data protection regulation pubbliche amministrazionigenerale sulla protezione unione europea data breach propri dati personali by design tratta di dati partire dal 25 maggioviolazione dei dati titolare del trattamento regolamento ue 2016/679 sicurezza dei dat regolamento gdpr

Read More

Come e perché la trasformazione digitale impone una nuova cultura aziendale di sicurezza by luca nogara

Per Gartner entro 3 anni il 95% degli attacchi sarà colpa dei comportamenti sbagliati degli utenti. Il costo? Nel caso del furto di dati sensibili, la sanzione amministrativa oggi va da 10mila a 120mila euro. Bissel (Accenture): occorre un approccio specifico per ogni settore che tuteli l’intera catena del valore. Bechelli (Clusit): il digitale impone una comprensione più ampia dei vantaggi, ma anche dei rischi del cyberspazio

 

fonte:  digital4.biz  . l'articolo originale  qui

fonte: digital4.biz . l'articolo originale qui

 

La trasformazione digitale offre un livello di comunicazione e di interazione che non ha precedenti nella storia. Il fenomeno dell'omnicanalità riguarda le 6C di un'utenza globale: Colleghi, Collaboratori, Competitor, Clienti, Cittadini e Consumatori... Gran parte della popolazione oggi è connessa: smartphone-dotata, ma anche tablet-dotata e pc-dotata. La consumerizzazione dell'IT ha portato i dipendenti a utilizzare con disinvoltura schermi touchscreen e menu di navigazione. Crescono le installazioni interattive: totem, chioschi, tavoli, specchi, pareti portano a bordo una nuova intelligenza applicativa. Tutto questo senza corsi di formazione aziendale perché a vincere è un passaparola bimodale (off line e online). 

L'abitudine a utilizzare Internet in tutte le sue forme ha inaugurato l'economia delle App, favorendo anche una più immediata comprensione dei vantaggi associati al cloud. Con tutte le conseguenze annesse e connesse.

Secondo Gartner da qui al 2020 il 95% degli attacchi alla sicurezza sarà colpa dei comportamenti sbagliati degli utenti (Fonte: Gartner Top Prediction for IT Organizations and Users for 2016 and Beyond). Gli analisti puntano l'attenzione sull'ingenuità delle persone che, deviate dai vantaggi e dalla semplicità delle tecnologie, non si rendono conto dei rischi e nemmeno conoscono le regole base della sicurezza rispetto alla gestione delle identità e degli accessi. Dal furti di dati alla paralisi dell'attività, lo scotto da pagare è ormai noto e dovrebbe far riflettere l'intero board aziendale.

Prendiamo il caso di un’organizzazione che in Italia subisca un attacco informatico da parte di alcuni hacker che riescono ad accedere ai dati sensibili e a diffonderli via web. Al momento, se gli interessati fanno ricorso al Garante della Privacy e si scopre che il titolare del trattamento (l’azienda) non aveva adottato le misure minime di sicurezza per la protezione dei dati, prescritte all’art. 33 del Codice della Privacy (CDP), la sanzione amministrativa va da un minimo di 10.000 euro a un massimo di 120.000 euro, comminati dal Garante e senza passare dall’autorità giudiziaria, ex art. 162 c. 2-bis CDP. In sede di giudizio penale la sanzione va a sommarsi  all'Ex art. 169 CDP per cui è previsto l’arresto fino a 2 anni (a questo link, la tabella di dettaglio)

Ma le aziende sanno quanto costa il cybercrime?

Quanto costa il cybercrime alle aziende? Gli analisti parlano di 11,7 milioni di dollari per azienda, con un aumento del 23% rispetto ai 9,5 milioni di dollari registrati nel 2016 e del 62% nell’ultimo quinquennio (Fonte: “Cost of Cyber Crime Study” - Accenture e Ponemon Institute, Settembre 2017). In media un’azienda subisce 130 violazioni all’anno (+ 27,4% rispetto al 2016) che si traducono in infiltrazioni nella rete o nei sistemi aziendali.

È necessario che le organizzazioni adottino una strategia di sicurezza dinamica e agile - afferma Kelly Bissell, Managing Director di Accenture Security -, che costruisca resilienza dall’interno e non si focalizzi sulla difesa del perimetro. Occorre inoltre un approccio che sia specifico per ciascun settore e che tuteli l’intera catena del valore dell’azienda. Le conseguenze del cybercrime che le aziende subiscono a causa dei crimini informatici sono sempre più costose e devastanti, sottolineando l’importanza crescente di una pianificazione strategica e di un monitoraggio costante degli investimenti in sicurezza”.

Riportata ai suoi fondamentali, la questione è semplice: la gestione della sicurezza associata alla trasformazione digitale oggi non può essere più scaricata solo sui CIO o sui CISO che, facendo conto dei budget messi a loro disposizione, fanno miracoli per garantire la business continuity, la tutela dei dati e la protezione delle risorse aziendali.

Serve una consapevolezza più ampia e funzionale di cosa significhi risk management nell'era della trasformazione digitale, della Web Economy, delle aziende liquide e di tutti quegli orizzonti di servizio in continuo divenire che portano più fatturato ma anche più margini di rischio. È ora di lavorare a livello utente, offrendo un po' più di cultura ma anche soluzioni più puntuali in caso di perdite di dati e di fermi informatici. Serve maggiore consapevolezza a tutti i livelli dell'organizzazione.

Quando il cloud è l'abilitatore della trasformazione digitale

La questione è che non c'è trasformazione digitale senza una governance delle infrastrutture e dei servizi. L'uso del cloud, ad esempio, cresce perché economicamente più comodo, ma quasi 7 aziende su 10 nutrono ancora molte riserve. Secondo l'Osservatorio Cloud e ICT as A Service del Politecnico di Milano il 67% delle imprese indica come principale fattore di inibizione la sicurezza e la privacy.

Eppure la sicurezza viene ancora considerata una componente addizionale perché le aziende seguono ancora un approccio banalmente costruttivo: prima creo l'infrastruttura e dopo penso alla sicurezza. Questa protezione non nativa, però, ha un impatto notevole sulle aziende.

"L’Italia è uno dei Paesi in cui c’è una percentuale di adozione del cloud tra le più alte in Europa (siamo i secondi tra tutti i Paesi) - spiega Luca Bechelli, Membro del Comitato Tecnico Scientifico, CLUSIT e consulente indipendente per la sicurezza informatica -. Eppure, rispetto al cloud, ci sono ancora molti limiti a livello di vision. Le aziende che ricorrono a servizi cloud, spesso non lo fanno nel modo corretto. A questo si aggiunge il problema dello shadow IT. Quante volte i nostri colleghi, in buona fede, si portano il lavoro a casa inviando una mail d’ufficio sul proprio account privato o caricandosi su un servizio di file sharing il lavoro (magari perché non gli abbiamo fornito un’alternativa aziendale valida per fare questo mestiere)? Da qui le preoccupazioni principali delle aziende: da recenti studi è emerso che il 64% delle aziende sono preoccupate di non sapere dove sono dati importanti, perché hanno perso di vista il modo in cui le informazioni viaggiano. Insomma, lo scenario effettivamente caratterizzato da molti problemi e da un approccio disfunzionale. La questione è che l’attaccante può essere qualcuno che sta a centinaia di km da noi, ma la maggior parte degli attacchi oggi si determina perché l’utente fa click". 

 

Spostare la complessità non significa dimenticare la sicurezza

Vero è che il cloud rende talmente efficiente e facile agli utenti l’uso dei sistemi da fornire la percezione di una riduzione delle complessità e questo si traduce troppo spesso in un'adozione di pratiche povere dal punto di vista della sicurezza. Bisogna invece ricordare che la complessità c’è ancora: è solo stata spostata e l'azienda deve comunque preoccuparsi di gestire la sua parte. 

"Dall’altra parte vediamo che sono importanti le quote di altre tipologie di cloud - ribadisce Bechelli - quindi Software as a Service (SaaS) e Platform as a Service (PaaS), con modalità di servizi centrali per il funzionamento dell’azienda: CRM, ERP, amministrazione, la stessa software automation delle mail che spesso viene sottovalutata e dove si trovano i dati più critici dell’azienda perché per quanto noi pensiamo di metterli all’interno di repository protetti, poi li facciamo comunque circolare nelle varie versioni. Il tema degli endpoint che accedono al cloud non è più solo il pc, ma una serie di dispositivi fissi e mobili che vanno protetti e tutelati perché la sicurezza che potremmo denominare Agile, ancora non esiste. I dati Clusit sulla crescita del cybercrime si commentano da soli".

 

Come evidenzia Bechelli, anche le aziende che non sono in cloud sono ormai di fronte a un bivio: se sono in cloud i suoi partner, ad esempio, un'organizzazione che credeva di non essere in cloud può scoprire di esserlo.

"Dobbiamo capire oggi che la nostra azienda è cambiata - conclude l'esperto -: non ha neanche più senso parlare di azienda mobile, che lo è già per definizione dal momento che i nostri dipendenti hanno un cellulare e, trovando aperta la porta del server di mail, cominciano a scaricare la posta sul proprio device. A quel punto siamo già mobili e dobbiamo pensare in mobilità. La trasformazione digitale è un'evoluzione delle esigenze dei colleghi che vogliono essere mobili, agili e che interagiscono in molti modi con il resto del mondo: non solo dal pc blindato tradizionale, ma anche con altri media che possono essere vulnerabili ad attacchi e possono mettere in crisi l’operatività".

 

Insomma, aggiornare gli antivirus non è più sufficiente. Il board aziendale deve imparare a guardare l'azienda in modo molto diverso, andando ben oltre il tema del GDPR. La normativa che entrerà in vigore a maggio del 2018 ha il merito di aver l'attenzione sul tema della protezione dei dati offrendo l'opportunità di rivedere posizioni e policy, ma non risolve certo la totalità della governance. CFO, CEO, COO... tutti gli executive devono imparare a vivere la trasformazione digitale con una visione della sicurezza non solo più responsabile ma anche più lungimirante.

L’innovazione digitale è un gioco di squadra: entrano in campo le Line of Business by luca nogara

La digital transformation è diventata pervasiva e trasversale: nascono progetti strategici in ogni funzione aziendale, da Marketing e Vendite all'HR, fino a Procurement e Supply Chain. Cresce la collaborazione interna, perché la revisione dei processi supera la classica visione organizzativa a silos. È un cambio di passo confermato dalla presenza di budget per l'innovazione al di fuori delle direzioni ICT in oltre un terzo delle grandi imprese italiane

 

fonte:  digital4.biz  . l'articolo originale  qui

fonte: digital4.biz . l'articolo originale qui

 

La trasformazione digitale per moltissime imprese italiane è ormai un piano concreto di attività, progetti e iniziative che coinvolgono tutta l’organizzazione. L'innovazione è diventata pervasiva e ha definitivamente travalicato il confine della direzione ICT, diventando una priorità strategica per le Line of Business.

È un cambio di passo significativo, che abbiamo avuto modo di riscontrare in modo evidente negli ultimi mesipartecipando a convegni e intervistando manager di tante eccellenze italiane, soprattutto nelle grandi aziende e nelle multinazionali (anche quelle “tascabili”) del made in Italy. Tutti confermano che per restare rilevanti sul mercato non solo serve uno sforzo per rivedere prodotti, processi e modelli di business. Serve anche ripensare il concetto stesso di innovazione. Se fino a pochi anni fa erano soltanto i CIO a guidare i progetti che prevedono l’adozione di nuove tecnologie, oggi sono i manager di Line – affiancati dalle direzioni ICT – i principali promotori di iniziative di digitalizzazione e ridisegno dei processi che sono chiamati a governare: è così nel Marketing e nelle vendite, impegnati in progetti omnichannel e per migliorare la customer experience; nelle direzioni HR, chiamate a colmare i gap di competenze digitali o ad adottare nuovi tool di HCM a supporto dei processi; è sempre più vero per i responsabili Procurement e Supply Chain, dove l’uso di piattaforme online B2B garantisce risparmi importanti, trasparenza e velocità.

In questi progetti, tutte le divisioni sono spesso coinvolte in modo collaborativo: la revisione profonda dei processi in chiave digitale e la ricerca di soluzioni innovative che diano slancio alle aziende non possono essere più gestiti nella tradizionale visione a silos, ma richiedono commitment a tutti i livelli apicali, incluso il top management.

 

Ma c’è di più. Si è diffusa con forza la consapevolezza che per fronteggiare giovani e agili concorrenti, società nate in questi ultimi anni con un dna al 100% digitale (una minaccia che spesso arriva da settori anche molto distanti da quello in cui le imprese hanno operato per lungo tempo) serve uno scatto in avanti in termini di cultura, che significa non solo competenze digitali e famigliarità con servizi e tecnologie di nuova generazione, ma anche spirito imprenditoriale, pensiero laterale e creatività. Ora che l’innovazione digitale è diventata trasversale, il concetto stesso di competenze e talenti digitali si va ampliando per coinvolgere ogni livello ed in ogni funzione.

Tante aziende hanno quest’anno avviato in quest'ottica iniziative interdisciplinari, spesso guardando al di fuori del proprio perimetro in un’ottica Open Innovationformazione, Innovation Lab, Contest e Hackathon interni, oltre a nuove relazioni con start up e modelli di governance e sui processi per la gestione dell’Innovazione Digitale. Lo sviluppo di cultura e competenze digitali è inoltre la principale sfida per le Direzioni HRdelle nostre imprese e la quasi totalità dei Responsabili Risorse Umane italiani si è già mossa per adeguare le skills dell’organico aziendale.

La trasformazione organizzativa va di pari passo con gli investimenti in digitale, che ora disegnano una nuova mappa. Lo conferma una recente survey degli Osservatori Digital Innovation, che ha verificato la presenza di interessanti budget per l’Innovazione Digitale, oltre al budget della Direzione ICT, nel 39% delle imprese intervistate, allocati nelle diverse Line of Business e principalmente nelle Direzioni Marketing, Digital e Business Development. Tali budget sono nel 10% dei casi comparabili o superiori a quella della Direzione ICT, in leggero aumento rispetto al dato rilevato nel 2016.

Certo, la strada resta lunga e piena di insidie. L’Italia continua a scontare, a livello di sistema e PA, un ritardo importante rispetto ai paesi più avanzati. Ma il cantiere è aperto e lavora a pieno regime, con il coraggio, l’impegno e la determinazione di tanti innovatori.

Guida alla gestione dei data breach secondo il regolamento GDPR sulla Data protection by luca nogara

Cosa fare in caso di violazioni di dati personali che possano compromettere le libertà e i diritti dei soggetti interessati? A chi rivolgersi? Come comunicarle? La risposta è nelle linee guida pubblicate dal Gruppo di lavoro del nuovo regolamento europeo sulla privacy

 

fonte:  digital4.biz  . l'articolo originale  qui

fonte: digital4.biz . l'articolo originale qui

 

A seguito dell’entrata in vigore del GDPR (Regolamento UE 2016/679 in materia di protezione dei dati personali), il Gruppo di lavoro Art. 29 si è più volte attivato per offrire indicazioni concrete e casi esemplificativi che potessero aiutare gli operatori coinvolti nel trattamento di dati personali a interpretare le disposizioni del Regolamento e a pianificare correttamente il loro adeguamento.

Si collocano in questo scenario le nuove linee guida del Gruppo di lavoro Art. 29 sul data breach (Guidelines on Personal data breach notification under Regulation 2016/679, adottate il 3 ottobre 2017).

Il GDPR disciplina il data breach prevedendo espressamente un obbligo di notifica e comunicazione in capo al titolare, in presenza di violazioni di dati personali che possano compromettere le libertà e i diritti dei soggetti interessati. L’approccio del Regolamento si differenzia nettamente da quello adottato della Direttiva 95/46/CE, che, al contrario, non dispone alcun obbligo generalizzato di notifica. Attualmente, anche il nostro ordinamento prevede un obbligo di notifica frammentario. In recepimento della normativa europea in materia di comunicazioni elettroniche, il Codice privacy ha introdotto uno specifico obbligo di notifica dei data breach esclusivamente per i fornitori di servizi di comunicazioni elettroniche accessibili al pubblico. In altri settori (dati biometrici, dossier sanitario e pubbliche amministrazioni) l’obbligo è stato prescritto attraverso puntuali provvedimenti del Garante privacy. Il nuovo Regolamento, invece, attribuisce alla notifica una funzione essenziale di tutela degli interessati ed estende tale obbligo alla generalità dei titolari di trattamento.

Il criterio dirimente per valutare la necessità di avviare una procedura di notifica è la probabilità che la violazione possa porre a rischio (per la notifica all’autorità) o ad elevato rischio (per la comunicazione agli interessati) le libertà e i diritti degli individui. Appurato il rischio conseguente dalla violazione, gli artt. 33 e 34 del GDPR indicano ai titolari i termini, le modalità, i contenuti e le deroghe della notifica e della comunicazione di data breach.

Le nuove linee guida integrano gli articoli citati e permettono di dare risposta ad una serie di quesiti la cui comprensione risulta di fondamentale importanza per la predisposizione di corrette procedure di notificazione.

Quando il titolare è ritenuto “a conoscenza” di una violazione?

L’art. 33 impone al titolare di notificare la violazione all’autorità di controllo entro 72 ore dal momento in cui ne viene a conoscenza. Il tempo di riferimento da cui iniziano a decorrere i termini della notifica viene individuato quindi nel momento in cui il titolare acquisisce consapevolezza dell’avvenuta violazione.

Nell linee guida, il Gruppo ritiene che debba considerarsi “a conoscenza” il titolare che abbia un ragionevole grado di certezza in merito alla verificazione di un incidente di sicurezza. È evidente che, in base alle specifiche circostanze, mentre alcune violazioni saranno facilmente rilevabili, per altre sarà necessario instaurare un’indagine più approfondita. In questi casi, durante la fase di investigazione, il titolare può essere considerato come privo di un grado di conoscenza tale da far scattare immediatamente l’obbligo di notifica. Ciò precisato, il Gruppo sottolinea che il diligente comportamento del titolare sarà in ogni caso valutato sulla base della sua tempestiva attivazione in caso venga informato di una possibile infrazione. La fase investigativa, quindi, non deve essere abusata per prorogare illegittimamente il termine di notifica.

A tale considerazione si legano le raccomandazioni del Gruppo sia con riferimento alla struttura organizzativa predisposta dal titolare, sia in merito al ruolo del responsabile del trattamento in caso di data breach. In primo luogo, il Gruppo raccomanda ai titolari di predisporre un piano di sicurezza che evidenzi le procedure organizzative interne da adottare nella gestione di eventuali violazioni e l’organigramma dei soggetti o dei livelli direttivi a cui è necessario fare riferimento per riportare l’accadimento.

In merito al responsabile, l’art. 33 dispone l’obbligo in capo a quest’ultimo di informare tempestivamente il titolare dell’avvenuta violazione. Interpretando questo assunto alla luce del rapporto che lega titolare e responsabile, il Gruppo evidenzia come, in linea di principio, il titolare debba considerarsi a conoscenza della violazione nel momento in cui il proprio responsabile ne sia venuto a conoscenza. Non deve quindi esistere alcuna dilazione temporale nelle comunicazioni tra titolare e responsabile, giacché questi viene considerato come estensione fisica dell’attività del titolare e fa perciò scattare automaticamente l’obbligo di notifica in capo al primo.

Su questo punto, le linee guida prospettano l’ipotesi che il responsabile, sulla base di specifica autorizzazione del titolare contrattualmente prevista, possa eseguire personalmente la notifica per conto di quest’ultimo. Ciò non toglie, è bene sottolinearlo, che le responsabilità nei confronti dell’autorità e degli interessati scaturenti dalla notifica o dalla sua mancanza, permangano in capo al titolare. In caso di negligenza, il responsabile potrà rispondere unicamente nei confronti del titolare.

Qual è l’autorità di controllo competente?

L’art. 33 dispone che la notifica debba essere effettuata all’autorità di controllo competente, a norma dell’articolo 55. A sua volta l’art. 55 prevede che ciascuna autorità di controllo è competente per l’esercizio dei compiti e dei poteri assegnatele sul territorio del proprio Stato membro. Dunque, se la violazione si verifica in un determinato Stato membro, sarà all’autorità garante di quello Stato che dovrà essere presentata apposita notifica.

Lo scenario si complica nei casi in cui il trattamento dei dati valichi i confini territoriali nazionali, cosicché una loro violazione possa compromettere i diritti e le libertà di cittadini situati in diversi Pasi membri. In questo caso, il Gruppo chiarisce che dovrà utilizzarsi il meccanismo delle “autorità capofila”, previsto dall’art. 56 del GDPR. Fermo restando quanto disposto dall’art. 55, in caso di trattamenti transfrontalieri di dati personali si considera autorità capofila (e dunque autorità di riferimento anche in caso di notifica di data breach) l’autorità garante situata nello Stato membro presso cui si trova lo stabilimento principale o l’unico stabilimento del titolare o del responsabile. Naturalmente, il titolare rimane libero di notificare la violazione a tutte le autorità degli Stati membri in cui ritiene possano esserci conseguenze pregiudizievoli per gli interessati ivi locati. Tuttavia risulterà compliant anche nel caso decida di eseguire la notifica solo con riferimento all’autorità capofila correttamente individuata. 

Le linee guida, peraltro, ricordano ai titolari che l’obbligo di notifica previsto dall’art. 33 del GDPR deve coordinarsi con ulteriori eventuali obblighi di notifica previsti da altri strumenti normativi. Per esempio, obblighi di notifica in caso di incidenti di sicurezza (categoria ampia che al suo interno ricomprende l’insieme delle violazioni di dati personali) sono presenti nel Regolamento e-IDAS per i fornitori di servizi fiduciari o nella Direttiva NIS per i fornitori di servizi essenziali e di servizi digitali. Dunque, se una società fornitrice di servizi certificati di firma elettronica riscontra una violazione di sicurezza, dovrà non soltanto notificare l’attività illecita alla propria autorità nazionale di riferimento ma, in caso siano coinvolti dati personali dei propri clienti e qualora ne ricorrano i presupposti, dovrà altresì darne riscontro all’autorità garante in materia di dati personali. 

 

Come devono comportarsi i titolari quando non dispongono di sufficienti informazioni sulla violazione?

La notifica ha la funzione di allertare l’autorità e consentire la predisposizione di misure di tutela immediate ai soggetti coinvolti. Elemento centrale della procedura di notificazione è quindi la sua tempestività.

Tuttavia non sempre il titolare, anche quando ha appurato con ragionevole certezza l’esistenza di una violazione, è già in possesso di tutti gli elementi utili per effettuare una descrizione completa ed esaustiva dell’infrazione. Il Gruppo di lavoro chiarisce come il GDPR, tenendo in considerazione la predetta possibilità, mette a disposizione del titolare alcune tecniche o modalità che permettono di bilanciare le esigenze di celerità del messaggio con quelle di una sua sostanziale accuratezza e completezza.

La prima tecnica è l’utilizzo dell’“approssimazione”. Il titolare che non sia ancora in grado di conoscere con certezza il numero di persone e di dati personali interessati dalla violazione può comunicarne in prima battuta un ammontare approssimativo, provvedendo a specificare il numero esatto a seguito di accertamenti.

Secondo strumento previsto dal Regolamento è la “notificazione in fasi”. In questo caso il titolare, per la complessità o estensione della violazione, potrebbe non essere in grado di fornire con immediatezza all’autorità tutte le informazioni necessarie. Potrà allora ottemperare agli obblighi di notifica comunicando, dopo una prima e rapida notifica di alert, tutte le informazioni per fasi successive, aggiornando di volta in volta l’autorità sui nuovi riscontri.

Infine, il Regolamento prevede la possibilità di effettuare una notifica differita, dopo le 72 ore previste dall’art. 33. È il caso in cui, per esempio, un’impresa subisca violazioni ripetute, ravvicinate e di simile natura che interessino un numero elevato di soggetti. Al fine di evitare un aggravio di oneri in capo al titolare e l’invio scaglionato di un numero elevato di notificazioni tra loro identiche, il titolare è autorizzato ad eseguire un’unica “notifica aggregata” di tutte le violazioni occorse nel breve periodo di tempo (anche se superi le 72 ore), purché la notifica motivi le ragioni del ritardo.

Quali sono le modalità di comunicazione all’interessato?

Accanto agli obblighi di notifica all’autorità di controllo, l’art. 34 prevede in capo ai titolari un obbligo di comunicazione agli interessati che consenta loro di attivarsi a tutela dei propri interessi.

Come evidenziato dal Gruppo di lavoro, i due obblighi sono innescati dal superamento di soglie di rischio differenti: è sufficiente un rischio semplice per far sorgere il dovere di notifica, mentre è necessario un rischio “elevato” per attivare quello di comunicazione.

L’adeguatezza di una comunicazione è determinata non solo dal contenuto del messaggio, ma anche dalle modalità di effettuazione. Le linee guida, sulla base dell’art. 34, ricordano che devono sempre essere privilegiate modalità di comunicazione diretta con i soggetti interessati (quali email, SMS o messaggi diretti). Il messaggio dovrebbe essere comunicato in maniera evidente e trasparente, evitando quindi di inviare le informazioni nel contesto di update generali o newsletter, che potrebbero essere facilmente fraintesi dai lettori. Inoltre, dovrebbe tenere conto di possibili formati alternativi di visualizzazione del messaggio e delle diversità linguistiche dei soggetti riceventi (es. l’utilizzo della lingua madre dei soggetti riceventi rende il messaggio immediatamente comprensibile).  

Anche in questo caso, il Regolamento è attento a non gravare i titolari di oneri eccessivi prevedendo che, nel caso la segnalazione diretta richieda sforzi sproporzionati, questa possa essere effettuata attraverso una comunicazione pubblica. Si sottolinea però che anche questo tipo di comunicazione deve mantenere lo stesso grado di efficacia conoscitiva del contatto diretto con l’interessato. Così, mentre può ritenersi adeguata la comunicazione fornita attraverso evidenti banner o notifiche disposte sui siti web, non lo sarà se questa sia limitata all’inserimento della notizia in un blog o in una rassegna stampa.

Come valutare il rischio conseguente a un data breach?

La corretta valutazione dei possibili rischi scaturenti da una violazione è un passaggio importante per un’efficiente gestione del data breach. L’analisi consente al titolare di individuare con prontezza adeguate misure per arginare o eliminare l’intrusione e di valutare la necessità di attivare le procedure di comunicazione e di notifica (che si ricorda si attivano solo al superamento di determinate soglie di rischio). Rispetto alla valutazione effettuata in sede di DPIA (Data Protection Impact Assessment), la valutazione di data breach persegue uno scopo più mirato. Nel primo caso, infatti, si valutano conseguenze potenziali nel caso si verifichi un’ipotetica violazione. Nel caso di data breach, invece, il giudizio prognostico effettuato con il DPIA dovrà essere personalizzato avendo riguardo alle concrete circostanze della violazione. 

Le linee guida rappresentano in questo campo un utile ausilio alle complesse attività di assessment, in quanto forniscono una serie di fattori che i titolari devono tenere in primaria considerazione ai fini della valutazione. In particolare, le conseguenze della violazione varieranno a seconda di: tipo di violazione e natura dei dati violati (es. violazione di riservatezza, di accessibilità o di integrità dei dati; dati sanitari, documenti di identità o numeri di carte di credito); la facilità con cui potrebbero essere identificati gli interessati (es. l’aggressione riguarda dati identificativi o dati personali non direttamente identificativi; era previsto l’utilizzo di tecniche di pseudonimizzazione o crittografia); la gravità delle conseguenze sugli individui in termini di potenziali danni (es. i dati sono stati inviati erroneamente a un fornitore di fiducia o sono stati sottratti da un terzo sconosciuto); speciali caratteristiche e numero degli individui interessati (es. bambini o anziani; violazione massiccia o individuale); particolari caratteristiche del titolare (es. ambito di attività economico o sanitario; contatto frequente con dati sensibili).

Accertato il livello di rischio, il titolare sarà in grado di determinare la necessità o meno di eseguire la notifica all’autorità e la comunicazione agli individui interessati. A titolo esemplificativo, quindi, nel caso una media company perda il temporaneo accesso agli indirizzi email dei propri clienti a causa di un blackout, non sarà necessario procedere alla notifica dell’evento. Al contrario, la temporanea perdita di accesso ai dati sanitari dei pazienti di un ospedale, deve essere considerato un evento che pone a rischio (anche elevato) i diritti degli individui e dovrà perciò essere correttamente gestita ai sensi degli artt. 33 e 34 del GDPR.

Allo stesso modo, lo smarrimento di un CD o di una chiavetta USB contenente dati criptati indecifrabili da terzi, nel caso in cui la chiave crittografica sia nel possesso del titolare e questi possieda un backup di tali dati, potrebbe ritenersi non lesivo nei confronti degli interessati e quindi non obbligatoriamente notificabile. In caso invece la chiave crittografica non sia sicura o non esista un backup dei dati smarriti, sarà necessario attivare le procedure di notifica e comunicazione individuate. 

I 9 trend dell’IT nei prossimi mesi, secondo Gartner: tra edge computing, cloud, e Io by luca nogara

Gartner ha riassunto quali saranno le principali tendenze IT del 2017. Anche se non si tratta di argomenti del tutto nuovi, sarà la loro evoluzione ad avere un impatto significativo sui team IT e sui carichi di lavoro dei data center. La governance sarà in mano a 5 professionisti chiave

fonte: digital4.biz - puoi leggere l'articolo originale qui 

Data center interconnessi, invisibili, containerizzati, capaci di orchestrare l'evoluzione di una Internet of Things pervasiva. La governance sarà in mano a nuove figure chiave, sempre più specializzate nei vari cluster di pertinenza che caratterizzano lo sviluppo dei data center di domani, incentrati su chiavi di servizio sempre più sofisticate e performanti.

Quali sono le  tendenze che continueranno a definire il ruolo dei professionisti IT e le competenze che questi ultimi dovranno avere per gestire i data center del prossimo futuro?

Se ne è parlato ad Orlando lo scorso mese, in occasione dell'IT Operations Strategies and Solutions Summit di Gartner. Gli esperti hanno analizzato i top trend del 2017 in ambito IT per far luce su quali saranno gli elementi che avranno un impatto maggiore sugli operatori del settore.

1) I data center tradizionali scompariranno

I tradizionali data center on premise stanno diminuendo di giorno in giorno. Il motivo? Le leggi di mercato. Per le aziende oggi esistono delle alternative più efficienti ed economicamente convenienti. Gli analisti di Gartner hanno rilevato che oggi circa l'80% dei carichi di lavoro aziendali si esegue on premise e il restante 20% si trova sul cloud o su impianti esternalizzati, mentre entro il 2021 la percentuale dei workload eseguiti localmente scenderà a circa il 20-25%, a tutto vantaggio delle soluzioni cloud e off-premise. Il concetto di data center as a service (DCaaS) ha guadagnato terreno poiché le imprese hanno spostato il proprio focus dall’infrastruttura alle applicazioni. Ma la scelta di cloud, outsourcing, SaaS, PaaS, risorse umane as a service e DCaaS non sono proposte poi così estreme. Gli esperti ritengono che un solo delivery model probabilmente non supporterà tutte le esigenze di un'organizzazione e che gli operatori, probabilmente, dovranno utilizzare diversi modelli per raggiungere diversi obiettivi.

2) I data center saranno interconnessi

La connettività è un elemento caratteristico della moderna tecnologia dei data center, ma la crescita del cloud e di altri servizi off-premise la metterà ancora più al centro dei processi operativi, utilizzando i collegamenti in fibra per la connettività ad alta velocità e di lunga distanza.

Secondo gli esperti, le interconnessioni future fonderanno data center e risorse in modo molto simile alle reti peer-to-peer. Questo metterà le prestazioni e la resilienza della connettività dei provider di cloud e software-as-a-service alla pari con le risorse  di calcolo e archiviazione  private on-premises, oltre a offrire flessibilità e agilità su scala più vasta.

3) I container cambieranno le applicazioni

I container continuano a essere una delle principali tendenze dell’IT aziendale. Questo perché consentono nuove forme di sviluppo e implementazione delle applicazioni che non sarebbero possibili persino con centri dati virtualizzati.

Mentre questo scenario rappresenta un terreno fertile per gli sviluppatori, ai professionisti IT richiede di implementare e supportare i container, oltre ad affrontare nuovi problemi di gestione relativi al loro utilizzo, come governance, licenza software e così via. Gli esperti evidenziano che per creare, monitorare, gestire e distruggere i container gli operatori devono garantire un'infrastruttura solida, organizzando e monitorando tutte le risorse utilizzate per farli funzionare.

 

4) L’IT, se saprà innovarsi, guiderà il business

I leader aziendali comprendono il ruolo svolto dai servizi IT in azienda e la loro importanza per il successo del business, ma gli analisti sottolineano come l’era dell’ IT in-house che dà ordini su applicazioni, servizi e tecnologie utilizzate dalle unità di business sia terminata. La rapida crescita del cloud pubblico, del SaaS e di altri servizi concorrenziali ha posto sulla difensiva i modelli IT  tradizionali: non c'è più bisogno di aspettare che l’IT possa valutare, raccomandare o distribuire servizi e carichi di lavoro quando esistono opzioni efficaci che possono essere impegnate più velocemente e con meno problemi nelle line of business.

Gartner fa notare come oltre il 20% della spesa IT aziendale, attualmente, sia  fuori dal controllo IT e come ciò rappresenti una sfida per l’IT che deve sapersi innovare e ripensare il suo ruolo di abilitatore di servizi e broker.

5) La stranded capacity dovrà essere identificata e ridotta

Il concetto di stranded capacity non è certo una novità, ma la velocità e l’agilità dai moderni modelli di calcolo rendono i problemi di sprawl molto più pronunciati e potenzialmente costosi. Gli analisti di Gartner hanno riferito che il 22% delle istanze di calcolo oggi sono invisibili, ovvero sono istanze che eseguono e consumano risorse, ma non forniscono alcun valore all'attività. Il 40% dei rack non è adeguatamente approvvigionato e i server eseguono solo il 32%. Tutto questo si traduce in sprechi di risorse, ovvero in costi inutili per l’organizzazione.

6) Internet of Things in emersione

L'internet delle cose è diventato rapidamente uno dei trend principali in ambito IT, grazie alla sua capacità di sfruttare enormi quantità di dati in opportunità mai viste prima sia per le vendite, il controllo e l'analisi dei processi. I dispositivi IoT possono velocizzare i tempi di vendita con funzionalità predefinite, elevata scalabilità, supporto per i fornitori e un ecosistema di fornitori abbastanza completo. Nonostante ciò, gli esperti notano che i dispositivi reali e gli stack di software utilizzati nelle distribuzioni IoT sono ancora in fase di definizione e che il settore soffre ancora della mancanza di uno standard.

7) I dispositivi remoti devono essere gestiti

L’Internet of Things richiede che i team IT gestiscano anche  i dispositivi remoti - le cose dell’internet, appunto!  - e ciò rappresenta una sfida logistica non da poco: significa occuparsi di installare, configurare, gestire, sostituire o ritirare ogni dispositivo remoto presente nell'ambiente.

8) Micro ed edge computing meritano attenzione

Invece di investire in una larghezza di banda di rete più costosa, molte organizzazioni impiegano risorse di calcolo su piccola scala e risorse di archiviazione più vicine alla posizione del lavoro effettivo: questa strategia è conosciuta come edge computing. Tuttavia, tali sforzi di elaborazione remota o pongono di fronte ai responsabili IT altri tipi di problemi, come la resilienza e la manutenzione. Le aziende devono pertanto considerare con attenzione i requisiti e le vulnerabilità di una piattaforma di calcolo remoto.

9) Guardare avanti verso i nuovi ruoli dell’IT: le 5 figure chiave della governance

Queste tendenze e la mutevole relazione tra business e IT hanno generato nuovi ruoli nel settore.

  1. Secondo gli esperti, per esempio, l’architetto dell’Internet of Things sarà colui il quale selezionerà e implementerà i componenti di un sistema IoT per garantire una corretta gestione e integrazione con altre infrastrutture e software di data center.
  2. Il cloud sprawl specialist, invece, monitorerà l'utilizzo delle risorse nel cloud pubblico e privato e applicherà politiche rivolte a ridurre al minimo gli sprechi. Lo strategy architect sarà la figura che esaminerà le infrastrutture esistenti e fornirà indicazioni per ottimizzarle, individuando le tecnologie necessarie per conseguire gli obiettivi aziendali.
  3. Uno specialista di capacità e risorse, invece, si occuperà di analizzare le risorse per il business con il fine di individuare, ove possibile, alternative a costi più accessibili.
  4. Gli esperti ritengono che alla figura del broker and provider specialist, invece, verrà demandato il compito di identificare i migliori servizi di business tra quelli offerti dalla gran quantità di potenziali fornitori per guidare l'azienda verso l’impiego di servizi convenienti capaci di integrarsi con altre piattaforme di business.
  5. Infine, un esperto di performance ed end-to-end si occuperà di application performance management per garantire che i carichi di lavoro operino con la massima efficienza e la soddisfazione degli utenti.

GDPR, tutto quello che vorreste sapere ma non avete osato chiedere sulla privacy by luca nogara

Il nuovo Regolamento UE sulla protezione dei dati personali sarà pienamente applicabile esattamente tra un anno, ma in molti casi richiede modifiche organizzative e investimenti in tecnologie tali da richiedere una pianificazione fin da subito. Ecco le novità più significative e gli elementi principali su cui impostare il programma di adeguamento

fonte: digital4.Biz   potete leggere l'articolo originale qui

Il General Data Protection Regulation (GDPR)ovvero il Regolamento UE n. 679/2016 sulla protezione dei dati personali (o Regolamento sulla privacy), è entrato in vigore Il 24 maggio 2016, ma diverrà pienamente applicabile dal 25 maggio 2018, abrogando la Direttiva 95/46/CE. Al tema recentemente è stato dedicato un Workshop della Digital Transformation Academy degli Osservatori Digital Innovation del Politecnico di Milano, a cui hanno preso parte oltre 60 CIO, Security Manager e Responsabili Area Legal.

Un primo elemento emerso è che il regolamento GDPR non vale per gli accordi di trasferimento di dati personali verso Paesi terzi e organizzazioni internazionali, conclusi prima dell’entrata in vigore del Regolamento. Tali accordi resteranno in vigore fino alla loro sostituzione, revoca o modifica, così come i provvedimenti dell’Autorità Garante e le decisioni della Commissione UE. Inoltre, rispetto ai trattamenti ancora in corso al 25 maggio 2018, non è necessario che l’interessato presti nuovamente il suo consenso, se questo è stato espresso secondo modalità conformi alla nuova disciplina.

Anche se le aziende hanno a disposizione un anno per potersi adeguare, alcune novità del GDPR impongono un’attenta pianificazione fin da subito, potendo comportare modifiche organizzative significative e investimenti di natura tecnologica. Inoltre il GDPR rovescia completamente la prospettiva della disciplina di riferimento, istituendo un quadro normativo tutto incentrato sui doveri e la responsabilizzazione del Titolare del trattamento (principio di “accountability). La nuova disciplina impone a tale soggetto di garantire il rispetto dei principi in essa contenuti, ma anche di essere in grado di comprovarlo, adottando una serie di strumenti che lo stesso GDPR indica.

In primisil registro delle attività di trattamento, che deve contenere una serie di informazioni, tra cui le finalità del trattamento, la descrizione delle categorie di interessati e di dati personali che vengono trattati, oltre che l’indicazione delle misure di sicurezza adottate. La tenuta del registro costituisce un adempimento di fondamentale importanza nell’ottica del principio di accountability, in quanto permette di monitorare in maniera approfondita le operazioni di trattamento all’interno dell'organizzazione. Esso costituisce dunque sia uno strumento operativo di lavoro con cui censire in maniera ordinata le banche dati e gli altri elementi rilevanti per assicurare un sano “ciclo di gestione” dei dati personali, sia un vero e proprio documento di carattere probatorio mediante il quale il Titolare del trattamento può dimostrare di aver adempiuto alle prescrizioni del Regolamento.

A tal fine, può risultare utile indicare nel registro una serie di elementi non espressamente imposti dall’art. 30 del GDPR, ma comunque importanti per tener traccia delle operazioni di trattamento effettuate. Tra questi, ad esempio, la base giuridica del trattamento(ricompresa tra gli elementi che devono essere contenuti nell’informativa da consegnare all’interessato), o gli applicativi e/o database utilizzati, la cui elencazione può risultare necessaria per mappare con esattezza le misure di sicurezza implementate/da implementare, oltre che per condurre efficacemente la valutazione dei rischi.

Quest’ultima assume carattere imprescindibile per poter stabilire quali misure tecniche e organizzative adottare in azienda per garantire un livello di sicurezza appropriato al rischio stesso. La nuova normativa, infatti, abbandona il concetto di “misure minime” del Codice Privacy, sostituendolo con quello di “misure adeguate”. Tale maggiore discrezionalità, tuttavia, è accompagnata, come sopra precisato, dall’onere in capo al Titolare del trattamento di poter dimostrare le ragioni che hanno portato a una determinata decisione.

Titolare del trattamento che potrà nominare un Data Protection Officer (DPO), ovvero una figura specialistica e altamente qualificata che supporti l’applicazione degli obblighi della nuova normativa, e funga da punto di contatto con le Autorità di controllo e gli interessati. La designazione del DPO è obbligatoria solo in alcuni casi (trattamenti effettuati su larga scala, posti in essere da un’Autorità pubblica/organismo pubblico, o che ricomprendono categorie particolari di dati personali). Tuttavia costituisce una buona prassi anche per le aziende che sarebbero esenti da tale adempimento.

In sostanza, l’ampio spettro di novità introdotte dal GDPR impone di definire un piano di adeguamento alla nuova normativa, coinvolgendo le diverse funzioni aziendali coinvolte in operazioni di trattamento di dati personali. È fondamentale sfruttare appieno il periodo transitorio a disposizione, per garantire la conformità alle nuove disposizioni entro il 25 maggio 2018.

 

Il primo passo quindi, nonché quello di maggiore rilevanza, è definire il registro dei trattamenti e il piano di adeguamento al GDPR. Questa fase prevede l’assessment del modello attuale dell’organizzazione, al fine di definire un piano di azioni opportunamente dettagliate e calate sulla realtà aziendale.

Data l’ampiezza del perimetro di impatto del GDPR a livello aziendale, mappare il modello attuale e identificarne in modo esaustivo i gap, in relazione a quanto richiesto dal Regolamento, richiede un approccio strutturato e comprensivo di tutte le leve su cui è possibile agire in relazione all’obiettivo di adeguamento, quali:

  • Organizzazione e ruoli. Definizione e formalizzazione del modello organizzativo, dei ruoli e delle relative responsabilità all’interno dell’azienda, in relazione all’indirizzo e alla gestione dei temi legati alla Privacy.
     
  • Persone, cultura e competenze. Progettazione e diffusione della cultura della protezione dei dati e delle policy di sicurezza all’interno dell’organizzazione, attraverso attività di formazione e sensibilizzazione.
     
  • Processi e regole. È senza dubbio una delle aree più impattate dalle richieste di adeguamento del GDPR, basti ricordare la Privacy by design, la portabilità dei dati, la gestione dei data breach, la gestione del registro dei trattamenti, la gestione dei diritti degli interessati. Sono solo alcuni dei processi richiesti dal Regolamento che dovranno essere disegnati, implementati e presidiati nell’organizzazione.
     
  • Documentazione. Definizione delle procedure del manuale di gestione della data protection, aggiornamento dei contratti con le terze parti, adeguamento e/o stesura della documentazione di base quali informative, moduli di consenso, lettere di nomina, ecc.
     
  • Tecnologia e strumenti. Area di rilevante importanza - tipicamente anche dal punto di vista di investimenti da prevedere in ottica di piano di adeguamento - in ambito di misure di sicurezza informatica (antivirus, disaster recovery, firewall, pseudonimizzazione dati, cifratura dati, prevenzione e rilevazione data breach, Identity Management, ecc.), di sicurezza fisica (es. controllo accessi), di adozione di tool IT GRC (Governance, Risk & Compliance).
     
  • Sistema di controllo. Progettazione e gestione di un cruscotto di KPI per il monitoraggio della compliance a normative esterne (es. GDPR), regolamenti interni, progettazione di reportistica ad hoc da condividere a vari livelli dell’organizzazione.
     

L’individuazione strutturata dei gap è necessaria per poter definire e prioritizzare le attività del piano di adeguamento, che guiderà l’organizzazione nel processo di compliance.

Oltre all’adottare un metodo strutturato nell’avvio e nella gestione del progetto, fattori critici di successo per il piano di adeguamento e la sua implementazione sono:

  • Avvio e mantenimento di un tavolo di lavoro congiunto comprensivo degli attori principali (Compliance, IT, Legale, Sicurezza), a garanzia di un allineamento completo e costante su attività svolte, priorità e piano di adeguamento aziendale.
     
  • Ingaggio, sensibilizzazione e coordinamento dei referenti di Business in fase sia di assessment sia di implementazione delle azioni.
     
  • Comunicazione e conduzione dell’adeguamento al GDPR come una opportunità di tutta l’organizzazione di creare cultura e sensibilizzare rispetto alla privacy e alle policy di sicurezza e, sfruttando la fase di mappatura, possibilità di realizzare sinergie nell’indirizzo di altre compliance (es. D. Lgs. 231), nonché di arricchire la knowledge base aziendale (es. mappa processi, mappa applicativi), integrando opportunamente il registro dei trattamenti.
     

L’adeguamento al GDPR può essere approcciato in diversi modi. Sta all’azienda scegliere se adeguarsi in senso stretto o cavalcare l’opportunità per creare valore per l’organizzazione nel suo complesso. Non può però sfuggire che il dato personale di clienti, dipendenti e soggetti diversamente coinvolti nel ciclo produttivo e commerciale dell’azienda sia un asset fondamentale per la trasformazione digitale del business e le opportunità che ne possono derivare.

 

 

 

I 6 buoni motivi sul perché utilizzare al meglio ERP in Cloud by luca nogara

  1. Mette ordine al tuo lavoro e semplifica l'emissione delle fatture
  2. Ti informa quando le tue fatture vengano consegnate e scaricate dai tuoi clienti
  3. Sollecita i clienti in automatico quando le fatture arrivano a scadenza
  4. Permette al tuo commercialista di accedere direttamente alle tue informazioni e ridurre cosi la possibilità di errori legati allo scambio delle informazioni
  5. Ti aiuta a ricordare e trovare le informazioni in modo rapido e intuitivo ogni volta che ne hai bisogno
  6. Ti libera dai backup o da altri problemi tecnici, perché nel CLOUD i tuoi documenti sono al sicuro da virus e perdite accidentali, e disponibili in ogni momento anche quando sei fuori ufficio

 

Gestisci subito le tue fatture online. ERP in Cloud by luca nogara

 

CREA FATTURE IN POCHI SECONDI

Una interfaccia semplice e intuitiva per creare fatture note di credito, ricevute e bolle.Compilazione automatica dei tuoi documenti con l’esclusiva funzione «smart».

 

PAGAMENTI SEMPRE SOTTO CONTROLLO

Tieni sotto controllo i pagamenti dei tuoi clienti. Con i promemoria automatici emettere una fattura ricorrente è semplicissimo. Con i richiami automatici dei documenti scaduti puoi velocizzare la gestione degli incassi.

APP SMARTPHONE

Con l’APP smathphone potrai avere una consultazione facile e veloce in ogni momento.

Fatture 24 ore su 24 sempre disponibili.

APP TABLET

Grazie all’APP dedicata per tablet potrai avere un’esperienza di utilizzo completa per la consultazione e la creazione di documenti.

 

Tutto il Cloud che ti serve chiedilo a noi by luca nogara

Scegli il servizio Cloud che fa per te

 

100% ITALIANO:  

Tutti i CLOUD CENTER di ReeVo sono in Italia

GARANZIA 99.98%

Ti garantiamo il servizio al 99,98% per contratto: penali chiare e presenti nello SLA

SUPPORTO TOTALE

Sei sempre assistito: prima, dopo e durante la migrazione

PAY PER USE

La soluzione che scegli è flessibile e scalabile, paghi solo quello che ti serve e quando ti serve

 

 

 

 

Dematerializzazione, anzi conservazione digitale dei documenti: le normative e i vantaggi in Italia by luca nogara

 

La dematerializzazione dei documenti non solo permette di risparmiare sulla carta, sull'inchiostro e sulle ore di lavoro delle persone che vanno e vengono dalle stampanti agli archivi e viceversa. È l'integrazione digitale a permettere di lavorare più efficacemente, aumentando la produttività individuale e aziendale

abstract - fonte www.digital4.biz - puoi trovare l'articolo originale qui

In un mondo in cui la metà del nostro tempo la passiamo a guardare informazioni on line da qualsiasi dispositivo, parlare di gestione cartacea dei documenti sembra quasi un paradosso. Eppure, a dispetto di una digitalizzazione sempre più spinta, il mondo analogico rappresenta ancora un'entità immane di archivi e scaffali pieni di carta.

Alla luce delle tecnologie oggi disponibili, la gestione documentale tradizionale oggi è senza dubbio un processo irrazionale: scrivere, stampare, firmare, vidimare, spedire, fotocopiare/scansionare, archiviare, recuperare sono tutte attività che non solo richiedono tempo e risorse, ma sono anche soggette a un tasso di errore elevato.

Insomma, i vantaggi della dematerializzazione dei documenti sono ormai chiari a tutti.  La gestione digitale non solo permette di risparmiare sulla carta, sull'inchiostro e sulle ore di lavoro delle persone che vanno e vengono dalle scrivanie alle stampanti, dagli archivi alle scrivanie, ma permette agli impiegati di lavorare più velocemente e più efficacemente, aumentando la produttività individuale e aziendale. Non a caso nel 2016 il 40% degli investimenti delle aziende italiane sarà finalizzato a progetti di digitalizzazione e dematerializzazione (Fonte: Osservatori Digital Innovation 2015 - Politecnico di Milano).

 

E’ arrivato il regolamento europeo della Privacy. La tua azienda è pronta? by luca nogara

 ICT4Innovation può aiutare le aziende e le organizzazioni ad affrontare i nuovi requisiti

 

In data 14 aprile 2016 è stato approvato il Regolamento Europeo che in Italia sostituirà il Codice Privacy.
Il Regolamento entra in vigore entro 45 giorni dalla data di approvazione e le aziende avranno due anni di tempo per adeguarsi. Il regolamento sarà immediatamente esecutivo e quindi non richiederà la necessità di recepimento da parte degli Stati membri.
L’entrata in vigore di questo Regolamento permetterà che le stesse direttive siano contemporaneamente in vigore in tutti gli stati membri UE uniformandoli sotto un unico codice.Il Regolamento introduce nuove tutele a favore degli interessati, e nuovi obblighi a carico dei Titolari.Il Regolamento Europeo avrà anzitutto gli obiettivi di garantire:

 

  • una maggiore protezione dei dati, anche alla luce delle sempre nuove tecnologie digitali utilizzate per il loro trattamento e conservazione, allo stesso tempo semplificando alcune procedure, evitando una eccessiva burocratizzazione;
  • una maggiore armonizzazione normativa a livello dell'intera UE, evitando palesi discrepanze nella gestione dei dati, le quali comportano attualmente un evidente danno e disorientamento per gli utenti.


Le aziende e le organizzazioni in genere, pubbliche e private, saranno chiamate a:

  • formare e nominare il "Data Protection Officer - DPO" (ossia il “responsabile della protezione dati”): obbligatorio per le aziende private con trattamenti di dati particolari, nonché in tutte le pubbliche amministrazioni. Ulteriori informazioni sono disponibili sul sito del garante privacy. Maggiori informazioni qui
  • eseguire il "data protection impact assessment", ossia effettuare una valutazione complessiva dell'impatto-privacy all’interno dell’azienda o della pubblica amministrazione, che permetta di applicare idonee misure di sicurezza tecniche e organizzative, secondo le definizioni del nuovo Regolamento;
  • tenere il registro delle attività di trattamento; riguarda le aziende con più di 250 dipendenti o quelle che trattano dati particolari, comprese quelle piccole che svolgono servizi in outsourcing quali responsabili del trattamento (ad es.: gli installatori di sistemi di videosorveglianza);
  • notificare all'Autorità competente ed agli stessi utenti le violazioni dei dati personali (così detti “data breach”), avvenute al proprio interno (es. accessi abusivi, usi non consentiti, perdita di una “chiavetta”), entro un termine rapidissimo (72 ore dalla scoperta della violazione).
  • applicare il principio generale denominato "privacy by design", cioè la necessità di tenere in debito conto la privacy durante tutto il ciclo di vita dei dati, già dal momento della progettazione di un prodotto o servizio;
  • consentire agli interessati il "diritto all’oblio", ossia la possibilità di decidere quali informazioni possano continuare a circolare (in particolare nel mondo on-line) dopo un determinato periodo di tempo, fatte salve specifiche esigenze (ad esempio, per rispettare obblighi di legge);
  • consentire agli interessati il diritto alla "portabilità del dato" (ad es. nel caso in cui si intendesse trasferire i propri dati da un soggetto giuridico ad un altro, come nel cloud computing).

 contattaci qui o chiamaci allo 0423 565517 per maggiori informazioni o per un risk assessment del tuo business

 

Big Data analytics: uno strumento efficace anche per la sicurezza dei dati by luca nogara

 

Il 53% delle aziende che fanno uso di Big Data Analytics segnala un elevato beneficio in termini di business. Secondo il Business Application Research Center, le analitiche apportano un forte beneficio per il business e aiutano a migliorare la resilienza aziendale sul fronte della sicurezza informatica. Peccato che il livello di adozione sia ancora troppo basso

abstract - fonte www.digital4.biz - puoi trovare l'articolo originale qui

Gli esperti ritengono che le Big Data Analytics siano uno strumento utile per consentire alle aziende di diventare più resistenti di fronte ai crescenti attacchi informatici.

“Secondo un recente sondaggio - ha spiegato Carsten Bange, fondatore e managing director del Business Application Research Center -  il 53% delle aziende che fanno uso di Big Data Analytics segnala un elevato beneficio in termini di business,  il 41% ha dichiarato di aver ottenuto un beneficio moderata, mentre solo il 6% ritiene di aver registrato pochi vantaggi”.

L’impiego delle Big Data Analytics

Gli esperti sottolineano come l'adozione di  Big Data Analytics si possa definire ancora relativamente bassa in generale, ma non nel segmento delle aziende più mature, pari al 13% del campione intervistato.Di queste, oltre due terzi (il 68%) ha dichiarato di aver già adottato tecnologie avanzate di Big Data Analytics per la sicurezza, come per esempio le analisi di comportamento degli utenti. Nel restante 87%, invece, solo il 27% ha implementato tecniche di analisi del comportamento degli utenti.

Uno strumento utile per la sicurezza IT

Le analisi dei Big Data possono aiutare a migliorare la resilienza aziendale sul fronte della sicurezza informatica: tenendo traccia del comportamento degli utenti in tutti i sistemi informatici, per esempio, permettono di rilevare anomalie e scostamenti significativi dal comportamento normale che potrebbero rappresentare indizi di potenziali attività dannose.

“Poter identificare i modelli di comportamento non è di certo una novità - sottoliena Bange -,la maggior parte delle tecniche di analisi sono utilizzate da trenta o quarant’anni. Ora però siamo in grado di applicarle a insiemi di dati estremamente grandi e su più sistemi informatici. Occorre informare le aziende sul fatto che ora esiste una tecnologia in grado di sostenere questo tipo di analisi che possono rivelarsi molto utili nel campo della sicurezza IT”.

Che cos'è il Software-Defined Storage e perché cambia il significato alla governance by luca nogara

 

Virtualizzare informati, abbandonando la complessità dell'hardware per scegliere la via del software (e degli hypervisor). Nel caso della Storage Area Network l'approccio software-defined garantisce una scalabilità on demand e semplifica la gestione, offrendo una grande semplicità di utilizzo, flessibilità di implementazione e backup ottimizzati

abstract - fonte www.digital4.biz - puoi trovare l'articolo originale qui

Parte integrante del DNA informatico aziendale, lo storage non riguarda soltanto la memorizzazione dei dati ma anche e soprattutto le logiche di archiviazione e di accesso sottese. A ben guardare, infatti, sono queste ultime a caratterizzare le varie epoche dello storage e il relativo impatto sui data center. Così se ieri il tormentone dei CIO erano le attività di BackUp, oggi le LOB (line of business) si ritrovano in vario modo a parlare di Big Data Management. Ma più ancora che la quantità di dati da dover gestire, la sfida è orientarsi nel mare magnum delle opzioni tecnologiche oggi a disposizione delle aziende.

 

Dai sistemi a nastro a quelli su disco, magnetici e ottici, dall'Object Storage Deviceall'approccio Solid State Drive basato su un uso intelligente della memoria Flash fino ad arrivare allo Storage Software Defined, le tecnologie di memorizzazione diversificano gli orizzonti dello sviluppo. Cosa cambia dall'una all'altra? In primis i tempi di latenza nell'accesso ai dati memorizzati. L'indisponibilità di un'informazione, nell'era del time to market, non è mai un buon indicatore di servizio per un data center. In pratica, non serve avere un ottimo sistema di archiviazione in termini di capacità e di sicurezza se poi i tempi di accesso alle informazioni sono lunghi.

Il mantra dello storage? Un'informazione veloce

La responsabilità cruciale degli IT manager aziendali è diventata saper gestire e distribuire con efficienza applicazioni e dati. Come? Là dove serve, garantendo anche performance di fruizione accettabili a seconda delle diverse tipologie di utenti, che sono in numero maggiore (addetti interni, mobile worker, utenti finali) rispetto a prima e che, grazie a una mobilità pervasiva e a una maggior disponibilità di banda, si connettono praticamente sempre e ovunque.

Risolvere lo storage e velocizzare i processi di archiviazione e di recupero dei dati, significa analizzare le infrastrutture esistenti e decidere il tipo di tecnologia da utilizzare, stabilendo il criterio con cui è possibile gestire ambienti fisici e ambienti virtuali in maniera assolutamente dinamica, a seconda delle esigenze. Capire quali sono i dati più richiesti in modo da impostare una prioritizzazione intelligente non è mai banale e gli strumenti automatici aiutano non poco a stabilire i criteri più adeguati.

Collaboration, Cloud ed ERP "unificato": le tre priorità dei CPO nel 2016 by luca nogara

Mentre il Procurement è conservatore per natura, il mondo delle imprese continua a evolversi trainata dall'innovazione tecnologica. La funzione acquisti è oggi chiamata a una scelta: essere modellata da questi cambiamenti o esserne partecipe in modo proattivo. Una survey di Procurement Leaders su 400 Responsabili Acquisti analizza i trend in atto

abstract - fonte www.digital4.biz - puoi trovare l'articolo originale qui

Gli ingranaggi del sistema di Procurement tendono a girare lentamente e i nuovi trend rilevati non sempre hanno effetto immediato. È un mondo a due velocità in cui difficilmente si riesce a stare al passo con la digital transformation.

Il 2016 probabilmente non sarà un anno di rivoluzione, ma di cambiamento graduale e continuativo. Anche perchè ancora si riscontra una certa riluttanza ad adottare nuovi strumenti tecnologici all’interno della funzione acquisti. Per fortuna i CPO, pur con un atteggiamento conservatore, sono tra i principali sponsor dell’innovazione, se introdotta gradualmente. Chiaramente un simile atteggiamento può essere penalizzante per le aziende, che rischiano di perdere terreno rispetto ai competitor che giocano con convinzione la partita dell’innovazione.

Per capire meglio gli impatti che la trasformazione digitale ha sul processo di acquisto,Procurement Leaders ha condotto una survey su oltre 400 CPO e Responsabili Acquisti, per comprendere quale impatto hanno i nuovi trend tecnologici.

Innanzitutto è emerso che le aree di maggior interesse riguardano la gestione nei sistemi informativi dei processi di collaborazione, i sistemi ERP e il Cloud Computing.