Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'APPROCCIO CORRETTO

Dati, storage e privacy: ecco perché alle PMI serve la data governance

Le PMI affogano nei dati, ma acquistare spazio di storage non è sempre la soluzione migliore per far fronte al problema. Il consiglio è un approccio nuovo, basato sulla data governance, per risolvere i quesiti relativi anche alla privacy dei dati conservati. Ecco un possibile approccio

03 Apr 2019
D
Sergio Dicandia

Facilitatore digitale, GDPR, Information Security & Data Protection


Alle PMI serve la data governance. Per far fronte ai problemi di capienza dovuti alla produzione sempre crescente di dati serve infatti un approccio nuovo, che non si limiti ad avere spazi maggiori per accumulare di più. Con più dati, aumenta di conseguenza la necessità di archiviazione: transazioni, documenti, messaggi, elementi multimediali (per non parlare dei dati in arrivo da dispositivi IoT) saturano i dispositivi di storage.

Non è possibile, hanno riempito ancora il server! Possibile che non buttino mai niente? E poi gli archivi di posta, pesano una tonnellata…”: questo accade in un giorno qualunque di un IT Manager qualunque in una PMI qualunque.

Scene che si ripetono da sempre e ancor di più da quando lo storage non ha costi proibitivi. Se le grandi aziende sono (quasi sempre) strutturate per far fronte a questa ondata di bit, le PMI sono in affanno, al continuo inseguimento di spazio su disco. Si scatena così la corsa alla capienza che tende a infinito: i server si riempiono, i NAS si riempiono, il cloud si riempie e tutti affogano nei dati. Ma comprare scatole più grandi è la soluzione ai problemi di capienza?

Data governance: l’uso improprio degli storage

Quello che accade è che si applica un approccio datato a una nuova situazione: negli anni passati, quando un server cominciava a riempirsi, dopo qualche settimana di appelli agli utenti, frenetica ricerca e impietosa pulizia dei dati inutili, si acquistava più storage: dischi aggiuntivi, un nuovo server più capiente, un NAS che avrebbe soddisfatto le esigenze di archiviazione per gli anni a venire… o no? No, in effetti: lo spazio in più veniva subito visto come una risorsa infinita, abbassando il livello di attenzione fino al prossimo allarme per spazio esaurito: si procedeva così a gradini, tra un upgrade e l’altro.

L’arrivo della virtualizzazione e di soluzioni di storage più flessibili – near-line storage, cold storage – mirava proprio a risolvere questo problema, ma non ha fatto i conti con il nemico, l’abitudine: invece di usare questi strumenti nel modo in cui sono stati pensati, molti IT Manager li hanno adottati come estensioni del server locale.

Ed ecco allora backup incrociati tra macchine virtuali sugli stessi nodi fisici, copie di dati da server a NAS, poi da NAS a NAS, poi da NAS a cloud pubblici, senza alcuna attenzione alle reali possibilità di ripristino, per non parlare di RTO (Recovery Time Objective) e RPO (Recovery Point Objective). E così via fino al nuovo riempimento.

L’introduzione del GDPR

In questo scenario, piuttosto comune nelle PMI italiane, arriva a fare i conti l’oste GDPR: mentre le aziende si affannano a stare dietro alla crescente produzione di bit (ormai di Terabyte), l’Autorità impone di garantire le libertà dei cittadini in tema di dati personali, chiedendo da un lato di facilitare la libera circolazione dei dati e dall’altro di assicurarne la protezione.

Quello che prima era “solo” un problema di archiviazione, diventa ora un problema di governance del dato: le Aziende sono obbligate a prendere coscienza di cosa, come, dove e perché trattano i dati personali, e a garantire l’esercizio dei diritti dell’Interessato (il cittadino, la persona fisica).

Come si esercitano questi diritti? Ad esempio, chiedendo la modifica dei dati trattati o opponendosi in tutto o in parte al loro trattamento, fino ad arrivare alla completa cancellazione.

WHITEPAPER
Mobile security: come proteggere gli smartphone dai malware
Mobility
Sicurezza

Non solo, bisogna informare, tenere traccia, eliminare i dati quando non servono più (e quindi ragionare sulla loro vita utile). Già, i dati storici: ma dove sono? Nel server? Nel NAS? O in cloud? Come faccio a capire quali mi servono ancora e quali no, quali contengono dati personali e quali sono scaduti e vanno cancellati?

Adempimenti e processi della data governance

Tutto questo ha un impatto notevole sulle aziende abituate a buttare nel calderone del server le loro informazioni, in modo spesso non strutturato: significa mappare i dati trattati, analizzare i propri processi, ridefinire necessità e procedure, stabilire regole di trattamento ed eventualmente affrontare momenti dolorosi di cancellazione di dati non usabili storici e non.

Il GDPR non è una formalità, un registro da compilare, la rivisitazione del DPS (Documento Programmatico sulla Sicurezza): è un nuovo modo di approcciare i dati come asset essenziale dell’azienda, da cui derivano i processi: GDPR parla di PII (Personally Identifiable Information), ma se analizziamo i processi, partiremmo forse da quelli che trattano dati personali, ma ci accorgeremmo subito che coinvolgono quasi tutti gli altri.

Senza contare che a metà maggio 2019 sarà pienamente applicabile il Regolamento UE 1807/2018 che estende espressamente i principi del GDPR ai dati non personali. Il GDPR soddisfa necessità di business, non è un mero adempimento; è sostanza, non formalità. E chi continua a vederlo così, è condannato ad essere non competitivo, prima ancora che inadempiente.

Cavalieri o carretti?

I dati sono come un cavallo: se non lo domiamo ci trascinerà dove vuole, senza che abbiamo alcuna possibilità di andare dove vogliamo e con il costante rischio di farci male.

Se gestiamo i dati con l’approccio vecchio stile dei contenitori sempre più capienti, ne saremo vittime, trascinati qua e là dalle necessità contingenti, in una continua corsa imbizzarrita.

È indispensabile trasformarci in cavalieri, salire in sella ai nostri dati, conoscerli e guidarli nella direzione in cui vogliamo andare. Per farlo abbiamo bisogno di selle, staffe, briglie e finimenti: solide politiche di gestione, tassonomie efficienti nella loro struttura di archiviazione, politiche di lifecycle e di igiene del dato, privacy by design e by default (già dalla progettazione, appunto).

Le PMI sono spesso ancorate a una gestione tradizionale, più tecnologica e meno orientata al governo del dato: vedono l’IT come un fine, non come uno strumento sofisticato per spremere tutto il valore dell’asset principale, il dato. E perdono importanti opportunità e vantaggi competitivi.

Il GDPR è un’occasione d’oro per ripensare come gestiamo i dati, per stabilire delle regole e dei processi validi ora, ma che dovranno necessariamente adeguarsi, in maniera fluida e flessibile, alle mutevoli condizioni del mercato, prima ancora che della normativa. Cogliamo l’opportunità, smettiamo di essere succubi dei nostri dati e cominciamo a cavalcarli.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4