Buon 2018, e benvenuti nell’anno del GDPR!
Se infatti i temi dell’ICT di quest’anno probabilmente nella sostanza andranno a parare altrove (in particolar modo per le aziende italiane, ne riparleremo più avanti), questo si apre indiscutibilmente come l’anno del GDPR, vale a dire il nuovo regolamento europeo sulla gestione dei dati personali che andrà in vigore tra pochi mesi.
Già da molto tempo se ne parla, specie tra gli addetti ai lavori, e tra le aziende un po’ più attente e lungimiranti. La normativa impone regole più chiare e severe per la gestione di tutti i dati personali che riguardano persone fisiche, e, pertanto, ha un’ampia ricaduta sulle aziende.
Ci aspettiamo un proliferare di “consulenti”, “specialisti legali”, e soprattutto “guru” che verranno a proporre analisi, studi, valutazioni aziendali, e una serie di ricette più o meno precostituite.
Purtropo molto probabilmente, a fronte di qualche intervento sensato o di qualche osservazione utile, la paura è che tutto si risolva, almeno per le piccole e medie aziende italiane, nel commissionare qualcuno di questi interventi, fare magari qualche acquisto in tecnologie che già avrebbe dovuto avere, e poi far cadere la cosa nel dimenticatoio. Purtroppo le lacune nelle politiche di sicurezza e gestione dei dati che si vedono sono enormi, le leggerezze smisurate, e l’incapacità di vederle altrettanto grande. E dubito che tutto questo verrà seriamente scalfito.
Di contro, scavando, il grosso dei problemi dovrebbe essere riconosciuto nei (ridicoli) software gestionali di cui quasi tutte le aziende sono dotate, o delle procedure di “informatica manuale” con cui realizzano processi per i quali dovrebbero invece sviluppare un software. Tutte queste applicazioni sono quelle INTOCCABILI, in quanto non appena se ne sollevano dubbi l’azienda utilizzatrice stende il suo ombrello protettivo su un produttore che purtroppo non ha le capacità di fare un buon prodotto. Andare a metterli in dubbio, o peggio ancora a sostituirli, vorrebbe dire un impatto operativo, culturale, tecnico molto forte che alla fine nessuna azienda vuole affrontare. Tantomeno per il “solo” GDPR.
Ecco allora che continueremo ad avere gestionali privi di un vero accounting, in cui le password utente sono in chiaro o peggio ancora di fatto non ci sono, i quali accedono come “sa” ad un bel database SQL Server in cui tutto è in chiaro, gli accessi non monitorati, e così via.
Tutte cose già viste ai tempi della normativa privacy, del DPS, della normativa amministratori di rete, ecc. Un po’ di impegno a migliorare qualche cosa da parte degli IT manager più sensibili, qualche investimento in firewall e simili, qualche documento, e poi nel giro di un paio di anni tutto dimenticato per sempre o quasi. Nessun software è mai stato cambiato per questo.
Fino a quando si continueranno ad accettare ed utilizzare software fatti male, che non rispettano alcuno standard progettuale degno di questo secolo, dando ai fornitori carta bianca per fornirli, installarli e farli usare nella maniera più becera possibile, nessun concetto di sicurezza potrà essere vantato da nessuno.
