La comunicazione nella sfera della protezione dati

Quando si parla di protezione dei dati spesso si pensa al GDPR e alla cyber-sicurezza, raramente si parla di comunicazione. Eppure, è un fattore fondamentale senza il quale è impossibile far dialogare gli attori che possono davvero fare la differenza tra presenza o mancanza di sicurezza. La comunicazione va intesa in duplice senso: quella interna alle aziende, ma anche quella di più ampio respiro, che abbraccia la sfera della divulgazione.

di Gianluca Lombardi - Si occupa di privacy e sicurezza informatica da oltre 25 anni. Ideatore del brand Mondo Privacy, è oggi titolare e amministratore unico di GL Consulting, azienda leader nel settore della protezione dati e promotrice del rating di cybersecurity

Partiamo dalla divulgazione. Il problema reale che gli addetti ai lavori stanno percependo in questo momento è che non ci sia una reale consapevolezza relativamente agli aspetti di protezione dati, siano essi dati personali, know how aziendale o genericamente dati digitali. Si tende ad inquadrare il GDPR come un adempimento burocratico e a pensare/sperare che gli attacchi informatici riguardino realtà lontane. Tutto questo porta all’errata convinzione che tutto sommato non vale la pena investire tempo e denaro per la prevenzione. Manca infatti il reale timore che le proprie informazioni possano essere rubate o manipolate e quando il timore c’è, viene un po’ messo a tacere.

La divulgazione come strumento di consapevolezza

Il compito di interrompere queste linee di pensiero e di spezzare le false credenze deve essere preso in carico dagli addetti al settore, siano essi consulenti, DPO o esperti informatici. Il loro compito è quello di cooperare per lanciare un alert su larga scala, che raggiunga più destinatari possibile. La divulgazione deve avere come scopo proprio quello di creare una cultura di base, di coinvolgere e di portare un messaggio che venga percepito come urgente e importante. Le aziende devono comprendere che il punto non è più “se colpiranno me…” ma “quando colpiranno me”. Non si tratta certo di fare terrorismo ma di portare consapevolezza.  L’obiettivo della divulgazione è appunto creare consapevolezza generalizzata.

Direzione e IT: perché non si comprendono? 

Se spostiamo il focus dalle grandi masse alle piccole realtà aziendali, il tema della comunicazione acquista una sfumatura diversa. Non parliamo più di divulgazione, ma di necessità di arrivare ad avere un linguaggio comune che faccia sì che figure IT e Direzione riescano a comprendersi. L’esperienza sul campo di GL Consulting ha riscontrato un modus operandi piuttosto comune nella catena di comunicazione interna di molte organizzazioni, riassumibile come segue:

• l’IT cerca di segnalare alla Direzione problematiche, anche importanti, legate alla protezione dei dati e lo fa ovviamente con il suo linguaggio, spesso molto tecnico;

• la Direzione fatica a tradurre quel linguaggio e non arriva a comprendere realmente il pericolo che gli viene segnalato. Rimanda il problema, credendo/sperando che la sua realtà non sia un target;

• l’IT chiede budget da poter investire sulla sicurezza della rete e per proteggere i dati lì conservati ed è in ansia perché sa che senza quegli investimenti prima o poi si troverà in difficoltà;

• la direzione ritiene i budget richiesti esagerati poiché non ha realmente compreso il problema e lo sottovaluta.

Ecco che in uno scenario di questo tipo le aziende restano bersagli facili per gli hacker, che non hanno come obiettivo solamente le grandi aziende, ma che tendono a colpire volentieri anche le medie/piccole realtà a cui chiedere magari un riscatto di qualche migliaio di euro.

 Come risolvere? 

Serve un linguaggio comune che in qualche modo renda comprensibile il messaggio tecnico e riesca a trasmettere la necessità di considerare il problema cybersecurity come prioritario. Il filosofo Bauman diceva “Il fallimento di una relazione è quasi sempre un fallimento di comunicazione”. Questo è vero nelle relazioni private, nelle interazioni aziendali e nelle attività di divulgazione. Trovare il modo di trasmettere un messaggio in maniera comprensibile per il destinatario è la soluzione per far evolvere i sistemi e per garantire, nel nostro caso, la consapevolezza che porta all’azione. 

Promuovere la lungimiranza e l’approccio preventivo deve essere lo scopo di chi fa consulenza nell’ambito della protezione dati, con l’ulteriore attenzione di considerare la buona-comunicazione come tassello fondamentale perché il tutto funzioni.