La Rivoluzione Digitale ha comportato un incremento esponenziale del flusso dei dati, ampliando enormemente il terreno d’attacco del cybercrime. Secondo Cisco nel 2020 il traffico globale sarà pari a 2,3 ZByte, di cui il 66% generato da device wireless e mobile. Anche il ricorso sempre più massiccio al Cloud Computing di terze parti espone le aziende a nuovi rischi. Tanto che Cisco ha classificato ad alto rischio il 27% delle Cloud Application.
Sicurezza informatica alla luce del regolamento GDPR
In tal senso i software per contact center rientrano tra i sistemi in cui la sicurezza informatica assume una rilevanza strategica, soprattutto se l’azienda ne adotta una versione basata sul cloud. Ma anche in quella on premise la questione della sicurezza non è meno importante, visto che la gestione di dati della clientela afferisce alla sfera personale degli individui. Sul tema, la Commissione Europea ha varato il regolamento 2016/679 sulla protezione dei dati (GDPR, General Data Protection Regulation). Il testo, pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio, inizierà ad avere efficacia il 25 maggio 2018. Da quella data sarà abrogato, in Italia, quanto previsto dal Codice per la protezione dei dati personali (Dlgs 196/2003) e quindi il Parlamento dovrà legiferare così da uniformare la normativa nazionale a quella comunitaria.
Crittografia e pseudonimizzazione
Nell’attesa, il CIO in collaborazione con il CISO (Chief Information Security Officer) dovrà predisporre quanto serve per non incorrere nelle sanzioni previste dal Regolamento Europeo.
Per esempio, sebbene il GDPR non prescriva tecnologie specifiche per la protezione dei dati, tuttavia suggerisce sistemi di crittografia e di pseudonimizzazione. Termine impronunciabile che indica un processo con il quale i dati vanno conservati in un formato che impedisca l’identificazione di un individuo specifico senza l’utilizzo di informazioni aggiuntive. A tal proposito, un recente studio di Delphix condotto in Germania, Gran Bretagna, Francia e Italia ha svelato un preoccupante ritardo, soprattutto nel nostro Paese, inerente le procedure di pseudonimizzazione. Motivo per il quale, vista la scadenza assai ravvicinata, non si possono più procrastinare le azioni necessarie a realizzare la criptazione invocata dalla UE.
I rischi informatici legati alle violazioni del sistema
Nel contact center, quindi, una cattiva gestione di dati sensibili può avere un costo dal punto di vista sanzionatorio. Ma l’azienda che lo utilizza potrebbe sostenere un costo ancora più salato soprattutto se subisse una violazione del sistema. Nel 2017 lo studio di Kaspersky Lab e B2B International “IT security: cost-centre or strategic investment?” ha rivelato che, nonostante stia crescendo l’importanza attribuita dalle imprese alla sicurezza IT, il budget medio delle grandi aziende destinato alla sicurezza informatica è calato da 25,5 milioni di dollari a 13,7 milioni. Il report ha anche messo in evidenza che i costi maggiori derivanti dalle falle nella sicurezza informatica sono imputabili spesso non direttamente all’azienda ma a errori di terze parti. Infatti, se, come sostiene la ricerca, per le pmi italiane l’impatto medio di una violazione di dati è stato pari a una perdita di 75.600€ (che diventano 856.800€ per le grandi aziende), la cifra lievita a 140 mila dollari nel caso di incidenti che coinvolgono infrastrutture ospitate da terze parti e arriva a quasi 2 milioni di dollari quando vengono colpiti i servizi IaaS dei fornitori di grandi aziende.
Affidarsi al partner per il contact center che adotta un Cyber Risk Framework
Da quanto detto sopra, è fondamentale riuscire a quantificare il rischio ai fini di una strategia di contenimento dei danni quando si decide di implementare un contact center in house oppure in outsourcing. Bisogna tenere presente che la stima di una potenziale violazione informatica sarà sempre approssimativa. Ciò non toglie che, comunque, è possibile delimitare la tipologia di rischio connesso alla gestione di un contact center alla compromissione e/o perdita di informazioni e dati sensibili. Ne consegue che, nella scelta del partner giusto, l’onere della prova ricade su quest’ultimo che deve dimostrare, anche con l’ausilio di un Cyber Risk Framework, un’elevata capacità di gestione dei fattori di rischio presunti e (per questo) circoscrivibili.