La conformità al Regolamento Europeo in materia di protezione dei dati personali (GDPR) si realizza attraverso una serie di adempimenti.
In primo luogo è d'obbligo sottostare ad un adeguamento formale, attraverso attività di revisione dei documenti principali come il modulo per il consenso, le informative, le nomine, il registro dei trattamenti e così via; in secondo luogo è necessario mirare a sfruttare quest’obbligo per sottoporre la propria attività ad una revisione sostanziale generale, quindi rivedere l’impianto tecnologico di gestione della data protection, per renderlo più sicuro e performante, allineandolo anche alle necessità di Business Continuity (piano di continuità operativa).
Dall'entrata in vigore del Regolamento Europeo, a maggio 2018, la sicurezza dei dati personali e più in generale del patrimonio informativo dell’azienda, è un obiettivo al quale finalmente anche le PMI stanno guardando, come già fanno da tempo le più grandi organizzazioni.
Il Regolamento UE e i suoi evidenti effetti, non ultimo la maggiore notorietà dei Data Breach (per approfondire leggi anche l'articolo "Che cos'è un "Data Breach""), hanno senz’altro contribuito ad accrescere la sensibilità su questo tema, accelerando un processo di consapevolezza (o Accountability) dell'imprenditore che parte da lontano.
Analisi del Rischio (Risk Analysis)
Il sempre maggiore diffondersi di tecnologie informatiche, non sempre gestite con la dovuta attenzione e competenza all’interno delle aziende (e ancora di più nella sfera privata), va di pari passo con l’aumento di vulnerabilità e di conseguenti rischi per i dati trattati.
Nella vita privata quotidiana sappiamo come proteggere i nostri beni, quale è il loro valore e quali comportamenti adottare per difenderlo, mentre per i beni informatici aziendali e per le informazioni memorizzate e trattate con dispositivi e applicativi software, non si può dire la stessa cosa.
Proprio per questo motivo uno dei "must" del GDPR si chiama "Analisi del Rischio" (Risk Analysis), per istruire e formare gli imprenditori ad una maggiore consapevolezza e responsabilizzazione riguardo ad una adeguata identificazione delle minacce e delle probabilità che queste si verifichino.
L'Asset Inventory (Inventario delle Risorse)
Ecco quindi che entra in gioco l'Asset Inventory (ovvero l'Inventario delle Risorse aziendali), il punto di partenza di una qualsiasi metodologia di analisi del rischio volto ad identificare tutte le risorse patrimonio dell'attività, stabilirne il valore in termini di dati gestiti, tenendo conto dei possibili danni diretti e indiretti al fine di stilare una "classifica dei beni da proteggere" secondo la loro criticità. A questo punto siamo pronti per decidere che tipo di protezioni adottare, così come indicato dall’articolo 32 del GDPR:
“Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il Titolare del trattamento e il Responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.
Ma come si realizza un buon Asset Inventory corredato da un'analisi del rischio in grado di rendere compliant l'azienda ai princìpi dettati dal GDPR?
Innanzitutto è buona cosa affidarsi a professionisti del settore, in grado di guidare il Titolare e il Responsabile del trattamento nell'orientamento alla valutazione delle varie criticità possibili, in base alla tipologia di attività e al patrimonio informatico e informativo aziendale e, in caso sia stato nominato un DPO (Data Protection Officer) esterno all'azienda, è fondamentale instaurare una fattiva collaborazione di quest'ultimo col team Privacy. E' inoltre necessario essere a conoscenza dei beni e degli strumenti adottati dall'azienda con cui vengono gestiti e trattati dati personali, per questo è utile avere sempre a portata di mano una check list di controllo dell’hardware e del software presenti nella propria organizzazione e delle loro configurazioni in ottica di adeguate misure di sicurezza.
Riguardo agli Asset Hardware l'analisi dovrà riguardare:
la protezione fisica
i componenti di rete
la protezione perimetrale
la protezione della navigazione internet
gli apparati di comunicazione
i componenti del server e dei client
le stampanti, gli scanner e altri apparati condivisi
Per quanto concerne gli Asset Software e dei Servizi sono da valutarsi:
il Sistema Operativo e il dominio
gli applicativi gestionali
la posta elettronica
la rete Intranet e Extranet
gli antivirus, gli antimalware e gli endpoint security (leggi in merito l'articolo "Antivirus: Se sei SMART hai bisogno di lui!")
il backup
il sito internet
la gestione dei log di accesso
Per concludere, un’attenta analisi degli asset presenti nell’organizzazione e delle relative misure di sicurezza presenti e/o mancanti, insieme ad una esaustiva rilevazione dei dati personali trattati (leggi in merito l'articolo "Che cos'è il Registro dei Trattamenti"), costituirà una buona base per rilevare e valutare il livello di rischio per i diritti e le libertà delle persone fisiche che abbraccerà anche i rischi per la sicurezza in generale e per il business aziendale, nell'ottica di un sistema di gestione integrato del quale la Data Protection fa sicuramente parte.
Il nostro team è a tua completa disposizione per qualsiasi informazione o per una consulenza gratuita e senza impegno, contattaci ai nostri recapiti:
Cel. +39 371 46 371 45 - 371 46 30 129
E-mail: info@enterprise-solutions.net
oppure tramite chat con un nostro operatore cliccando sul box "Serve aiuto" o sul bottone blu con i 3 puntini ". . ." nella versione Mobile.
Comments