XQuesto sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, scorrendo questa pagina, cliccando su un link o proseguendo la navigazione in altra maniera, acconsenti all’uso dei cookie. Accetto

Il blog ufficiale Darnet

CYBER RISK MANAGEMENT - Più sicurezza con il GDPR

Il prossimo 25 maggio, sarà definitivamente applicabile il General Data Protection Regulation (che ricordiamo essere in vigore dal 2016), ma forse se c’è ancora un po’ confusione sul tema. In questo articolo cercheremo di fornire qualche spunto di riflessione, con la speranza di chiarire qualche dubbio.

GDPR
Il Regolamente UE 2016/679 obbliga l’azienda a tutelare i dati personali (oggetto del Regolamento). Questo può costituire però, per le aziende, una opportunità per mettere al sicuro anche altre informazioni strategiche, che non sono contemplate dal GDPR, come ad esempio la lista dei clienti o dei fornitori, i progetti in sviluppo, i brevetti, i piani di business in fase di discussione e così via.

Approccio “Risk based”
Per mettere al sicuro i dati, bisogna partire con la mappatura dei rischi. In tal senso, il GDPR abbraccia completamente un approccio “Risk based”. Quindi, i dati esposti ad un alto rischio, come la manipolazione con procedure automatiche, o i dati della video sorveglianza di aree pubbliche, devono essere valutati in termini di sicurezza mediante il Data Protection Impact Assessment (DPIA). L’analisi deve essere ripetuta periodicamente o ad ogni variazione nei trattamenti; deve essere ripetibile e misurabile. L’azienda deve perciò attivare un processo organizzativo, dove vengono presentate le misure adeguate per la gestione dei rischi di Information Security. L’analisi per il DPIA, come per ogni altra valutazione dei rischi, deve coinvolgere più reparti aziendali, come l’ufficio tecnico, IT, l’unità legale, fino ad arrivare alla direzione.

Norma ISO 29134
A fine 2017 è stata emanata la norma ISO 29134 nella quale sono contenute le linee guida per il “Privacy Impact Assessment” (allineate alle indicazioni fornite dal gruppo di lavoro “Article 29 Data Protection Working Party” e basata sempre sullo standard di gestione dei rischi ISO 31000) con l’obbiettivo di definire un processo articolato per l’analisi, per il riesame periodico della sicurezza e per la predisposizione di un modello di report PIA. Tuttavia, se in azienda sono già stati attivati altri framework per la gestione del rischio, l’approccio al GDPR (e specialmente il DPIA) può basarsi su questi.

Famiglia ISO 27000
La gran parte delle richieste presenti nel GDPR sono soddisfatte se l’azienda è certificata o se segue i principi della famiglia ISO 27000 (Sistemi di gestione della sicurezza delle informazioni). In tal caso, quindi, dovranno essere integrate solo le disposizioni sui rischi e su ulteriori aspetti presenti nella normativa, esaminabili in base ad alcune caratteristiche dell’azienda.

Darnet è auditor certificato ISO 27001. Siamo a disposizione per maggiori approfondimenti sul tema e per una consulenza dedicata.

 

Vedi anche il nostro precedente articolo Regolamento GDPR: alcuni aspetti che forse non conoscevi o hai trascurato.

15 Maggio 2018

Darnet UK ltd
sede legale:
152 City Road
EC1V 2NX London (UK)

tel +44(0)20 36 08 64 50
mail: info@darnetltd.co.uk
twitter: @DarnetInfo

Company Number: 08497464

Darnet Servizi srls
sede legale:
via Vittorio Cadel 9
33100 Udine (UD)
sede operativa:
via Galileo Galilei 9
33010 Tavagnacco (UD)

tel +39(0)432 18 45 760
mail: info@darnet.it

CF/PI: 02816690305

Commento inviato

Il nostro staff valuterà il commento e lo renderà pubblico il prima possibile
© Made in Web Industry