Cybersecurity e privacy

I SERVIZI

CYBERSECURITY

Strumenti di controllo di base

• Che cosa sono: sono attività di base per la sicurezza informatica (ad es. gestione utenti, gestione credenziali, inventario dei dispositivi) e attività ulteriori da intraprendere a seconda del contesto di rischio in cui opera l’organizzazione.
• Perché: l’individuazione del contesto, della probabilità e dei rischi di una perdita di riservatezza, disponibilità o integrità delle informazioni è il primo passo per implementare un’adeguata sicurezza del sistema informativo.
• Azioni: azioni necessarie in questa fase sono, ad es., inventario degli asset, identificazione delle forniture critiche, definizione del “perimetro di difesa”, analisi delle vulnerabilità, piano di backup.

Policy di sicurezza

• Che cosa sono: identificazione e definizione delle esigenze di sicurezza dei sistemi e delle informazioni, definizione di ruoli e responsabilità interne, istruzioni per l’utilizzo di strumenti e sistemi informatici, istruzioni per gli amministratori di sistema, segmentazione delle risorse e delle informazioni, piano di disaster recovery.
• Perché: definire le politiche “sulla carta” è un passaggio essenziale per implementare un sistema informativo che risponda alle esigenze dell’organizzazione, permette di capire come organizzare i controlli e quali ruoli assegnare, anche in caso di incidente.
• Azioni: definizione di liste di controllo per gli accessi, la divisione delle informazioni e dei ruoli per livelli di rischio, le misure di sicurezza, i piani di reazione agli incidenti, piani di formazione e di verifica.

Misure di sicurezza

• Che cosa sono: le azioni tecniche e organizzative che mettono in pratica le politiche di sicurezza. Se ne può fare un elenco da verificare e aggiornare periodicamente.
• Perché: le misure di sicurezza e le relative istruzioni sono la parte fondamentale del sistema di sicurezza. Le misure di sicurezza devono essere finalizzate sia a prevenire che a ripristinare i sistemi dopo un attacco.
• Azioni: elenco di misure di sicurezza, istruzioni e attribuzione dei ruoli e delle responsabilità, verifica periodica dell’efficacia e efficienza delle misure.

Formazione del personale

• Che cos’è: informazione e formazione del personale che utilizza dispositivi e strumenti informatici. Il personale deve essere informato sulle principali minacce informatiche e sui comportamenti idonei a proteggere le informazioni.
• Perché: le tecniche di social engineering (es. phishing, truffe telefoniche, …) sono ancora le più sfruttate per accedere illecitamente a dati e sistemi aziendali, gli errori umani sono ancora le principali fonti di violazione delle informazioni. Aumentare la consapevolezza delle persone esposte ad attacchi è il principale strumento di difesa.
• Azioni: piano di formazione sulle politiche e le istruzioni interne e di sensibilizzazione sulle principali minacce informatiche e sull’utilizzo dei dispositivi aziendali e personali, aggiornamento periodico.

PRIVACY

Norme e provvedimenti di riferimento

• Che cosa sono: il Reg. UE 2016/679 (GDPR) e il D.Lgs. 196/2003 (Codice per la protezione dei dati personali) costituiscono la normativa di riferimento. Chiarimenti su specifici contesti si trovano nei Provvedimenti e nelle Linee Guida del Garante così come nelle Linee Guida EDPB e nella documentazione delle autorità di controllo europee.
• Perché: la corretta applicazione delle normative e la definizione di misure di sicurezza adeguate proteggono da rischi operativi, sanzionatori e reputazionali. Poter dimostrare la compliance, oltre che essere obbligatorio, fornisce un vantaggio competitivo all’organizzazione.
• Azioni: mappatura dei trattamenti di dati personali, valutazione delle attività da effettuare per raggiungere la conformità, valutazione dei rischi e definizione delle misure di sicurezza tecniche e organizzative. Definizione di un “Modello Organizzativo Privacy” adeguato al contesto.

Le policy aziendali

• Che cosa sono: l’art. 24(2) del GDPR, tra le misure di sicurezza indica “l’attuazione di politiche adeguate”. Tali politiche si declinano in modo diverso a seconda dei rischi e dei contesti di trattamento.
• Perché: le politiche e le istruzioni interne servono a dare le linee guida per stabilire le misure tecniche e organizzative di sicurezza, a dimostrare la conformità dell’organizzazione verso committenti e autorità di controllo nonché a garantire i diritti degli interessati.
• Azioni: definizione delle politiche, revisione periodica delle stesse (es. procedure o linee guida per la gestione delle violazioni dei dati personali e per la gestione delle richieste di esercizio dei diritti da parte degli interessati, istruzioni per gli autorizzati, ecc…).

Le misure di sicurezza

• Che cosa sono: il titolare del trattamento è tenuto a stabilire misure di sicurezza a protezione dei dati personali degli interessati.
• Perché: l’art. 32 del GDPR stabilisce che il titolare del trattamento debba mettere in atto misure tecniche e organizzative “adeguate” in relazione al rischio, capaci di preservare la riservatezza, l’integrità e la disponibilità dei dati personali nonché di ripristinare l’accesso ai dati in caso di incidente fisico o tecnico.
• Azioni: definizione delle misure di sicurezza tecniche e organizzative, piano di formazione e di verifica sull’effettiva attuazione delle stesse.

Formazione del personale

• Che cos’è: la formazione del personale è una delle principali misure organizzative di sicurezza, specie nelle organizzazioni piccole o medie, prevista anche nel GDPR agli artt. 29 e 32.
• Perché: la formazione è necessaria per diffondere la “cultura” della protezione dei dati nell’organizzazione. L’errore umano è alla base della maggior parte delle violazioni dei dati e degli incidenti informatici, eventi che possono causare danni agli interessati e sanzioni “privacy” quando derivano da insufficienti misure di sicurezza.
• Azioni: definizione di un piano di formazione adeguato al contesto, idoneo a mettere in atto le politiche e le misure di sicurezza dell’organizzazione, aggiornamento periodico.