Cyber Security e GDPR: come adeguare la tua azienda in 12 mosse

La Cyber Security e il GDPR non erano il primo pensiero degli imprenditori fino a qualche anno fa. Dall’entrata in vigore del GDPR e con l’emissione della Direttiva NIS e del Cybersecurity Act l’Unione Europea ha voluto dare una sterzata verso la responsabilizzazione, l’accountability e le potenziali conseguenze di un data breach. I destinatari sono tutte quelle aziende che, abbracciando la digital transformation, tendessero a dimenticare la sicurezza informatica come priorità, dal punto di vista della security e della privacy dei dati (Cyber Security e GDPR).

Vediamo quindi quali scelte prioritizzare per implementare misure di Cyber Security congrue al GDPR, adeguando l’azienda alla compliance normativa e, allo stesso tempo, mantenendo un approccio efficace ed efficiente nell’operatività del business day by day.  


Concetti strategici di Cyber Security nel GDPR: Privacy by design e by default

I concetti coinvolti con il tema della Cyber Security nel GDPR riguardano la Privacy by design e by default sanciti nell’articolo 25 che sottolinea come si debba scegliere una protezione adeguata ai mezzi aziendali nella fase di progettazione (Privacy by design). Lo stesso articolo specifica come sia necessario adottare misure tecniche e organizzative adeguate per il trattamento dei soli dati personali necessari per ogni specifica finalità del trattamento e non di più (Privacy by default).


Cyber Security e GDPR
nelle indicazioni dell’articolo 32

Ma è nell’articolo 32 che le misure tecniche e organizzative introdotte nell’art. 25 sono elencate e specificate come misure di sicurezza del trattamento (articolo 1, lettera a-d).


12 action per la compliance e la Cyber Security per il GDPR

Ma in pratica da dove partire? Vi sono almeno 12 passi da dover seguire:

1 – Consapevolezza del cambio di approccio: il nuovo modello previsto dal Regolamento richiede la responsabilizzazione del titolare e quindi la sua accountability non può mai essere demandata a qualcun altro.

2 – Mappatura dei trattamenti ovvero effettuare una valutazione di assessment sulla superficie da proteggere costituita da: tipi di dati trattati e per ciascuno individuare tutte le elaborazioni (trattamenti) effettuate o da effettuare, la durata del trattamento, individuazione della provenienza e destinazione dei dati, le modalità di raccolta e di conservazione (retention), i soggetti coinvolti (responsabili del trattamento).

3 – Inventario degli asset. È necessario istituire e aggiornare un inventario degli asset per valutarne le vulnerabilità che possono influenzare l’analisi di rischio (punto 4). Per ogni asset devono essere definite le misure di sicurezza applicabili sui dati secondo la capacità di garantire la Riservatezza, Integrità e Disponibilità (RID) dei dati “at rest” e “in transit”, monitorando gli accessi, tracciando la storia dei dati trattati. Questo richiede che ogni strumento digitale sia in grado di avere le seguenti features:

  1. Controllo degli accessi prevedendo le fasi di identificazione autenticazione e autorizzazione sulla base della profilazione dell’utenza e configurazione al minimo indispensabile (need to knw e del least priviledge).
  2. Tracciamento dei log con livello di dettaglio configurabile, e protezione dei log stessi.
  3. Controllo sull’esattezza dei dati, modifica e cancellazione nell’ambito delle rispettive policy di “precision” del dato, autorizzazione alla modifica, retention del dato, consentendo in ogni momento che l’utenza possa esercitare i suoi diritti sui dati (modifica rettifica e cancellazione).
  4. Segregazione dei dati sensibili e particolari oltre a quelli personali, adottando misure incrementalmente stringenti che spaziano dalla pseudonimizzazione alla cifratura sia per i dati salvati e fermi “at rest”, sia per i dati movimentati “in transit”.
  5. Salvataggio dei dati con back up e policy adeguate al rischio, secondo policy 3-2-1 e legate al RPO e RTO dei dati, istituendo anche un processo di Disaster Recovery.

4 – Valutazione dei rischi e DPIA (Data Protection Impact Analysis). Si effettua la stima del rischio per ogni tipo di dato gestito, valutando le minacce incombenti e l’impatto come danno economico in relazione alla alterazione della RID di quel dato.

5 – Mitigazione dei rischi: significa valutare l’adozione delle misure di sicurezza adeguate a diminuire il rischio di problemi sui dati. Questa lista di misure è connessa alle capacità degli asset aziendali (punto 3) e deve essere riportata nel registro di trattamento (punto 6).

6 – Compilazione del Registro del Trattamento, ovvero il documento (articolo 30 GDPR) che contiene tutti i dati della mappatura effettuata al punto 2 con tutte le valutazioni  calcolate nel punto 4 e mitigate nel punto 5.

7 – Nomina del DPO. Il GDPR prevede la possibilità di dotarsi di un DPO e in alcuni casi lo obbliga. È necessario quindi verificare l’art. 37 del GDPR e poi scegliere.

8 – Policy e procedure aziendali sulla security; è necessario stabilire almeno quelle relative ai data Breach e alla gestione di incidenti informatici, alla Business Continuity e Disaster Recovery.

9 – Redazione della informativa privacy per gli utenti e della gestione del consenso da parte degli utenti.

10 – Istituzione di Ruoli e Responsabilità in materia di trattamento dei dati e previsione di Formazione ai dipendenti su queste tematiche. 

11 – Contrattualizzazione con i fornitori per normare le garanzie contrattuali in materia di GDPR per il loro ruolo e coinvolgimento nella gestione dei dati (anche per la sicurezza della supply chain).

12 – Rivalutazione periodica di tutte le misure istituite in ottica di aggiornamento e miglioramento.

 

 

Accertarsi che la propria azienda sia GDPR compliant è fondamentale per ogni azienda

Nel 2019 solo il 29% delle aziende europee erano pienamente conformi al GDPR.

È essenziale garantire che i dati personali archiviati nei flussi aziendali siano adeguatamente protetti. È l'unico modo per evitare sanzioni in ambito privacy e protezione del dato.

Per semplificare la conformità GDPR, gli esperti di sicurezza di CYBEROO in collaborazione con LYB propongono un servizio di gestione e monitoraggio dei dati personali e sensibili non strutturati sugli endpoint aziendali.

 


New call-to-action