Nel 2018 le tematiche della sicurezza informatica sono definitivamente uscite dalla schiera degli addetti ai lavori per diventare una fonte di dibattito quotidiano per cittadini e imprese.
Il merito – si fa per dire – è della diffusione del ransomware o di casi come quelli di Cambridge Analytica, che hanno mostrato come la sicurezza dipenda sempre più dalle complesse interrelazioni fra i sistemi informativi aziendali con quelli di partner, fornitori e clienti.
Eppure, se le aziende italiane pensano oggi alla sicurezza informatica è soprattutto in conseguenza di una norma: il nuovo Regolamento Europeo sulla Protezione dei Dati Personali (GDPR), in vigore dal 25 maggio 2018 in tutti i Paesi Comunitari.
Il GDPR “rifonda” le misure minime di sicurezza informatica alla base del sistema di protezione dei dati personali.
Rispetto ai limiti del Codice della privacy, dove tali misure si concretizzano in un elenco dettagliato e uguale per tutti (sia per chi tratta pochi dati e sia per chi ne tratta molti), il regolamento europeo cambia approccio, lasciando al titolare del trattamento ampio margine di libertà di scelta in funzione della realtà produttiva nella quale opera.
Il nuovo sistema si basa su alcuni principi cardine, ineludibili.
I primi tre sono: la necessità di un’analisi del rischio, l’attenzione ai costi da supportare e l’applicazione della nozione di “accountability”. In cosa consistono?
Analisi del rischio
Il primo punto, la necessità di un’analisi del rischio, è molto lineare da comprendere: se non vengono fornite regole specifiche, occorre, prima di scegliere come operare, analizzare i rischi reali che i dati che si trattano e gli interessati a loro riferiti possono soffrire.
In questo caso, occorre rappresentarsi prima tutti i rischi possibili – che variano molto a seconda del “peso” del dato che viene trattato – e da quella analisi si prendono le mosse per predisporre un insieme di misure adeguate di sicurezza. L’analisi del rischio può essere un procedimento estremamente semplice o, al contrario, particolarmente complesso in quanto è strettamente legato ai tipi di dati che sono trattati, alla molteplicità (o meno) di trattamenti e ai rischi che corrono gli interessati in caso di attacco alle loro informazioni.
Realtà che trattano dati ad alto rischio (cliniche, ospedali, laboratori medici) dovranno fare un’analisi estremamente curata e specifica; realtà che, invece, trattano soprattutto dati comuni, avranno ovviamente analisi del rischio più semplici da completare.
Commisurazione alla “forza commerciale”
Il secondo punto, l’attenzione ai costi e allo stato dell’arte della tecnica, è altrettanto interessante. Il Regolamento, in più punti, ribadisce che tutto il sistema di protezione dei dati disegnato dal provvedimento europeo deve sempre tenere presente i costi (ossia la capacità che ha un’azienda o un ente di investire denaro per la compliance) e i migliori strumenti tecnici e informatici disponibili sul mercato. Tutti gli sforzi per proteggere i dati non devono arrivare a minare l’economia e i bilanci dell’azienda, ma devono sempre essere accuratamente calibrati con la realtà economica effettiva.
Per la prima volta, quindi, si specifica che ogni azione per la protezione dei dati debba essere commisurata alla “forza commerciale” e alla capacità di investire della singola realtà. Questo porterà un vantaggio soprattutto in quelle realtà che hanno budget limitati.
Principio della accountability
Infine, tutto il sistema deve essere orientato in vista del principio della accountability: non solo gli adempimenti devono esser concretamente svolti ma tutto ciò che viene fatto deve essere anche formalmente verificabile (“verificabilità”, accountability appunto), sia dall’interno, sia da eventuali operazioni di auditing esterno. Ciò comporta la necessità di tenere traccia di qualsiasi operazione effettuata in un’ottica di protezione dei dati, al fine di poter ripercorrere in maniera obiettiva, in ogni momento, il percorso seguito e di valutare i risultati.
Misure di sicurezza
L’Articolo 32 del GDPR, infine, è quello più importante con riferimento all’implementazione di misure di sicurezza vere e proprie e intese nel senso stringente del termine. Questa norma stabilisce come, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento debbano mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.
COSA PROPONIAMO?
La Soluzione Solarwinds è una Piattaforma di Service Managment protetto, indispensabile per servizi IT intelligenti, sicuri ed efficienti, conformi alla normativa GDPR. Con SolarWinds tutti gli strumenti utili per proteggere i PC e i Server della tua Azienda, sono in un’unica Dashboard. Inoltre offre molteplici livelli di sicurezza: antivirus gestito e sempre aggiornato, strumenti di monitoraggio della rete, backup e ripristino per proteggere la Tua Azienda sotto ogni punto di vista.
La soluzione Solarwinds è destinata a tutte le organizzazioni che trattano dati personali nell’ambito dell’attività economica, amministrativa ed informativa, quindi aziende, professionisti (Commercialisti, Consulenti del Lavoro, Avvocati, Notai) o coloro che intendono fornire il supporto necessario in materia di privacy a piccole realtà. Tutti i soggetti, quindi, destinatari degli obblighi ad esclusione di settori di attività specifici ed oggetto di norme e disposizioni integrative e restrittive sul trattamento dei dati sensibili (es. sanità, giustizia, pubblica amministrazione).
Tramite la partnership di Gruppo Buffetti spa il nostro Centro Software Salerno è certificato per offrire ai propri Clienti i servizi indispensabili e le informazioni principali per monitorare e migliore la sicurezza dei propri dati digitali.
Scopri le nostre offerte al link.
Per ulteriori informazioni contattataci all’infoline Buffetti Software Salerno 089 98 48 240.