Gestione in sicurezza delle operazioni in rete e/o su sistemi "open".

Con il nuovo regolamento generale sulla protezione dei dati GDPR, in vigore dal 25 maggio 2018, le aziende che operano all'interno della comunità Europea (ovvero trattano dati personali di cittadini Europei), dovranno adeguarsi alle normative previste per il trattamento dei dati, pena pesanti sanzioni.

Il concetto di dato personale nel GDPR si allarga, nel senso che non si parla più solo di songolo dato anagrafico come nome e cognome, ma di qualsiasi informazione che consenta di identificare un individuo direttamente o inderattemente. Il concetto di identificazione attraverso incrocio di dati estende quindi il dato personale anche a informazioni come l'indirizzo IP oppure l'indirizzo e-mail.

Il nuovo regolamento generale sulla protezione dei dati inanzitutto non permetterà di raccogliere informazioni con la regola del silenzio/assenzo. Le richieste di approvazione per il trattamento dei dati personali dovranno essere quanto più chiare ed esplicative, senza creare confusione o dubbi nell'utente, pena l'annullamento delle attività di raccolta dati. Le modalità di trattamento dovranno essere subordinate ad una valutazione del rischio legato alla sicurezza delle informazioni e l'azienda dovrà quindi dimostrare di aver fatto tutto il possibile per evitare eventuali danni.

Il nuovo regolamento generale sulla protezione dei dati non solo prevederà un adeguamento tecnologico/informatico, ma imporrà la scelta di un DPO (Data Protection Officer) che sarà la persona responsabile del comparto data protection soprattutto per la PA e per le aziende che fanno del trattamento dei dati personali la principale attività professionale.

Si impone un adeguamento attraverso i seguenti interventi:

  • scelta di un team multidisciplinare di esperti informatici e legali è il primo passo per preparare l'impresa di adeguamento;
  • definire un progetto di adeguamento, che contempli in modo olistico tutte le fasi necesarie, dall'assessment e la valutazione dei rischi fino all'implementazione dei nuovi processi e alla formazione, è la chiave per affrontare un tema così complesso;
  • investire nelle infrastrutture IT: l'adeguamento informatico è indispensabile, ma migliorare l'infrastruttura IT della propria azienda comunque migliora non solo la gestione dei dati, ma anche la protezione dei dati e delle informazioni aziendali;
  • nomina del DPO, ovvero di una perosna con i requisiti di autonomia richiesti dalla nuova Direttiva Europea.

Comprendere e classificare il rischio IT (IT Service Management) è una priorità assoluta per le aziende che operano in settori regolamentati tipo finance ed utilities e mantenersi allineati alle novità è necessario per evitare situazioni di blocco che comportano perdite di tempo, soldi e dati preziosissimi.

In particolare la ISO 27001 è uno standard rivolto alle organizzazioni che intendano adottare una policy di gestione dei rischi dei propri sistemi IT (Information Security Management System, ISMS).
Esso stabilisce una serie di requisiti generici che i possessori della certificazione sono chiamati ad avere affinchè le informazioni contenute nei propri sistemi IT possano essere ritenute al sicuro, ma non distingue gli enti certificati nè per natura, nè per dimensione.

Gli IT Project Management che si occupano dei sistemi informativi aziendali, come gli Auditor dei Sistemi Informativi, i responsabili dei processi e della qualità IT ed i Controller IT, sanno bene quanto sia importante anticipare situazioni di questo tipo, e la gestione dei rischi legati ai sistemi informativi inizia proprio dalla scelta iniziale fatta dalle figure che si occupano di questo.

In sostanza, non basta un buon protocollo ITIL a salvaguardare la sicurezza informatica.

Capire quale assetto IT sia funzionale alle esigenze aziendali è come posare il primo mattone sul quale costruire la solidità della  struttura IT.
Un’azienda capace di seguire un Enterprise Risk Management ben compilato infatti si rivela affidabile ed efficiente, non solo internamente ma garantisce solidità finanziaria anche verso l’esterno.



Condividi
La funzionalità è stata disattivata perché si avvale di cookies (Maggiori informazioni)

Attiva i cookies