Autore: Dr. Matteo Rapparini – www.edirama.org
Sono trascorsi oramai alcuni mesi da quando il Reg UE 2016/679 è operativo. Chi ha effettuato tale aggiornamento in molti casi lo ha comunicato a clienti e fornitori (anche tu avrai ricevuto decine e decine di email che ti informavano dell’adeguamento dell’informativa al GDPR, della sicurezza dei tuoi dati personali), ma la gestione dei dati personali è stata effettivamente migliorata e resa più sicura?
A mio avviso, no. E in questo articolo ti spiego il perché e cosa c’è da fare per rendere davvero efficace e sicura la gestione dei dati personali.
L’introduzione del GDPR nelle aziende ha assicurato che le organizzazioni sappiano dove sono in possesso di dati personali e consentito di mettere in atto controlli sulle modalità di archiviazione, utilizzo e cancellazione di tali dati attraverso una politica che dovrebbe essere chiaramente definita e ben compresa, con processi aziendali adeguati per garantirne la conformità.
Tuttavia il GDPR non si occupa dell’effettiva sicurezza delle reti di un’organizzazione e dei dispositivi su cui esse memorizzano e accedono alle informazioni.
IL GDPR sostanzialmente non si occupa di sicurezza informatica, e spesso le aziende commettono un errore pensando che l’adempimento a questo regolamento sia sufficiente per evitare problemi di violazione dei dati personali gestiti.
Ma cosa significa “dati personali sicuri”?
A mio avviso, avere “dati sicuri” significa rispondere affermativamente a queste tre domande.
- I nostri utenti non possono accedere ai nostri dati aziendali critici quando ne hanno bisogno, indipendentemente dalla loro posizione?
- In secondo luogo, i nostri dati sono protetti da accessi non autorizzati o furti?
- Infine, i nostri dati sono tutelati se qualcosa andrà storto, ad esempio se i nostri computer si guastassero?
La sicurezza dei dati richiede quattro discipline chiave:
- gestione dell’identità e dell’autenticazione,
- gestione del ciclo di vita delle informazioni,
- sicurezza della rete e
- pianificazione della continuità operativa.
Per sviluppare un’efficace politica di sicurezza dei dati, le organizzazioni devono considerare in modo olistico l’intera infrastruttura, dal modo in cui i dati vengono creati o acquisiti al modo in cui vengono valutati, archiviati, consultati e smaltiti. Ciò dovrebbe includere dati che entrano nell’organizzazione da clienti, partner e fornitori; dati creati all’interno dell’organizzazione, come presentazioni e rapporti; e dati che escono dall’organizzazione, come fatture e proposte commerciali.
Tuttavia, la chiave per la sicurezza dei dati sono le persone. Nessuna tecnologia o regolamentazione sarà efficace se tutti i dipendenti non si atterranno alle procedure di sicurezza dell’organizzazione. Ciò significa definire una chiara politica di sicurezza, educare i dipendenti a tutti i livelli (compresi i dirigenti) sui motivi per cui è importante ottenere il loro consenso e impegno. La politica deve essere applicabile, realistica, accettabile per gli utenti e non deve violare le leggi sulla privacy personale.
Attuare un’efficace politica di sicurezza significa anche ottenere l’impegno dei vari “proprietari” dei dati all’interno dell’organizzazione, che dovrebbero essere responsabili della loro gestione e della sicurezza una volta implementate le soluzioni di sicurezza.
Il raggiungimento di standard di sicurezza riconosciuti come la norma ISO27001 aiuta un’organizzazione a migliorare la propria sicurezza dati e rassicura i propri clienti su tale argomento. Ciò può essere vantaggioso anche per il suo futuro sviluppo e la sua crescita sul mercato dove il possedere una certificazione ISO 27001 è ad esempio un requisito indispensabile per partecipare a gare di appalto pubbliche.
Quali sono i suggerimenti per mantenere sicuri tutti i dati (compresi i dati personali) della vostra organizzazione? Ho riassunto 5 punti fondamentali
……………….. continua per gli abbonati al sito http://www.clubdpo.com – Vuoi sapere come abbonarti? Clicca qui
Consulenza Privacy 