Cyber security e GDPR: come mantenere un’efficace data security attraverso semplici regole di accountability

Grazie all’applicazione del GDPR è stato possibile aumentare la sensibilità delle organizzazioni rispetto ai temi della cyber security: la consapevolezza dei pericoli che possono essere connessi alla violazione dei dati personali a livello informatico ha infatti consentito di adottare una corretta ed efficace data protection.

La protezione e la sicurezza dei dati personali non fanno parte di un processo statico, ma piuttosto di un processo dinamico in cui strategie, tecnologie e processi devono essere sottoposti a revisioni periodiche costanti. Grazie ad un monitoraggio continuo, infatti, le organizzazioni sono in grado di ridurre il numero di eventuali entry point all’interno del perimetro di sicurezza del patrimonio informativo aziendale.

Il principio di accountability nel tema della sicurezza dei dati personali

Da una lettura attenta dell’articolo 25 del GDPR si evince che: “il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati… per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità”.

Quindi, in sostanza, gli aspetti riguardanti la gestione dell’infrastruttura informatica e della rete aziendale interna da parte del titolare del trattamento sono gli aspetti più rilevanti della questione e, di conseguenza, uno dei pilastri fondamentali su cui si fonda l’impianto normativo del Regolamento Europeo 2016/679 è proprio il principio di accountability ovvero il principio di responsabilizzazione del titolare del trattamento riguardo alla gestione di strumenti tecnici e giuridici di tutela e di controllo dei dati personali. Il responsabile del trattamento deve dunque attivare misure idonee atte a commisurare la struttura tecnico-organizzativa alla tipologia di trattamento, alla natura del dato e al livello di rischio: i dati personali che custodisce non gli appartengono, ma gli sono stati affidati unitamente al dovere di proteggerli.

I rischi a cui sono esposti i dati aziendali in termini di sicurezza

Sono sei i rischi principali per la sicurezza dei dati personali:

  • Il primo rischio è la disponibilità del dato e quindi anche la distruzione o la cancellazione di un file in maniera deliberata o meno.
  • Il secondo rischio è connesso all’indisponibilità del dato nel caso in cui, ad esempio, un Cryptolocker che blocca tutti i documenti in possesso all’organizzazione e ne vieta l’accesso.
  • Il terzo rischio è perdita del dato che può avvenire per diverse ragioni e in diverse modalità.
  • Il quarto rischio è connesso all’integrità del dato e quindi all’alterazione volontaria o involontaria dei dati.
  • Il quinto rischio per la sicurezza dei dati personali si collega alla riservatezza del dato come ad esempio nel caso della pubblicazione sul canale social aziendale del dato stesso senza il permesso del proprietario del dato.
  • Il sesto rischio concerne l’accesso al dato.

 

Come utilizzare la tecnologia digitale per mettere in sicurezza i dati personali

Per mettere in sicurezza i dati personali è fondamentale prevedere le sei tipologie di rischio e anticiparne le soluzioni. In tal senso, la nomina del responsabile del trattamento è fondamentale in quanto si tratta di colui che ha l’obbligo di verificare che ogni responsabile esterno sia a sua volta compliant GDPR, ovvero che si comporti in maniera adeguata, adottando tutte le contromisure per raggiungere un rischio di violazione dei dati personali relativamente basso.

L’adozione di un’efficace soluzione tecnologica può aiutare il titolare del trattamento durante tutto il percorso di raggiungimento della compliance al Regolamento UE: studio e ricerca costanti ci permettono di adottare, di volta in volta, metodologie differenti, come ad esempio il monitoraggio proattivo dell’ambiente IT che permette di tenere sotto controllo gli eventi che avvengono sugli utenti, chi ha fatto cosa e da quale postazione, in modo da documentare e governare in maniera semplice ed efficace tutto il processo della data protection in azienda.

Chiedi una consulenza gratuita in azienda sulla sicurezza dei dati personali e sulla gestione del GDPR.