GDPR, alcuni strumenti utili per verificare se la vostra azienda è ok

ProgettiSicurezza

Il GDPR è alle porte. Bisogna essere pronti e dimostrarlo. Non ci sono “tool” automatici di verifica per dormire sonni tranquilli, ma ci si può mettere comunque alla prova…

Siamo proprio agli sgoccioli e il 25 di maggio scade l’ultimo termine per le aziende per adempiere al Regolamento Europeo Generale per la Protezione dei dati personali e dal 25 di maggio il GDPR sarà direttamente applicabile (con le relative sanzioni).

Alcune ricerche hanno evidenziato, nei giorni scorsi, come le nostre aziende (e anche tantissime aziende europee) abbiano effettivamente aspettato l’ultimo momento per pensare al problema e cogliere le opportunità che il Regolamento offre. Eppure che si trattasse di un “percorso” era chiaro da subito. E’ iniziato nel 2012, quando la Commissione Europea ha proposto una riforma sostanziale delle normative esistenti dal 1995 sulla protezione dei dati e poi ha lasciato ben due anni di tempo per fare tutto e bene. Ora ci siamo e…  Non ci siamo.

Soprattutto, tante aziende nostrane sembrano non avere percepito per nulla come il nuovo Regolamento avrebbe potuto rappresentare un’occasione per rivedere i processi interni, e piuttosto hanno preferito leggerlo come una “norma” cui adeguarsi, tra l’altro in una sorta di vacuum legislativo, considerate le inadempienze del nostro Governo per quanto riguarda la capacità di amalgamare norme preesistenti con nuovi regolamenti.

GDPR – Infografica SAS sulle sfide aziendali relativamente a GDPR

Fatto sta che ora siamo davvero alla “vigilia”. Ed è il momento di tirare le somme del lavoro che si è svolto o meno. I vendor – non solo quelli di sicurezza – mettono a disposizione una serie di strumenti per verificare se si è “compliant”, in diverse forme. Senza la pretesa di essere esaustivi, riportiamo qui di seguito alcune sollecitazioni, a volte sotto forma di semplici domande, su cui ci si può interrogare per comprendere se si è fatto un buon lavoro.

Ci teniamo tra l’altro a rinnovare la precisazione per cui il GDPR invita in verità a non sottrarsi a un percorso che deve diventare virtuoso e riguarda il trattamento delle informazioni dei clienti, questi ultimi da tutelare, più ancora dei dati.

Un semplice percorso interattivo online per verificare la compliance della propria azienda è già disponibile da tempo, messo a disposizione da Microsoft. E si accompagna con la proposta di un whitepaper guida.

Interessante è anche la proposta di Juniper Networks che ha pensato ad un microsito dedicato a GDPR dove è possibile trovare informazioni di supporto e dove è possibile rinvenire contenuti come Video, Webinar, ma anche vere e proprie guide scaricabili.

Utile è anche la verifica della propria compliance tramite un percorso da studiare con i propri collaboratori. Entro questo percorso Juniper individua quattro fasi. Riportiamo il metodo di verifica e approccio qui di seguito.

Quattro passaggi per affrontare il GDPR sereni

Ecco le fasi individuate da Juniper Networks come essenziali.

Fase 1: Le fondamenta
Questa prima fase è composta di due passaggi distinti.

Fase 1a: programma e team – Identificazione dei principali stakeholder che all’interno dell’organizzazione saranno responsabili della compliance GDPR e oltre e, naturalmente, degli influencer e dei comunicatori il cui supporto è necessario.
Fase 1b: analisi dei rischi e creazione della consapevolezza all’interno dell’azienda – Il secondo passaggio riguarda la comprensione delle procedure e dei processi. Possedere una comprensione di base di come di come la rete e i dati si comportano giorno dopo giorno permette di creare e mettere in pratica policy efficaci di rilevamento e protezione.

Fase 2: disegno dei controlli operativi
Fornire efficaci misure di protezione dei dati personali che l’organizzazione possiede o tratta è un elemento importante della compliance GDPR, ma è solo uno degli elementi. Un approccio olistico al valore dinamico dei dati, al loro diverso stato nel ciclo di vita, al comportamento generale e alle caratteristiche normali note può fornire informazioni preziose. Assieme alle misure di sicurezza integrate, questo approccio alla gestione dei dati rende  molto più semplice e coerente sul lungo periodo il percorso verso la GDPR.

Fase 3: gestire e migliorare i controlli operativi
Nella terza fase le aziende hanno acquisito una buona familiarità con i requisiti della GDPR . Avranno compreso come i dati si muovono all’interno dell’organizzazione, documentato le misure messe in atto per controllare e proteggere la rete, individuato e affrontato ogni possibile falla nei processi che potrebbe influire negativamente sul rispetto dei requisiti imposti dalla GDPR.

Fase 4: dimostrare la compliance
Siamo giunti oggi all’ultima fase e una previsione su come le organizzazioni toccate dalla GDPR potranno operare dopo il maggio 2018. Ora è importante seguire passo a passo la parte di recepimento del Regolamento Europeo per conformarsi in relazione ai precedenti dettati italiani riguardanti la Legge sulla Privacy.

Pronti per il GDPR? Le domande per mettersi alla prova

Per questo ultimo passaggio, prima di dormire sonni tranquilli abbiamo considerato i quesiti con cui ci sollecita Veeam, che propone cinque semplici ma importanti domande.

Tutte le persone in azienda sono state informate?
Alcune aziende hanno creato la figura del DPO (Data Protection Officer), a cui è affidata la responsabilità della gestione di tutte le attività, inclusa quella di informare e coinvolgere tutti i dipendenti, perché la conformità alle norme GDPR è una delle problematiche che coinvolge tutta l’azienda. E’ essenziale, infatti, che tutte le persone chiave all’interno dell’organizzazione siano consapevoli delle implicazioni e dei requisiti della nuova normativa, oltre che dell’impatto che questa produce sulle attività di cui sono responsabili.

Si sono controllati attentamente tutti i dati?
E’ evidente che, alla data attuale, tutte le aziende dovrebbero sapere tutto dei dati in loro possesso: dove sono conservati e in che modo, e da dove provengono. E’ inoltre necessario sapere il motivo per cui si sfruttano quei dati e la modalità con cui ne siamo venuti in possesso. A tutte queste domande, infatti, dovremo dare una risposta puntuale in caso di controlli.

Conoscete a fondo i diritti relativi alla privacy delle persone?
Le nuove normative introducono maggiori diritti per i cittadini europei. Per contestualizzare questa affermazione, basti sapere che, nel corso degli ultimi tre anni, Google ha ricevuto quasi due milioni e mezzo di richieste di cancellazioni dal motore di ricerca e questo numero può aumentare in modo vertiginoso a mano a mano che le persone comprenderanno meglio il nuovo diritto comunitario all’oblio.

Le persone avranno inoltre la facoltà di richiedere accesso ai dati personali in un formato a loro comprensibile. Per evitare che questo diritto di tutti i cittadini diventi una fonte inesauribile di perdite di tempo per l’azienda, è importantissimo individuare un modo per “taggare” ciascuna fonte di dati, in modo che sia rapidamente accessibile se necessario. Si tratta di un piccolo cambiamento, ma consentirà di risparmiare moltissimo tempo.

Avete un piano d’azione nel caso di violazione dei dati?
Secondo le nuove norme GDPR, le aziende devono denunciare eventuali violazioni entro 72 ore dalla loro individuazione. Si tratta di una finestra temporale brevissima, dal momento che le prime ore successive alla violazione sono solitamente quelle piene di pressioni e tensione, dato l’alto numero di attività da intraprendere. E’ quindi essenziale avere un piano, che preveda l’individuazione, la denuncia e la rapida gestione di una violazione, nel caso dovesse verificarsi.

I reporting è bene essere in grado di produrli in tempo reale, quindi praticamente devono essere già pronti attimo per attimo, si deve poter individuare velocemente dove si trovano i backup e i report devono consentire di risparmiare tempo nelle attività di reporting sulla compliance. Inoltre, se i dati dovessero diventare indisponibili a causa di un malware, un software per il ripristino li renderà nuovamente disponibili in modo semplice.

Siete disposti a migliorare?
L’abbiamo detto, il GDPR continua ad essere un percorso. Migliorare continuamente è importante quasi come avere un piano GDPR chiaro e perseguibile.

Read also :
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore