Cybersecurity Gap Analysis propedeutica per l’allineamento all’art.32 GDPR

Di cosa si tratta

È ormai universalmente riconosciuto che la sicurezza non sia un prodotto ma un processo continuo: tutta l’evidenza convince che sicurezza e riservatezza sono due proprietà fondamentali dei sistemi aziendali, e per garantirle sono necessarie risorse, ma soprattutto periodiche revisioni, ri-valutazioni e conseguenti ri-attuazioni, rendendo il processo non banale. Con tale consapevolezza, il quadro normativo recente si è fortemente evoluto in seguito all’approvazione del “REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO” del 27 aprile 2016, meglio noto come GDPR (General Data Protection Regulation), ufficialmente applicabile dal 25 maggio 2018. Il paragrafo 2 dell’art. 5 GDPR definisce il principio di “accountability”, o “responsabilizzazione” per il titolare del trattamento: il principio sancisce che il titolare sia competente per il rispetto del paragrafo 1 dello stesso articolo, il quale prescrive, fra gli altri, il principio di “integrità e riservatezza”, ovvero che il titolare operi “in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”. Il paragrafo 1 dell’art. 32 dettaglia poi ulteriori misure di sicurezza, quali (comma a) “la pseudonimizzazione e la cifratura dei dati personali” e (comma d) “una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”.
È quindi necessario interpretare cosa qualifichi come una sicurezza “adeguata” o una misura “efficace”: GDPR prevede infatti sanzioni significative in caso di non conformità, ed è quindi estremamente necessario l’inizio di un percorso di allineamento tecnico a tale normativa.

La nostra metodologia per la conduzione della Cybersecurity Gap Analysis in ottica GDPR procede dalla definizione del perimetro aziendale. Si sviluppa quindi su tre passi fondamentali: verifica di controlli di sicurezza, analisi del rischio di sicurezza (security risk assessment) e censimento degli applicativi aziendali insieme alle loro misure di sicurezza.
Il primo passo si articola a sua volta su tre azioni: anzitutto la verifica della gestione delle funzioni di amministratore di sistema (provvedimento del Garante Privacy del 27 novembre 2008 e successive modifiche, reperibile da questa pagina del sito del Garante per la protezione dei dati personali: www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1577499), una lista di misure minime di sicurezza rielaborate dall’ormai abrogato Allegato B del Codice Privacy e la verifica delle ben più ampie misure di sicurezza in ottica GDPR, definite come sintesi dello standard ISO/IEC 27001:2013 e delle eminenti “Technical Guidelines for the implementation of minimum security measures for Digital Service Providers” di ENISA (www.enisa.europa.eu/publications/minimum-security-measures-for-digital-service-providers). Ove possibile, si procede al reperimento di evidenza documentale in supporto della conformità a ciascun controllo. Precisiamo che sarà nostra cura coadiuvarvi nell’attività di raccolta di tutto il materiale e delle informazioni richieste.

Il secondo passo della metodologia consiste nell’analisi del rischio di sicurezza. Condotta coerentemente con lo standard ISO/IEC 27005:2018, essa evidenzia i rischi principali, i quali saranno poi trattati insieme a una descrizione delle possibili strategie di mitigazione.

Il terzo passo della metodologia consiste nel censimento di tutti gli applicativi ad impatto privacy utilizzati all’interno della Società, ovvero tutti i software mediante i quali è possibile trattare dati personali, e nella verifica delle relative misure di sicurezza applicate.

Tutte le informazioni e i documenti ricevuti durante i tre passi della metodologia verranno da noi analizzati al fine di fotografare lo stato dell’arte circa le misure di sicurezza della Società, le eventuali lacune (‘gap’), nonché i rischi sommitali che mettono in pericolo i dati e gli asset all’interno del perimetro aziendale: ciò verrà ampiamente descritto all’interno di un dettagliato Report delle attività, che includerà la metodologia eseguita al fine di poterla ri-attuare periodicamente, tutti i gap riscontrati con le relative raccomandazioni allo scopo di incrementare il livello di sicurezza aziendale, nonché semplici ed intuitivi grafici per identificare velocemente le zone critiche e quelle sicure.
Tale report non si presta esclusivamente al “mero” allineamento all’art.32 GDPR del perimetro aziendale, ma resta un documento di riferimento in caso di ispezioni, futuri audit ed un solido punto di partenza per intraprendere processi di certificazione sulla sicurezza informatica aziendale, anche grazie alle evidenze censite e alle informazioni ivi contenute.