Cybersecurity Gap Analysis propedeutica per l’allineamento all’art. 32 GDPR (prima analisi e successive analisi periodiche di aggiornamento)

È ormai universalmente riconosciuto che la sicurezza non sia un prodotto ma un processo continuo: tutta l’evidenza convince che sicurezza e riservatezza sono due proprietà fondamentali dei sistemi aziendali, e per garantirle sono necessarie risorse, ma soprattutto periodiche revisioni, ri-valutazioni e conseguenti ri-attuazioni, rendendo il processo non banale.

Con tale consapevolezza, il quadro normativo recente si è fortemente evoluto in seguito all’approvazione del “REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO” del 27 aprile 2016, meglio noto come GDPR (General Data Protection Regulation), ufficialmente applicabile dal 25 maggio 2018. Il paragrafo 2 dell’art. 5 GDPR definisce il principio di “accountability”, o “responsabilizzazione” per il titolare del trattamento: il principio sancisce che il titolare sia competente per il rispetto del paragrafo 1 dello stesso articolo, il quale prescrive, fra gli altri, il principio di “integrità e riservatezza”, ovvero che il titolare operi “in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”. Il paragrafo 1 dell’art. 32 dettaglia poi ulteriori misure di sicurezza, quali (comma a) “la pseudonimizzazione e la cifratura dei dati personali” e (comma d) “una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”.

È quindi necessario interpretare cosa qualifichi come una sicurezza “adeguata” o una misura “efficace”: GDPR prevede infatti sanzioni significative in caso di non conformità, ed è quindi estremamente necessario l’inizio di un percorso di allineamento tecnico a tale normativa.

La nostra metodologia per la conduzione della Cybersecurity Gap Analysis in ottica GDPR procede dalla definizione del perimetro aziendale e si sviluppa tramite la verifica di controlli della presenza di misure di sicurezza tecniche e organizzative e contestuale analisi del rischio di sicurezza (security risk assessment).

L’attività produrrà un puntuale report che non si presta esclusivamente al “mero” allineamento all’art.32 GDPR del perimetro aziendale, ma resta un documento di riferimento in caso di ispezioni, futuri audit ed un solido punto di partenza per intraprendere processi di certificazione sulla sicurezza informatica aziendale, anche grazie alle evidenze censite e alle informazioni ivi contenute.