area cybersecurity

Consulenza GDPR

Organizational Resilience

GDPR Adaptive Solution

Perchè una consulenza specializzata in “organizational resilience” è fortemente consigliata.

Premessa

Come noto, il REGOLAMENTO (UE) 2016/679 DEL  PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016, all’Articolo 25 – Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita, nel secondo comma afferma, tra l’altro, che il titolare del trattamento mette in atto misure tecniche e organizzative adeguate (…)

Abbiamo scelto di soffermarci su questo punto perchè  doveroso segnalare le incertezze che derivano, ad esempio, dalla interpretazione puntuale da dare a:  “misure tecniche e organizzative adeguate” e alla necessità di garantirle in una organizzazione che opera in un ambiente in continuo movimento.

Cosa in generale deve essere garantito e come fare ad assicurarne “l’adeguatezza” delle misure tecniche organizzative?

Per applicare correttamente il principio dell’articolo 25, in generale, bisogna: • impostare il “default settings” tenendo conto del cosiddetto principio di cosa un utente ben informato sceglierebbe se ne avesse la possibilità;

• Attuare il principio della minimizzazione: non possono essere trattati dati personali ulteriori rispetto a quelli minimi indispensabili per ogni specifica finalità;

• Assicurarsi che l’accesso ad un numero indefinito di dati personali da parte di “sistemi” (ciò senza l’intervento della persona fisica) non sia possibile.

Garantire questi principi assai difficoltoso a causa di vari fattori:

a. le continue evoluzioni nella gravità  delle nuove minacce, e nelle misure tecniche ed organizzative realizzate per contrastarle;

b. l’evoluzione nei prodotti / servizi forniti e da fornire;

c. le difficoltà  nel controllo della filiera di fornitura dei servizi (es.: cloud; o piccole aziende ma indispensabili per la continuità  operativa; ecc.);

d. l’evoluzione dell’organizzazione stessa che richiede continui e tempestivi interventi, anche – se non soprattutto – nella sensibilizzazione e formazione continua del personale (non a caso si usa dire da tempo: “ogni cambiamento comporta un nuovo cambiamento”);

e. la difficoltà  nel trattare i rischi in modo olistico. Tutto ci genera incertezze, e queste fanno si che il  titolare del trattamento possa essere continuamente esposto al rischio di “non aver messo in atto misure tecniche ed organizzative adeguate”.

    Come procedere?

    Bisogna innanzitutto fare attenzione:

    A. alla corretta esecuzione dell’analisi e valutazione delle minacce:

    ci  richiede ad esempio:

    a. la completezza nella valutazione del contesto interno ed esterno dell’organizzazione, fra le quali rivestono particolare attenzione la cultura organizzativa  e la propensione ad affrontare e mitigare i rischi;

    b. la necessaria attenzione che, oltre a ridurre i rischi di perdita della riservatezza, integrità e disponibilità dei dati, va indirizzata alla “auditability” e “accountability”;  quest’ultimo principio fondamentale, secondo il quale il titolare del trattamento  competente per il

    rispetto della liceit , correttezza, trasparenza dell’intero trattamento dei dati e, soprattutto,  “in grado di comprovarlo” (art. 5 comma 2);

    c. la correttezza nella stima della probabilità e dell’impatto dei rischi, e soprattutto la valutazione dei possibili impatti concernenti la perdita di immagine e reputazione;

    d. la scelta delle pi  opportune contromisure (per rilevanza e costi) dopo una attenta e corretta valutazione dei tempi entro i quali i servizi e processi devono essere resi nuovamente disponibili: ci in base alla  stima dei danni nel tempo, a seguito di un improvviso disastro;

    e. i rapporti con le Autorità;

    f. la ricerca e valutazione delle possibili sinergie con altre analoghe organizzazioni;

    g. la compliance ai requisiti previsti in materia dagli standard internazionali (ad es.: ISO/IEC27001, 27005, ISO 31000, ISO 22301, ISO27799, ISO37301:2021, ISO27035, ecc.), o da framework (es: ENISA, Sapienza CINI, ecc.), eccetera.

    B. Ai criteri utilizzati per la scelta delle misure di trattamento dei rischi, e relativa metodologia adottata per l’analisi costi / rischi;

    C. Alla documentazione di quanto attuato, secondo le procedure e politiche formalmente adottate (indispensabile in caso di audit di terze parti)

    D. Al giusto equilibrio nell’impegno delle risorse (umane, tecniche, economiche) fra misure preventive e quelle da mettere in atto in caso di incidente grave (ossia, per la gestione, il ripristino, ed il ritorno alla normalità), in modo da ridurre le conseguenze anche in caso di disastro grave per ampiezza e durata, riducendo altresi gli investimenti iniziali.

    E. A ridurre il rischio, nel tempo, oltre che di perdita della riservatezza, integrità  e disponibilità  delle informazioni, anche quello di perdita della “auditability” ed  “accountability”.

    F. A rafforzare e mantenere una sempre migliore cultura organizzativa ed del rischio, ai fini di supportare la resilienza dell’organizzazione.

    In estrema sintesi, l’organizzazione deve affrontare le minacce alle informazioni personali sfruttando le più recenti tecniche in tema di “organizational resilience”.

    Cosa è la resilienza organizzativa?

    Si può affermare che la resilienza organizzativa  la capacità di un’organizzazione di assorbire e adattarsi in un ambiente in evoluzione per consentirle di raggiungere i propri obiettivi; infatti, le organizzazioni più  resilienti possono anticipare e rispondere a minacce e opportunità, derivanti da cambiamenti improvvisi o graduali nel loro contesto interno ed esterno.

    Un impegno per una maggiore resilienza organizzativa contribuisce a: 

    – Una migliore capacità di anticipare e affrontare rischi e vulnerabilità;

    – Un maggiore coordinamento e integrazione delle discipline gestionali per migliorare la coerenza e le prestazioni;

    – Una maggiore comprensione delle parti interessate e delle dipendenze che supportano scopi e obiettivi strategici.

    In pratica, in estrema sintesi, in una visione olistica che mette al centro del progetto ogni organizzazione a se, in quanto unica, si integrano e si sfruttano in modo ottimale le diverse discipline gestionali, quali ad esempio: la gestione delle risorse, della continuità aziendale, della crisi, della sicurezza informatica, delle comunicazioni, dell’emergenza; ecc.

    Il Consorzio Innovo e il GDPR?

    Forte da anni di esperienza nell’assistenza di aziende private e pubbliche, il Consorzio ha creato un team di cyber security, composto da esperti in organizational resilience.

    Il team, infatti, ha maturato esperienze in “management disciplines” quali: Risk Management, Information Security, Safety, Business Continuity, Crisis Management, ecc., acquisite in tanti anni di attività in ambito bancario, industriale e, negli ultimi 3 anni, accompagnando gli Enti della PA, ed in particolare le aziende sanitarie, al risk assessment ed alla sicurezza delle informazioni.

    Il team ha contribuito a realizzare una metodologia per affiancare le organizzazioni nell’affrontare le problematiche relative alla protezione dei dati e delle informazioni personali, ed alla compliance verso la legislazione vigente: ci affrontando in modo olistico i rischi e realizzando sinergie tra le varie discipline gestionali.

    Il team  pertanto disponibile a valutare, con le aziende interessate, il possibile approccio progettuale.

    Altri Servizi

    Area Sistemistica

    Area Sviluppo

    Area Cybersecurity

    Scopri tutti i servizi

    Contatti

    Telefono: 06/91511752

    Sede Legale

    Via di Santa Costanza, 35 – 00198 – Roma

    Sede Operativa

    Via delle Genziane, 13/E – 00012 – Guidonia