Le misure di sicurezza costituiscono un importante strumento di protezione ed accountability del titolare del trattamento. Per non essere vulnerabili ed avere misure di sicurezza corrette e garantire stabilità in azienda è importante essere in linea con i gold standard e svolgere un efficace ed efficiente audit di misure di sicurezza.
A cosa servono le misure di sicurezza?
I moderni sistemi informatici possono essere fortemente condizionati da eventi in grado di minarne la sicurezza interna ed esterna. Per questo motivo le misure di sicurezza costituiscono un importante strumento di protezione ed accountability del titolare del trattamento.
La solidità di un sistema informatico non è solamente assicurata dalle cosiddette misure di sicurezza tecniche: accanto a queste ultime, infatti, si affiancano e, forse, dovrebbero precedervi taluni accorgimenti di stampo organizzativo. Mentre le prime, infatti, mirano a garantire la sicurezza del sistema informatico “interno” ed in sé considerato, al fine di garantire la loro corretta applicazione è certamente necessario che gli utenti chiamati ad operare sulla struttura siano altrettanto istruiti così da garantire i più alti livelli di sicurezza. Più nel dettaglio:
Misure tecniche: si intendono tutte quelle metodologie (soprattutto di tipo informatico) che consentono, mediante l’utilizzo di accorgimenti tecnici, di controllare e limitare l’accesso ai dati personali nonché di impedire la identificazione del soggetto interessato. Tra le principali si annoverano: autenticazione tramite user id e password, grado di complessità minimo della password, scadenza periodica delle credenziali di accesso, two-factors-autentication per sistemi critici, etc.
Misure organizzative: si intendono tutte le azioni e le iniziative che predispongono il Titolare ed il Responsabile del trattamento al rispetto dei principi posti dalla normativa privacy vigente. Tra queste ultime si richiamano: procedure interne destinate agli autorizzati al trattamento, identificazione dei criteri relativi all’assegnazione dei privilegi di accesso e/o modifica ai soli dati pertinenti in base alla funzione dipartimentale considerata, formazione ed istruzione del personale, etc.
Quali sono i gold standard per avere delle misure di sicurezza a doc?
Quanto sopra descritto è anzitutto sancito dall’art. 7 LPD, ai sensi del quale: “I dati personali devono essere protetti contro ogni trattamento non autorizzato, mediante provvedimenti tecnici ed organizzativi appropriati. Il Consiglio federale emana disposizioni più dettagliate circa le esigenze minime in materia di protezione dei dati”. Ulteriori ed espliciti riferimenti sono poi contenuti in diversi articoli della medesima normativa, come ad esempio in tema di violazione della sicurezza dei dati.
Considerata l’importanza delle misure citate e l’attenzione dimostrata sul tema da parte dello stesso Consiglio federale (chiamato ad esprimersi direttamente sulla questione) non possiamo che rilevare come le organizzazioni elvetiche dovrebbero in ogni caso intervenire ed uniformarsi ai già noti standards internazionali a cui lo stesso organo ha in precedenza fatto riferimento e tra i quali:
- ISO 2700x – in particolare lo standard 27001 che definisce i requisiti relativi a istituzione, applicazione, mantenimento e costante miglioramento di un sistema di gestione documentato sulla sicurezza dell’informazione in linea con lo specifico contesto operativo dell’organizzazione;
- COBIT – Control Objectives for Information and related Technology, che definisce i principali standard di sicurezza cui le organizzazioni dovrebbero uniformarsi per raggiungere i più altri livelli di compliance e gestione del rischio informatico intrinseco;
- ENISA Good Practice Guide on National Cyber Security Strategies;
- Bundesamt für Sicherheit in der Informationstechnik (Germania);
- NIST Guide to Industrial Control Systems (ICS) Security and NIST Cybersecurity Core Framework con direttive specifiche riguardanti in particolare la gestione di sistemi di controllo industriali (ICS).
Quanto è importante un audit di misure di sicurezza?
Oltre all’uniformarsi ai gold standard sopra elencati di primaria importanza è un’attività preliminari per verificare le vulnerabilità, la correttezza delle misure di sicurezza adottate e se singoli trattamenti potrebbero esporre i dati personali a possibili violazioni e quindi a dei data breach.
Questa attività è l’audit sulle misure di sicurezza. L’obiettivo dell’audit è quello del miglioramento del sistema di policy, principi, decisioni che regolano la sicurezza all’interno dell’azienda. Le regole in sé da sole non bastano, devono essere affiancate da formazione al personale per avere un’ottima efficienza, per diminuire l’errore umano.
