Essere GDPR compliant: Processo a 4 fasi

[GDPR COMPLIANCE] Il processo a 4 fasi adatto ad ogni azienda

Se redigere il "
Registro dei trattamenti" è il primo e doveroso passo per dimostrare la compliance al nuovo regolamento, ben altra complessità si prospetta nelle fasi successive del processo di adeguamento.

Di seguito proponiamo il modello che utilizziamo nelle nostre attività di consulenza ed è adattabile a qualsiasi dimensione aziendale.

Premesso che:
non esistono checklist e ordini imposti. Con il passaggio dalla vecchia privacy (196/2003) al GDPR (679/2016) Ogni impresa dovrà guardare al suo interno e scegliere consapevolmente il proprio adeguato livello di protezione.
- tutte le fasi del processo dovrebbero essere condotte con il supporto congiunto di tecnici e legali. Nel caso abbiate proceduto solo con il supporto di una parte legale avrete la certezza di essere carenti dal punto di protezione tecnica dei dati. Nel caso (remoto)
 abbiate proceduto solo con la parte tecnica, sappiate che noi stessi richiediamo esplicitamente un supporto legale.

Questo ultimo punto è da comprendere appieno. Solitamente la parte IT già presente nelle aziende italiane è mediamente impegnata in ordinarie attività di "business continuity" al 101%. La sicurezza dell'informazione e la forensic readiness non rientrano nelle competenze e nelle attività previste.

Proponiamo il seguente modello in 4 fasi

FASE 1: CENSIMENTO DATI
In questa fase dovrete porre domande sui dati da proteggere, i dati presenti, i software utilizzati, la localizzazione (cloud o interna) dei dati al fine di mappare esattamente il perimetro della vostra distribuzione di informazioni. Il coinvolgimentodelle diverse funzioni (AD/CEO, CFO, HR, LEGAL, IT, OPERATIONS...) 
è essenziale per avere un quadro completo. 

A titolo esemplificativo pensate che per una piccola azienda potrebbero essere presenti 
6 sistemi su cui transitano informazioni (email, gestionale, sito...) mentre per una banca si può arrivare facilmente fino a 1.000 sistemi.

La numerosità dei sistemi incide direttamente sui tempi e sul budget per svolgere tale attività. Per una PMI potrebbero bastare 1-3 giorni, mentre per una banca potrebbe non bastare un anno di lavoro.

Ultimo dato statistico:
 un 30% dei dati potrebbero essere gestiti da “altri IT” (i c.d. Shadow IT), ovvero fornitori esterni fuori dal controllo del vostro reparto IT. Intervistare adeguatamente i fornitori e i manutentori di hardware e software è fondamentale. 

FASE 2: ANALISI RISCHI
Dopo aver individuato tutti i dati e i sistemi del vostro perimetro potrete procedere a valutare i rischi associati ad ogni elemento. Non solo rischi IT, ma anche reputazionali, contrattuali, da frodi interne, e infine la gestione di fornitori amplificata da supply chain sempre più spesso lunghissime.

Questa fase è molto complessa e il coinvolgimento delle diverse funzioni aziendali e di esperti legali e tecnici è fondamentale per aiutarvi ad individuare rischi potenzialmente distruttivi per l'azienda, ma finora nemmeno presi in considerazione.

Vi riportiamo tre esempi.

INDUSTRIA VS ANALISI
 DEL RISCHIO
Nella progettazione di macchinari industriali le aziende tutt'ora compongono il loro prodotto finito utilizzando diversi "strati" di software di terze parti che periodicamente viene aggiornato. L'aggiornamento non è possibile sia svolto dal cliente per motivi di complessità non "scaricabile" sul cliente.  Nella vostra azienda sapete quanti software utilizza la macchina che producete? L'avete mai sottoposta ad un 
penetration test? Che danni può causare un malfunzionamento? Può causare anche danni a persone? Contrattualmente avete previsto l'aggiornamento del software? Avete limitato la garanzia/responsabilità in caso di mancato aggiornamento?


FINANZA VS ANALISI DEL RISCHIO
Fondi, SGR, e strutture finanziarie possono essere composti da poche decine di persone che trattano informazioni altamente riservate. L'utilizzo di strutture a cartelle gerarchiche e dati fruibili attraverso Word, Excel e Power Point, per quanto dotate di permessi, è comune. 
Se esportiamo su un USB
 tutto il contenuto qualcuno se ne accorgerà? E se lo porto su sistemi quali dropbox o wetransfer? Avete sistemi di monitoring in grado di ricostruire un incidente informatico? Chi interverrà velocemente in caso di contenzioso?


LEGAL VS ANALISI DEL RISCHIO
80 su 100 dei maggiori studi legali al mondo sono stati hackerati. Nonostante ciò la sensibilità, anche tra i più affermati studi legali è bassa. Come per le strutture finanziare più agili, gli studi legali si trovano a contatto con dati informatici di grande valore e/o di rilevanza penale.

Quanti studi legali svolgono 
Vulnerability Assessment almeno annuali? I computer portatili dei collaboratori sono criptati? Le wi-fi sono manutenute in modo adeguato?



FASE 3: SCELTA E IMPLEMENTAZIONE MISURE
Il budget è il re di questa fase, ma ottimizzare quanto già presente in azienda e sfruttare opportunità già incluse nei sistemi informatici e poco note è la parte a valore aggiunto per quanto concerne l'intervento di un consulente tecnico.
E' bene ricordare che le precedenti checklist non hanno alun valore rispetto alla normativa attuale, pertanto eliminare alcune procedure potrebbe generare un risparmio di costi.
Tra i pilastri più importanti vi segnaliamo di prestare attenzione alla "policy sull'utilizzo dei beni aziendali", che dopo il D.Lgs 151/2015 e con il GDPR diventa fondamentale per poter intervenire efficacemente e velocemente in caso di frode, anche interna, e data breach.

Il paragrafo tecnico di base da inserire nella policy sull'utilizzo dei beni aziendali che risponde ad entrambe le normative non l'abbiamo visto implementato finora in nessun azienda, tranne in quelle in cui abbiamo lavorato (assieme ad un legale). Se vi serve possiamo inviarvelo gratuitamente via email su richiesta. 
RICHIEDI

Più in generale il tema è quello di individuare soluzioni in grado di garantire un adeguato livello di sicurezza delle informazioni e di "Forensic Readiness", ovvero di capacità di reazione a fronte di un incidente.




FASE 4: REVISIONE PERIODICA
Al contrario delle immutabili checlist privacy svolpite nella roccia il sistema di compliance va manutenuto da voi stessi, poichè i sistemi, le tecnologie e i rischi cambiano.

Le misure le avete scelte in autonomia, reputandole adeguate, e periodicamente ora vi dovrete "vigilare" e aggiornare da soli. 

Noi suggeriamo un check tecnico/legale annuale.

Quest'anno ad esempio con l'introduzione del whistleblowing si dovranno supportare, dal nostro punto di vista tecnico, le imprese nella scelta di un sistema sicuro e implementato in modo sicuro. Da una comparazione online dei sistemi implementati in alcuni portali aziendali abbiamo rilevato che sicuramente il legale è stato coinvolto, ma la parte di sicurezza nel trasferimento e conservazione del dato è stata del tutto tralasciata. Elemento che a distanza di 7 mesi dall'introduzione del GDPR risulta ormai privo di giustificazioni.  


Hai degli asset di valore della tua azienda?
Noi possiamo aiutarti a proteggerli.