Il GDPR si concentra sulla corretta gestione e protezione delle informazioni personali in maniera organica e completa, richiede alle organizzazioni maggiori sforzi per ottenere il consenso esplicito per la raccolta dei dati e garantire che tutti i dati siano trattati in modo lecito. Tuttavia, manca di dettagli tecnici organizzati a sistema su come mantenere un livello appropriato di sicurezza dei dati o attenuare le minacce interne ed esterne.

Lo standard ISO/IEC 27001

La ISO/IEC 27001 è il principale standard internazionale per la gestione della sicurezza delle informazioni e definisce le migliori pratiche riconosciute a livello internazionale per un sistema di gestione della sicurezza delle informazioni. Lo standard ISO/IEC 27001 fornisce quindi un framework, descrivendo i requisiti chiave per implementare un efficace sistema di gestione per la sicurezza delle informazioni, rappresentando un prezioso aiuto per garantire la conformità al GDPR e, nel contempo, garantire il controllo desiderato sul complesso di dati aziendali e rispondere alle elevate esigenze di cybersecurity.

Lo sviluppo di un efficace sistema di gestione per la sicurezza delle informazioni riduce i rischi proteggendo l’organizzazione da minacce e vulnerabilità e contestualmente riduce l’impatto dei rischi alle sue risorse. La sicurezza delle informazioni si raggiunge implementando un set di controlli, che includono politiche, processi, procedure da applicare alle strutture organizzative e alle funzioni software e hardware.

Il sistema di gestione orienta ad investire anche sulla formazione del personale, che spesso risulta l’anello debole di tutto il sistema organizzativo. Le organizzazioni non possono accettare che le loro informazioni siano vulnerabili o soggette ad attacchi illegali da parte di soggetti esterni o interni, o che interruzioni dovute a processi IT possano paralizzare le loro attività, consentendo ai concorrenti di affermarsi sui mercati.

Implementazione dello standard ISO/IEC 27001 e certificazione

L’implementazione dello standard ISO/IEC27001 e l’ottenimento della certificazione assicurano che la gestione della sicurezza delle informazioni di un’organizzazione sia adeguatamente indirizzata e che i propri valori e le proprie risorse informative siano propriamente controllati e preservati. Sono molteplici i punti di sinergia tra l’obbligatorietà di adeguamento al GDPR relativamente al complesso dei dati personali e la necessità di ogni organizzazione di proteggere un insieme più ampio di informazioni, magari attraverso l’ottenimento della certificazione ISO/IEC 27001.

Principi e linee guida

Di seguito i principali argomenti dove il GDPR fornisce principi e linee guida che trovano nella 27001 le modalità pratiche di implementazione: Risk Assessment, Compliance, Data classification, Notifica di violazione dei dati, Collaborazione con le autorità, Asset management, Privacy by design, Relazioni con i fornitori, Documentazione.

Vantaggi pratici

Benefici pratici per le organizzazioni che implementano un sistema di gestione 27001:

•  Minimizzare i rischi attraverso un sistema che aiuta a limitare le minacce;
•  Protezione delle informazioni riservate dalla minaccia di hacking, perdita di dati e violazione della riservatezza, capacità di recuperare in tempi brevi le informazioni nel caso di eventuali attacchi.
• Stabilire piani di business continuity per garantire che le attività proseguano anche nel caso di disastri naturali o causati dall’uomo.
• Preservare al meglio l’immagine dell’azienda quale fornitore affidabile e competente;
• Proteggere al meglio il patrimonio informativo proprio e dei propri clienti;
• Ottimizzare i processi di delivery;
• Adottare le misure atte a garantire la fidelizzazione del personale;
• Rispondere pienamente alle indicazioni della normativa vigente e cogente.

L’articolo, scritto da Daniele Gombi, è stato pubblicato su PRIVACY News® ANNO 10 ottobre-dicembre duemila20, a cura di www.federprivacy.org

Scarica qui il pdf.