È passato quasi un anno dall’entrata in vigore del “GDPR” – il nuovo regolamento della privacy – e la sicurezza informatica sta guadagnando sempre più importanza secondo uno studio realizzato per il governo inglese, “Cyber Security Breaches Survey 2019”.
La Cyber Security è una priorità molto alta per 40% delle aziende intervistate – un aumento di 5% rispetto l’anno scorso – e per 35% delle ONG – un aumento di 15%. Più di 40% delle aziende richiedono uno Standard come la ISO 27001 dai fornitori e solo il 10% delle organizzazioni interpellate ha riconsiderato le policy per la sicurezza informatica più di un anno fa. In particolare quest’ultimo dato sembra particolarmente alto, ma lo studio cita l’introduzione del GDPR a maggio 2018 come probabile causa di questo aggiornamento.
Per quanto riguardo il GDPR, quali sono le misure di sicurezza idonee a garantire un’adeguata protezione dei dati? A differenza della vecchia normativa della privacy – il D lgs 196 03 il quale è stato ormai per la maggior parte abrogato – non è presente alcun allegato che riporti le “misure minime”. Il legislatore europeo individua nell’articolo 32 del Regolamento alcuni adempimenti che i titolari ed i responsabili dovrebbero attuare, misure sia tecniche che organizzative, allo scopo di garantire un adeguato livello di sicurezza “tenendo conto dello stato dell’arte e dei costi di attuazione” ma non indica in modo specifico né le misure da porre in essere né fornisce alcuna indicazione circa la loro realizzazione.
Per chi lavora già nell’ambito dei sistemi di gestione e possiede un minimo di familiarità con la ISO 27001, l’articolo 32 del Regolamento risulta chiaramente riconducibile allo Standard. Ad esempio, l’obiettivo di preservare il cosiddetto R.I.D. (Riservatezza, Integrità, Disponibilità) dei sistemi e servizi, art. 32 para. 1 lett. b, è centrale all’interno dello standard ISO 27001, così come il concetto di Disaster Recovery, il quale viene enunciato nel Regolamento come “la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico” (art. 32 para.1 lett. c), e infine l’analisi dei rischi, la quale viene definita come “una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento” (art. 32 para. 1 lett. d).
Mentre il GDPR si focalizza sulla protezione dei dati delle persone fisiche e la loro sfera privata attraverso “misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio”, la norma ISO 27001 è uno standard internazionale la quale, assieme ai “Best Practice” tecnici ed organizzativi, mira a salvaguardare le informazioni aziendali, o meglio i dati l’organizzazione stessa definisce di valore o di importanza.
Non è un caso allora che il GDPR raccomanda l’uso di schemi di certificazione come elemento per dimostrare la conformità ai requisiti di sicurezza, né che gli articoli 42 “Certificazione” e 43 “Organismi di certificazione” descrivono un sistema di certificazione a cui la UNI EN ISO/IEC 27001:2017, la versione attuale dello standard, sarebbe conforme e l’adozione di esso in linea con il principio di responsabilizzazione o “Accountability”.
L’adozione dello standard ISO 27001 comporta l’applicazione e la gestione di controlli che, una volta valutate opportunamente le minacce, mira ad assicurare la continuità ed il successo del business, riducendo drasticamente l’impatto degli incidenti sulla sicurezza delle informazioni. L’implementazione di tale standard di certificazione prevede l’analisi dei “gap” attualmente presenti in materia di sicurezza delle informazioni a cui viene fatta seguire una fase progettuale di miglioramento e di messa a punto dei controlli di sicurezza. L’adozione aggiuntiva della norma ISO 27002 consente inoltre di gestire la sicurezza delle informazioni secondo le pratiche di condotta da adottare nei controlli previsti dalla ISO 27001.
Resta inteso che la certificazione ISO 27001 non svincola i Titolari e Responsabili del trattamento della responsabilità per le violazioni di dati (o “data breach”). L’idea di poter azzerare il rischio che si verifichino eventi dannosi relativi alla sicurezza dei dati è concettualmente sbagliata – il “rischio zero” non esiste- un sistema di gestione permette però di capire e gestire questi rischi e l’adeguatezza delle misure poste in essere. Il risultato dell’analisi del rischio è infatti la lista di priorità di azione per contrastare e/o mitigare i rischi di perdita, modifica, divulgazione non autorizzata o accesso ai dati trattati.
Nell’assenza di indicazioni specifiche sulle misure adeguate al fine di garantire la sicurezza dei dati personali, la norma ISO 27001 può integrare l’articolo 32 del GDPR, dando un framework di “Best Practice” e un approccio basato sul rischio, o come cita il regolamento, lo “stato dell’arte” e “una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative”. Non si può eliminare completamente i rischi, sicuramente è possibile tuttavia attenuarli e gestirli in maniera consapevole.
