(Una classica giornata, in sede da un cliente)
[….]
Io: “Bene Dr. Rossi, mi racconti quali misure avete preso per proteggere i vostri dati aziendali, compresi quelli dei vostri clienti”
Dr. Rossi (CEO): “Ci siamo affidati al miglior ufficio legale, che ha predisposto tutte le attività necessarie”
Io: “Ottimo. Durante i test di analisi dei vostri sistemi informatici, sono emerse criticità particolari?”
Dr. Rossi: “Ehm, non ricordo. Non ho visibilità diretta di questi dati”
Io: “Dr. Rossi, è lei il responsabile del trattamento dei dati, giusto? Sarebbe importante, vista questa responsabilità, che lei fosse al corrente dello stato dell’arte dei vostri sistemi tecnologici/informatici: almeno sapere se è tutto ok o ci sono aree su cui state lavorando. Ma non si preoccupi: basta chiedere, a chi gestisce il reparto IT, quando è prevista la prossima analisi, così possiamo ragionare su dati ancora più aggiornati”
Dr. Rossi, prende il telefono: “Ciao Tiziano: mi dici che esito hanno avuto i test sui nostri sistemi informatici e quand’è il prossimo in programma?”
Tiziano (IT Manger): “……”
Che ci piaccia o no, l’entrata in vigore del GDPR ha (finalmente) obbligato le aziende ad iniziare (anche) un percorso strutturato in merito alla sicurezza informatica, accendendo i riflettori su alcuni aspetti che fino a pochi mesi fa erano lasciati - spesso - letteralmente al caso.
Mi voglio soffermare su uno in particolare, che mi tocca da vicino considerato il lavoro che faccio, ovvero l’articolo 32 del GDPR: “Sicurezza del trattamento”. Andiamo subito al sodo senza soffermarci su temi legali/amministrativi: questo articolo prevede che l’azienda svolga una analisi del rischio tecnologico e metta in atto misure tecniche adeguate.
In particolare, al punto d): “una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”
Cosa significa? Beh, mi sembra cristallino: bisogna testare la propria infrastruttura informatica regolarmente e nel caso ci siano vulnerabilità o problematiche varie, risolverle.
Attenzione ad un punto: non c’è nulla di obbligatorio.
Le misure devono essere disposte solo se sono idonee a fronteggiare il rischio. Ma…. come faccio a valutare l’adeguatezza delle misure se non ho prima analizzato il rischio? Senza un primo test, non c’è analisi e di conseguenza non è possibile sapere se le misure di sicurezza della propria infrastruttura sono adeguate.
Un primo test diventa quindi obbligatorio: è il punto zero sul quale iniziare a ragionare.
Pongo una domanda. Titolari di azienda, presidenti, amministratori delegati: siete a conoscenza dell’esito dei test effettuati sui vostri sistemi informatici? Che esito hanno avuto? Quando saranno replicati? Ed ai responsabili IT: che soluzione avete adottato per effettuare un primo test e mantenere monitorata l’infrastruttura informatica della quale siete responsabili?
E' importante che il top management sia al corrente di queste informazioni, anche in modo sintetico.
Cosa fare ora?
Adottare una approccio strutturato alla Sicurezza Preventiva e una corretta gestione dell'Analisi del Rischio Tecnologico
Come?
Cercando una soluzione non invasiva, completa, scalabile e flessibile.
Dove?
Nei prossimi articoli ti racconterò una delle possibili soluzioni. Se non vuoi aspettare o vuoi sapere qual è il mio approccio, contattami :-)