Evidentemente le organizzazioni non sono tutte uguali. Differiscono per il settore di attività, le dimensioni, la scala geografica di azione, gli obiettivi, il tipo e il volume di dati e informazioni trattati, gli strumenti tecnologici utilizzati, le esperienze e competenze coinvolte e altro ancora.

Per sviluppare una strategia organizzativa e di gestione della sicurezza occorre:

  • sapere quali sono le infrastrutture organizzative e tecnologiche attuali e come utilizzate

  • sapere e definire quali sono le informazioni trattate (i trattamenti)

quindi occorre stabilire:

  • i controlli organizzativi

  • i controlli funzionali

  • i controlli fisici

  • trattamento per trattamento, i controlli organizzativi, funzionali e fisici necessari e sufficienti a salvaguardare dati e informazioni del trattamento

il tutto nella consapevolezza che

  • questo non è un atto saltuario ma un processo di affinamento periodico finalizzato al miglioramento continuo dell’organizzazione e della gestione

Ovviamente, a questo scopo, il volume di attività, il tempo e l’articolazione di valutazioni e scelte variano in funzione della dimensione e della complessità aziendale. L’elemento fondante, e prevalentemente invariante, è il metodo e il tipo di esperienze e competenze necessarie per effettuarlo.

Il metodo consiste in:

  • farsi le domande giuste e nel giusto ordine

  • determinare le risposte migliori sulla base dei rischi che si corrono

  • raccogliere le risposte in forma strutturata, organizzata e facilmente accessibile, per la consultazione o la loro revisione

  • raccogliere, nel tempo, le osservazioni e le criticità delle risposte in modo da poter definire e tracciare le azioni di modifica da intraprendere e intraprese

Per applicare un metodo occorrono poi le competenze e le esperienze nei campi e nei settori da analizzare e valutare.

Nel seguito si fa esplicitamente riferimento alla metodologia elaborata e documentata da CNIL (https://www.cnil.fr/en/home) anche mediata, in alcune parti, con elementi tratti dalla metodologia messa a punto per le PMI EU da ENISA (https://www.enisa.europa.eu/).

Il metodo può essere supportato, in varia misura, da applicazioni software di raccolta e gestione dell’analisi, delle valutazioni e della documentazione prodotta.

Al termine del primo censimento dei trattamenti si è già in grado di delineare un primo schema per:

  • il registro dei trattamenti

  • il sistema informativo/contrattuale

  • le informative a chi/come deve essere fornita l’informativa con raccolta di consenso per categorie di dati e interessati

  • gli incarichi a collaboratori e dipendenti

  • i contratti verso responsabili di trattamenti

Il passo successivo è quello di definire le politiche e le scelte aziendali finalizzate all’uso e alla salvaguardia generale dei diversi trattamenti. Per ognuno dei punti occorre determinare un primo quadro di strategie e criteri generali adottati. La scelta e la descrizione dei controlli avviene dapprima per linee generali e per le voci ritenute rilevanti nel contesto aziendale. Attraverso la successiva analisi dei singoli trattamenti, che porta per ciascuno alla valutazione di impatto (PIA), potranno poi emergere aspetti che, se di carattere generale, andranno a determinare un affinamento dei controlli individuati in prima valutazione.

Va poi osservato che il dettaglio delle valutazioni e delle scelte è variabile in funzione del grado di complessità, dalle esigenze e dalla rischiosità dei trattamenti e quindi, nel seguito, i singoli blocchi espansi in forma di tabelle riportano delle descrizioni sintetiche.

Censimento delle infrastrutture organizzative e tecnologiche:
sapere quali sono le infrastrutture organizzative e tecnologiche attuali e come utilizzate:

Voce

Es.

Produce

Rete di comunicazione

Apparati, architettura, modalità di trasmissione in locale, di interazione tra sedi, con partner, di accesso ed uso di internet/cloud, di filtro e protezione

Uno schema concettuale al giusto livello di dettaglio dei sistemi di comunicazione aziendale

Sistemi digitali

Dispositivi personali (pc, mobile, ecc)

Server locali e in cloud

Apparati di archiviazione e backup

Sistema di controllo accessi e/o presenze

Videosorveglianza

Uno schema concettuale al livello di dettaglio richiesto dei sistemi tecnologici impiegati e delle loro relazioni funzionali

Applicazioni software

Ubicate localmente, ubicate sul cloud, utilizzate come servizio dal cloud

Uno schema concettuale al livello di dettaglio del software di base e delle applicazioni impiegate, del loro uso principale e delle relazioni di interoperabilità tra esse

Sistemi/archivi di gestione del cartaceo

Punti di accumulo e utilizzo dei documenti cartacei

Uno schema concettuale al giusto livello di dettaglio dei sistemi di gestione del cartaceo

Organigramma

ruoli, funzioni, mansioni

Uno schema concettuale al giusto livello di dettaglio delle funzionalità organizzative e delle relazioni con gli altri elementi di infrastruttura

Tabella 1: censimento delle infrastrutture organizzative e tecnologiche

Censimento dei trattamenti:
sapere e definire quali sono le informazioni trattate - per ogni trattamento:

Voce

Es.

Produce

Tipologie generali di dati trattati

Dati anagrafici, di comportamento, di particolare criticità

Una classificazione attinente a categorie di dati tratttati

Tipologia di interessati

Clienti, fornitori, partner, dipendenti, collaboratori a contratto, particolari tipologie di clienti

Una classificazione attinente a categorie di interessati

Indicazioni generali di impiego

Finalità generale, durata d’uso, impiego delle infrastrutture aziendali (comunicazioni, sistemi, organigramma)

Uno schema concettuale di massima delle relazioni d’uso

Tabella 2: censimento dei trattamenti

I controlli aziendali
controlli organizzativi:

Voce

Es. / descrizione

Organizzazione

Le scelte generali di direzione e controllo della protezione dei dati, quali ad esempio la designazione di un Responsabile della Protezione dei Dati (RPD/DPO), di un organo di supporto al monitoraggio della sicurezza ecc

Politiche

Come il titolare del trattamento dei dati intende far predisporre una banca dati/documentale attraverso cui raccogliere obiettivi, regole applicate per la protezione dei dati, compresi i criteri con cui valutare i rischi e i criteri di monitoraggio, controllo e revisione periodica.

Gestione dei rischi della privacy

I criteri e il metodo seguito per la valutazione specifica di rischi legati al trattamento di dati personali con particolare attenzione a quelli che possono maggiormente influire sui diritti e le libertà degli interessati

Integrare la protezione della privacy nei progetti

I criteri e il metodo con cui attuare la salvaguardia dei dati personali in ogni nuovo progetto di trattamento

Gestire le violazioni dei dati personali

L’organizzazione operativa per la rilevazione e la gestione di eventi che possono influire sulla privacy degli interessati e/o arrecare danno a essi

Gestione del personale

Piano di informazione, formazione, sensibilizzazione del personale sullo spirito, le ragioni, i criteri e l’organizzazione addottata per la salvaguardia di dati e informazioni

Relazioni con terze parti

I criteri di identificazione, le regole (contratti, convenzioni ecc) e l’organizzazione per ridurre i rischi di accesso e uso illeggittimo da parte di terzi di dati e informazioni

Supervisione

I criteri e le modalità con cui creare e mantenere aggiornata

una visione globale dello stato di protezione e di conformità (obiettivi, responsabilità, metriche e indicatori, rappresentazione storica dei piani di azione ecc.)

Tabella 3: Controlli aziendali: organizzativi

controlli funzionali:

Voce

Es. / descrizione

Crittografia

Le misure addottate per assicurare la riservatezza dei dati trasmessi (VPN, TLS, ecc) e archiviati (in database, file, backup etc.)

Anonimizzazione

Le eventuali misure e modalità volte volte ad anonimizzare l’impiego di dati personali.

Partizionamento dei dati

Le eventuali misure volte a partizionare i dati personali in modo da ridurre la possibilità che essi possano essere messi facilmente in correlazione tra loro sia in accesso che in modifica.

Controllo degli accessi

Le misure e i metodi adottati per attribuire i profili utente in modo da ridurre al minimo necessario i livelli di privilegio, l’accessibilità ai soli dati necessario alle mansioni/funzione e l’accesso sicuro alle risorse aziendali.

Tracciabilità

Politiche di tracciabilità degli accessi (gestione dei log).

Archiviazione

L’esistenza di misure e regole, se necessarie, per la gestione sotto responsabilità degli archivi (consegna, archiviazione, consultazione ecc.)

Sicurezza dei documenti cartacei

Ubicazione e modalità di impiego e conservazione degli archivi cartacei.

Minimizzazione dei dati personali

L’orientamento e le regole per ridurre al minimo l’utilizzo di dati personali e solo alle funzione che ne abbiano reale necessità.

Tabella 4: Controlli aziendali: funzionali

controlli fisici:

Voce

Es. / descrizione

Vulnerabilità

Politiche generali finalizzate a limitare la probabilità e la gravità dei rischi nell’utilizzo delle risorse dell’infrastruttura aziendale (accesso fisico ai materiali, inventario e il mantenimento si software e hardware, la conservazione di dati e materiali, ecc)

Lotta contro il malware

Le misure sui sistemi digitali per proteggere l’accesso alle reti di comunicazione, pubbliche e private, la protezione delle postazioni e dei server contro malware

Gestione postazioni

Le misure per ridurre la possibilità che il software (sistemi operativi, applicazioni aziendali, software per ufficio, impostazioni ecc.) possa essere impiegato per danneggiare i dati personali (modalità di aggiornamento, protezione dell’accesso agli apparati, controlli di integrità e di tracciamento degli accessi ecc.).

Sicurezza dei siti web

Le misure e gli accorgimenti addottatti o fatti addottare per la sicurezza dei siti web realizzato o impiegati

Backup

Le politiche e gli strumenti per assicurare l’integrità e la disponibilità dei dati personali

Manutenzione

La politca e i criteri di assegnazione, monitoraggio e controllo della manutenzione delle risorse dell’infrastruttura, con particolare riguardo a quella svolta da terzi esterni

Contratti di trattamento

I criteri e i contratti di regolazione dei rapporti in relazione a servizi cloud, attività in outsourcing, ecc., per fissare la conformità delle misure di sicurezza richieste e attese

(Responsabili del Trattamento, manutentori esterni, Responsabili della Protezione, ecc.)

Sicurezza della rete

In funzione della rete di comunicazione le politiche i criteri con cui sono garantite condizioni di sicurezza nella trasmissioni dei dati (reti private Vs pubbliche, firewall, sistemi di rilevamento e/o prevenzione di intrusioni, ecc)

Controllo degli accessi fisici

Le politiche con cui sono garantite le condizioni di sicurezza nell’accesso fisico ai locali e ai mezzi fisici (suddivisione per zone, videosorveglianza/allarmi, accompagnamento, porte/varchi di accesso, ecc.).

Monitoraggio dell’attività della rete

L’esistenza di misure in atto per rilevare tempestivamente incidenti relativi a dati personali e disporre di elementi di verifica e prova di quanto accaduto

Sicurezza dell’hardware

L’esistenza di misure in atto per ridurre la possibilità che le apparecchiature (server, postazioni fisse, portatili, periferiche, dispositivi di comunicazione, supporti rimovibili etc.) possano essere impiegati per danneggiare i dati personali

Evitare le fonti di rischio umane

L’esistenza di misure di prevenzione dei rischi per i dati personali di origine umana (procedura, mancanza di informazione, formazione, addestramento, ecc.)

Protezione contro fonti di rischio non umane

L’esistenza di misure di prevenzione dei rischi per i dati personali di origine non umana (alluvione, pioggia e allagamenti, incendio, incidenti interni o esterni, animali, ecc.)

Tabella 5: Controlli aziendali: fisici

Analisi dei trattamenti
per ogni trattamento:

Voce

Domande a cui dare risposta

Note

Contesto

   

Panoramica

  • Quale è il trattamento in considerazione?

  • Quali sono le responsabilità legate al trattamento?

  • Ci sono standard applicabili al trattamento?

 

Dati processi e risorse di support

  • Quali sono i dati trattati?

  • Com’è il ciclo di vita del trattamento dei dati?

  • Quali sono le risorse di supporto ai dati?

 

Principi fondamentali

   

Proporzionalità e necessità

  • Gli scopi del trattamento sono specifici, espliciti e legittimi?

  • Quali sono le basi legali che rendono il trattamento legittimo?

  • I dati raccolti sono adeguati, rilevanti e limitati a quanto è necessario in relazione alle finalità per cui sono stati trattati (minimizzazione dei dati)?

  • I dati sono accurati e mantenuti aggiornati?

  • Quale è la durata della conservazione dei dati?

 

Controlli per proteggere i diritti personali dei soggetti interessati

  • I soggetti interessati come sono informati del trattamento?

  • Come si ottiene il consenso dei soggetti interessati?

  • I soggetti interessati come esercitano i loro diritti di acceso alla portabilità dei dati?

  • Come i soggetti interessati esercitano i loro diritti alla rettifica e alla cancellazione?

  • I soggetti interessati come esercitano il loro diritto di restrizione e obiezione?

  • Gli obblighi dei responsabili del trattamento sono chiaramente identificati e governati da un contratto?

  • Nel caso di trasferimento di dati fuori dall’Unione Europea, i dati sono adeguatamente protetti?

 

Rischi

   

Accesso illegittimo ai dati

  • Quali impatti ci sarebbero sui soggetti interessati se il rischio si dovesse concretizzare?

  • Quali sono le principali minacce che potrebbero concretizzare il rischio?

  • Quali sono le fonti di rischio?

  • Quali dei controlli identificati contribuiscono a gestire il rischio?

  • Gravità del rischio (indefinito, trascurabile, limitato, importante, massimo)

  • Probabilità del rischio (indefinito, trascurabile, limitato, importante, massimo)

Impatti, minacce, fonti di rischio è opportuno che vengano categorizzate attraverso una breve descrizione.

I controlli (organizzativi, funzionali e fisici) adottati sono quelli generali di impresa eventualmente integrati da una specializzazione legata al trattamento specifico

Gravità e Rischio sono esprimibili attraverso un criterio a valori discreti.

Modifiche indesiderate dei dati

  • Quali impatti ci sarebbero sui soggetti interessati se il rischio si dovesse concretizzare?

  • Quali sono le principali minacce che potrebbero concretizzare il rischio?

  • Quali sono le fonti di rischio?

  • Quali dei controlli identificati contribuiscono a gestire il rischio?

  • Gravità del rischio (indefinito, trascurabile, limitato, importante, massimo)

  • Probabilità del rischio (indefinito, trascurabile, limitato, importante, massimo)

Impatti, minacce, fonti di rischio è opportuno che vengano categorizzate attraverso una breve descrizione.

I controlli (organizzativi, funzionali e fisici) adottati sono quelli generali di impresa eventualmente integrati da una specializzazione legata al trattamento specifico

Gravità e Rischio sono esprimibili attraverso un criterio a valori discreti.

Scomparsa di dati

  • Quali impatti ci sarebbero sui soggetti interessati se il rischio si dovesse concretizzare?

  • Quali sono le principali minacce che potrebbero concretizzare il rischio?

  • Quali sono le fonti di rischio?

  • Quali dei controlli identificati contribuiscono a gestire il rischio?

  • Gravità del rischio (indefinito, trascurabile, limitato, importante, massimo)

  • Probabilità del rischio (indefinito, trascurabile, limitato, importante, massimo)

Impatti, minacce, fonti di rischio è opportuno che vengano categorizzate attraverso una breve descrizione.

I controlli (organizzativi, funzionali e fisici) adottati sono quelli generali di impresa eventualmente integrati da una specializzazione legata al trattamento specifico

Gravità e Rischio sono esprimibili attraverso un criterio a valori discreti.

Indisponibilità dei dati

Può essere utile/necessario introdurre anche questo elemento di valutazione, con le stesse domande e considerazioni dei punti precedenti

 

Panoramica del rischio

 

Rappresentazione di sintesi degli elementi di rischio del trattamento.

E’ essenziale creare delle viste riassuntive sintetiche (tabelle, grafici) che mettano in relazione ogni voce di rischio con impatti, minacce, fonti di rischio, controlli aziendali adottati, evidenziato la composizione e gli elementi in comune della gestione

Convalida

   

Mappatura del rischio

  • Valutazione del rischio complessivo del trattamento

  •  

In relazione alle voci: accesso illegittimo, modifiche indesiderate, scomparsa di dati (, indisponibilità):

  • Evidenziazione del contributo di rischio per ciascuna delle voci

  • Evidenziazione di impatti, minacce e fonti di rischio comuni alle voci

  • Evidenziazione dei controlli comuni alle voci

Rappresentazione sintetica e schematica della situazione di rischio complessiva del trattamento

Tabella 6: Analisi di un trattamento