GDPR Countdown -45 giorni: compliance o non-compliance coi sistemi di gestione?

Manca poco all’effettiva applicazione del Regolamento Europeo cosiddetto GDPR (General Data Protection Regulation – Regolamento UE 2016/679) e prosegue il nostro viaggio verso la deadline che ogni azienda ha già messo a calendario.

Il tema dell’impatto organizzativo nell’affrontare l’adeguamento al GDPR e la necessità di coinvolgere i vertici aziendali è molto sentito.
Le imprese si aggregano su due poli opposti: fra il mettersi al riparo da irregolarità “burocratiche”, adottando soluzioni che garantiscano solo il minimo indispensabile e l’appesantire notevolmente i processi aziendali, rischiando di “subire” eccessivamente il Regolamento Europeo senza trarne valore per il business.

Difficoltà di raggiungere la compliance sono presenti anche in organizzazioni certificate ISO 27001 (la norma internazionale relativa al sistema di gestione della sicurezza delle informazioni), anche se, se si è sulla strada della certificazione 27001 il passo per la compliance GDPR è breve. Il sistema di gestione delle informazioni secondo la disciplina ISO 27001 è uno standard internazionale per la gestione della sicurezza informatica, applicabile a qualsiasi organizzazione, che definisce i requisiti per una corretta gestione della sicurezza delle informazioni in ambito aziendale. Si tratta di un metodo che permette di garantire una sicurezza adeguata ai documenti in formato elettronico e alle banche dati aziendali, attraverso la gestione corretta delle reti e degli strumenti di comunicazione, assicurando anche la formazione del personale su rischi specifici come il phishing, i virus informatici, le frodi e il danneggiamento di programmi ed archivi. La ISO 27001 è finalizzata a garantire una maggiore riservatezza delle informazioni, attraverso profili di autorizzazione che consentono di disciplinare gli accessi ai dati in base alle mansioni assegnate a singolo dipendente o a gruppi di dipendenti. Integrità e disponibilità delle informazioni sono gli ulteriori obiettivi perseguiti dalla norma, che tende a garantire la business continuity e ad evitare ripercussioni sull’attività dell’azienda in caso di incidente informatico.

La differenza è che mentre la norma 27001 si preoccupa di proteggere i dati, il GDPR mira a proteggere i diritti della persona. Riteniamo quindi che non si tratti di superare o meno la linea di demarcazione che separa la compliance dalla non-compliance, bensì di intraprendere un percorso virtuoso, a ciclo continuo, che permetta di aumentare costantemente la protezione degli asset aziendali, traendo il massimo beneficio dal driver ICT Security, promosso dalla normazione.

Alessandro Rani
VM Sistemi – ICT Security Business Unit Manager

Related Posts

Pin It on Pinterest