La chiave per la conformità alla GDPR è un'efficace Risk Assessment

Da quando il regolamento generale sulla protezione dei dati (GDPR) è stato adottato nell'aprile 2016, sono stati prodotti una raffica di articoli e documenti spaventosi riguardanti le penalità e i danni alle reputazioni che si verificheranno quando il regolamento entrerà in vigore nel maggio 2018.

Ma molti degli articoli riassumono semplicemente le disposizioni generali della GDPR, invece che cercare di chiarirli.

Il loro unico messaggio sembra essere che la "bomba" riguardante la GDPR esploderà prima che tu sia pronto.

Le organizzazioni di piccola e media grandezza (SMBs) avranno bisogno di essere pronte quando la nuova legge entrerà in vigore nel Maggio 2018, perché la GDPR non allenterà la sua presa – Il regolamento si applica ad ogni organizzazione nel mondo che elabora o memorizza dati sui cittadini dell’UE. Ma può essere difficoltoso per le SMBs capire da dove iniziare.

Rispetto alle grandi organizzazioni, le piccole e medie imprese spesso hanno meno tempo e soldi da investire per poter organizzare la propria compliance nel modo giusto, e hanno meno probabilità di avere un team che rispetti la compliance, responsabili nella protezione di dati o esperti legali per consigliare loro cosa fare. Inoltre, alcune SMBs sono neofite dei regolamenti di conformità e delle migliori pratiche riguardo la sicurezza dei dati sensibili, il che le rende ancora più vulnerabili ai rischi legati a dei cyber attack.

Fortunatamente, lo stesso processo può aiutare le piccole aziende a rispettare i regolamenti GDPR e ridurre il rischio di violazioni dei dati: Risk Assessment. In questo post, esploreremo come la GDPR definisce Risk Assessment e fornirti le istruzioni passo dopo passo implementandolo.

Cosa è il Risk Assessment secondo la GDPR?

Diverse disposizioni del capitolo 4 della GDPR si riferiscono specificamente al risk assessment e alla data protection impact assessment. Però, ciò che si definisce “rischio” non viene mai specificato, né esiste una guida per stabilire il processo di Risk Assessment.

La ragione legata a questa vaga formulazione è che la GDPR si applica ad ogni organizzazione che gestisce informazioni di identificazione personale (PII) dei cittadini dell’UE, indipendentemente dalle dimensioni o dall’azienda.

Tuttavia, la GDPR non è una “bomba a orologeria” o una barriera legislativa.

Infatti, altri standard di sicurezza dei dati hanno in realtà approcci molto più rigorosi. HIPAA, per esempio, richiede che le vostre misure di valutazione del Risk Assessment rispondano alle aspettative di un revisore esterno e, di conseguenza, non adempiere ai controlli può comportare multe enormi.

In contrapposizione la GDPR garantisce la libertà nell’adozione di procedure simili: è sufficiente dimostrare che l’approccio basato sul rischio che si adotta è adeguato al tipo di organizzazione ed è allineato ai requisiti GDPR.

Il Risk Assessment è semplicemente un insieme di best practices sulla sicurezza che rafforzerà le tue difese e manterrà il tuo business fuori dai guai

Il Risk Assessment è qualcosa che ogni organizzazione deve fare, e implica quanto segue:

  • La valutazione accurata del profilo di rischio
  • Adottare misure appropriate per mitigare i rischi per la sicurezza che vengono identificati
  • Ripetere periodicamente il processo di Risk Assessment e il processo di attuazione delle misure

Una guida passo dopo passo per il Risk Assessment legato alla GDPR

Esaminiamo i passaggi fondamentali che le piccole e medie imprese possono adottare per attuare il processo di Risk Assessment e mitigazione:

  • Formare un team adeguato

Assicurati che il tuo team includa membri di tutte le aree della tua azienda che hanno la responsabilità della gestione o dell’elaborazione delle PII.
Inizia identificando gli stakeholder: le persone che saranno più probabilmente legate alla GDPR.

Di solito questo include le persone incaricate di gestire le relazioni con i clienti e i responsabili marketing, gli hiring manager, i responsabili IT e legali.
Nominare un responsabile della protezione dati (DPO) che avrà la responsabilità per la conformità GDPR.

  • Rivedere altri standard di sicurezza e framework di conformità.

Poichè la GDPR non definisce procedure specifiche usare altri standard e frameworks di conformità, come PCI DSS o NIST Cybersecurity Framework, può aiutarti a iniziare il processo di conformità.

Possono sembrare regolamenti diversi ma hanno tutti lo stesso obbiettivo – proteggere i dati sensibili.

  • Conoscere i propri dati

Classificare e controllare i dati raccolti e archiviati.
Hai bisogno di sapere quali dati sono sensibili, dove risiedono e chi ha accesso ad essi prima di poter iniziare a valutare i rischi, rispondere prontamente alle richieste degli auditor, individuare gli incidenti di sicurezza e scoprire i loro casi di root, e soddisfare i requisiti della GDPR come la portabilità dei dati. 

L’adozione di una piattaforma singola per la data governance e la gestione delle policy consentirà di evitare la frammentazione dei dati archiviati, la quale rappresenta un grande rischio per l’integrità dei dati stessi.

  • Identificare i rischi unici

Identificare i rischi specifici per la propria organizzazione e classificarli in base alla gravità e alla probabilità utilizzando categorie come alta, moderata e bassa.
Determinare esattamente quali risorse preziose potrebbero essere danneggiate da ciascun rischio.
Ogni organizzazione avrà  il suo insieme unico di rischi e possibili conseguenze, ma una matrice di rischio e possibili conseguenze; inoltre una matrice di rischi può essere un prezioso stratagemma per aiutarti a non tralasciare nulla.

  • Determinare il tuo rapporto rischi/benefici

Mentre la GDPR non fornisce indicazioni su come valutare e assegnare peso a vari rischi e incidenze, afferma che la valutazione deve tener conto dell’equilibrio tra i rischi e i benefici.

Pertanto, lo stesso rischio può essere valutato in modo diverso a seconda dell’organizzazione, a seconda di quanto è probabile che si verifichi e quanto le misure adottate potrebbero fornire dei benefici.

“Il trattamento dei dati personali dovrebbe essere progettato per servire l’umanità”, dice la GDPR, quindi, ad esempio, se è necessario archiviare più dati personali per avvantaggiare i clienti, è possibile farlo - non dimenticare di valutare la necessità di elaborare tali dati e il rischio che comporta.

  • Ripetere continuamente il processo di valutazione del rischio.

La GDPR richiede che il Risk assessment sia un processo continuo.
E’ necessario monitorare costantemente i nuovi dati, scoprire nuovi rischi, rivalutare i livelli di rischio, adottare misure di mitigazione e aggiornare il piano d’azione.
Per fare ciò hai bisogno di visibilità nei tuoi controlli, processi e pratiche, così da assicurarti che siano allineati con i requisiti del regolamento.
Ad esempio, è necessario assicurarsi di avere una visione approfondita e controllare le autorizzazioni di accesso in modo da ridurre al minimo il rischio di accesso ai dati sensibili da persone non autorizzate.

Per ora, il consiglio più ragionevole è quello di aderire alle Linee guida sulla valutazione dell’impatto sulla protezione dei dati basata su DPA 1998 e altre normative settoriali.
Ma l’ufficio del Commissario per le informazioni del Regno Unito (ICO), insieme ad altre autorità per la protezione dei dati nell’UE, potrebbe benissimo fornire ulteriori orientamenti sulle attività di elaborazione dei rischi nel Maggio 2018.

Con la proliferazione di nuove tecnologie informatiche e la crescente sofisticazione dei rischi informatici, la gestione dei rischi è più critica che mai.
Per proteggere i tuoi dati sensibili in modo efficiente ed efficace, devi sapere quali rischi rappresentano le maggiori minacce per la tua organizzazione e ottenere il controllo sulle autorizzazioni e sull’attività degli utenti.
La valutazione continua del rischio ti aiuterà a migliorare la sicurezza dei dati e ad ottenere la conformità alla GDPR.

Scopri come Netwrix Auditor può aiutarti fornendoti lo strumento corretto per la Risk Assessment in funzione della GDPR: