essere conforme alla ISO 27001 è abbastanza per essere conforme anche alla GDPR?

GDPR e ISO 27001 sono due standard di conformità importanti che hanno molto in comune. Entrambi mirano a rafforzare la sicurezza dei dati e a diminuire il rischio di violazione dei dati, ed entrambi necessitano di organizzazione per assicurare la riservatezza, l'integrità e la disponibilità dei dati sensibili.
L’ISO 27001 è uno dei più dettagliati standard di best-practice, e infatti, l'Articolo 24 della GDPR specifica che l'adesione ai codici di condotta e all certificazioni approvate, come ISO 27001, può essere utilizzata come elemento dimostrativo della conformità. Non è una sorpresa che spesso ci si domanda “Sono completamente conforme alla GDPR se sono già certificato con ISO 27001?”.

In ogni caso, la GDPR ha uno scopo molto più ampio e una comprensione più fondamentale riguardo alla sicurezza e alla privacy dei dati personali.

In questo post, risponderò a domande molto frequenti riguardo ISO 27001 e GDPR, per comprendere al meglio le differenze e le similitudini tra questi due standard, per decidere come utilizzare la struttura di ISO 27001 per passare la verifica della GDPR:

 

Che cos'è la GDPR?

Il Regolamento Europeo in materia di Protezione dei Dati Personali (GDPR) è uno standard di conformità che mira a rafforzare la protezione dei dati; si applica a tutte le organizzazioni – esterne o interne all'Unione Europea – che memorizzano o processano i dati personali dei residenti europei. Lo standard entrerà in vigore il 25 maggio 2018 e sta già cambiando il modo in cui le compagnie si occupano della protezione dei dati. La GDPR si estende fino ai diritti degli individui nel rispetto dei loro dati personali, imponendo nuovi approcci (es. protezione dei dati di design e di default) e include gravi sanzioni per le violazioni.

I requisiti più cruciali della GDPR includono:

  1. Range più ampio dei dati che necessitano protezione

    La GDPR protegge un ampio spettro di dati, includendo non solo informazioni personali come nome, ID e numeri di Sicurezza Sociale, ma anche dati medici, dati biometrici, pareri politici e altri (Articoli 5-11).

  2. Richiesta di un consenso esplicito per l'utilizzo dei dati

    L'Articolo 6 della GDPR richiede alle organizzazioni di ottenere un consenso esplicito per la raccolta e l'utilizzo dei dati individuali. Per adempiere a questo requisito, le organizzazioni devono conservare le prove documentate del consenso e dimostrare che le richieste di consenso sono chiare e concise.

  3. Diritti estesi dei soggetti dei dati

    Il Capitolo 3 offre una lunga lista di regole per aiutare i singoli a ottenere un miglior controllo dei propri dati. I residenti europei avranno il diritto di ottenere informazioni riguardo al trattamento dei propri dati (Articolo 15), di poter trasferire facilmente i loro dati tra fornitori di servizi (Articolo 20) e di potersi opporre al trattamento dei propri dati (Articolo 21). Uno dei requisiti più fondamentali della GDPR è il 'diritto all'oblio' (Articolo 17), che autorizza le persone a costringere le aziende a cancellare i propri dati da tutto il sistema.
    La GDPR è probabilmente l'unico standard di conformità che mette il potere nelle mani dei consumatori e che mette i loro interessi al di sopra degli interessi delle organizzazioni, e le compagnie che si stanno preparando alla GDPR ne vedono già la differenza:

    Sfortunatamente, le leggi americane non sembrano interessarsi molto riguardo i dati dei cittadini tanto quanto le leggi europee. I cittadini qui non hanno l'opzione di dire effettivamente 'Dammi i miei dati e cancellali'. La GDPR mira alla protezione dei cittadini, dandogli una completa transparenza riguardo le aziende che processano le loro informazioni sensibili, come vengono processate, e quali dati effettivamente posseggono. Ciò dà ai cittadini un 'capo completo' di opzioni come consentire di richiedere una cancellazione dei propri dati seguendo determinate linee guida. Al momento, le leggi americane sono ampiamente indietro quando si tratta di proteggere i propri cittadini come 'soggetti dei dati'.

    Kyle Reyes, Infrastructure Systems Administrator, Midland Information Resources

  4. Enormi multe per la non conformità

    Le multe per gli errori alla conformità sono comprese tra il 2% e il 4% del fatturato annuo mondiale dell'azienda o comprese tra 10 e 20 milioni di euro, dipende da qual è il valore maggiore. Le violazioni più gravi includono la distruzione, la perdita, il cambiamento o la trasmissione accidentali dei dati personali, tanto quanto il non essere in grado di dimostrare esplicitamente di aver ottenuto il consenso per la trasmissione dei dati (Articoli 83-84).

  5. Rigide regole di notifica della violazione dei dati

    Secondo l'Articolo 33, i responsabili del trattamento dei dati devono segnalare le violazioni dei dati alle autorità di vigilanza entro le 72 ore dalla scoperta. Se una compagnia non procede con la segnalazione, deve fornire una valida ragione per il ritardo. Questo tempo è molto meno di quello richiesto dalle norme di conformità degli Stati Uniti (come HIPAA o SOX).

Che cos'è la ISO 27001?

ISO 27001 (formalmente conosciuto come ISO/IEC 27001:2013) è uno standard internazionale di sicurezza delle informazioni che fornisce i requisiti per l'implemento, il mantenimento e il miglioramento di un sistema di gestione della sicurezza delle informazioni (ISMS). Un ISMS è una struttua di politiche e procedure che include i controlli legali, tecnici e fisici coinvolti nei processi di gestione dei rischi IT di un'azienda. I fattori che influenzano l'implementazione dell'ISMS includono gli obiettivi dell'organizzazione, i requisiti di sicurezza, le dimensioni e la struttura. Seguire le migliori prassi di ISO 27001 aiuta le aziende a contrastare i rischi per la sicurezza, a proteggere i dati sensibili e a identificare l'ambito e i limiti dei propri programmi sulla sicurezza. Lo standard si applica a un'ampia gamma di organizzazioni, come aziende, gruppi governativi, istituzioni accademiche e associazioni no-profit.

I requisiti più importanti della ISO 27001 includono:

  1. Gestione delle risorse

    Alle organizzazioni viene richesto di raggiungere e mantenere un'appropriata protezione delle risorse organizzative, cioè  necessitano di identificare le proprie risorse e le regole del documento per l'uso accettabile delle informazioni (Controls A.8). Inoltre, tutte le ifnormazioni devono essere classificate in termini del proprio valore, dei requisiti legali, sensibilità e criticità per l'organizzazione.

  2. Sicurezza operativa

    Questo ampio insieme di controlli delinea le procedure operative e le responsabilità di abse, come la separazione degli ambienti di sviluppo, di test e operativi, il cambio di gestione e la documentazione delle procedure operative (A.12).

  3. Controllo dell'accesso

    Questa famiglia di controlli (A.9) fornisce le linee guida per controllare l'utilizzo dei dati nei limiti dell'organizzazione e per prevenire accessi non autorizzati ai sistemi operativi, ai servizi network, impianti di elaborazione delle informazioni e così via. Questo implica regole per la gestione dell'accesso degli utenti, la gestione dei diritti di accesso privilegiato, le reponsbilità degli utenti e il controllo degli accessi al sistema e alle applicazioni.
  1. Gestione degli incidenti di sicurezza delle informazioni

    Il gruppo di controllo A.16 delinea le regole per segnalare eventi e punti deboli della sicurezza IT, per gestire gli incidenti di sicurezza IT e per migliorare questi processi. Le organizzazioni devono assicurare che gli incidenti vengano comunicati in modo da permettere una risposta tempestiva ed efficace.
  1. Sicurezza delle risorse umane

    La famiglia di controllo A.7 richiede alle organizzazioni di assicurare che dipendenti e collaboratori siano in grado di conoscere e adempiere alle proprie responsabilità riguardo la sicurezza delle informazioni. Le organizzazioni devono fornire ai membri dello staff una formazione sulla consapevolezza e intraprendere azioni disciplinari formali contro gli impiegati che commettono una violazione della sicurezza delle informazioni.

  2. Continuità del Business

    Questo insieme di controlli (A.17) delinea gli aspetti della sicurezza in merito alle informazioni della gestione della continuità del business. Le organizzazioni devono determinare i requisiti per la continuità della gestione della sicurezza delle informazioni in situazioni avverse, documentare e mantenere i controlli di sicurezza per garantire il livello richiesto di conformità e verificarli regolarmente.


Mappatura della GDPR e della ISO 27001: Quali sono le similitudini?

Ci sono molte aree in cui ISO 27001 e la GDPR si sovrappongono. La maggior parte sono correlate alla sicurezza delle informazioni: ISO 27001 specifica regole per la protezione dei dati simili a quelle delineate dalla GDPR negli articoli 5, 24, 25, 28, 30 e 32. Ecco alcuni punti in comune per entrambi gli standard:

•    Riservatezza, confidenzialità e integrità dei dati

L'Articolo 5 della GDPR specifica i principi generali per l'elaborazione dei dati, come la protezione contro 'elaborazione non autorizzata o non conforme alla legge, perdita, distruzione o danni accidentali'. Nell'Articolo 32 vengono date linee guida più nel dettaglio, che specificano che le organizzazioni sono tenute ad attuare, operare e mantenere misure tecniche e organizzative per assicurare la sicurezza dei dati, come la crittografia, la resilienza dei sistemi e dei servizi di elaborazione, la capacità di ripristinare la disponibilità dei dati personali tempestiamente e molto altro.

Allo stesso modo, più controlli in ISO 27001 mirano ad aiutare le organizzazioni a garantire la riservatezza, la disponibilità e l'integrità dei dati. Partendo dalla clausola 4, ISO 27001 richiede alle organizzazioni di identificare i problemi interni ed esterni che potrebbero avere impatto sui programmi di sicurezza. La clausola 6 richiede loro di determinare i propri obiettivi di sicurezza IT e di creare un programma di sicurezza che li aiuti a raggiungere tali obiettivi. La Clausola 8 stabilisce gli standard per la manutenzione continua del programma di sicurezza e richiede all organizzazioni di documentare lo stesso programma per dimostrarne la conformità normativa.

•    Valutazione del rischio

Sia Iso 27001 che la GDPR richiedono un approccio alla sicurezza dei dati basato sul rischio. L'articolo 35 della GDPR richiede alle compagnie di eseguire delle valutazioni dell'impatto sulla protezione dei dati per valutare e identificare i rischi per i dati delle persone. Queste valutazioni sono obbligatorie prima di intraprendere dei processi ad alto rischio, come il monitoraggio sistematico dei dati estremamente sensibili.

ISO 27001 inoltre consiglia le organizzazioni di condurre delle valutazioni accurate del rischio per identificare minacce e vulnerabilità che potrebbero influire sulle attività (Paragrafo 6.1.2), e per selezionare delle appropriate misure di sicurezza delle informazioni basate sui risultati della valutazione del rischio (Paragrafo 6.1.3).

•    Gestione dei fornitori

La clausola 8 di ISO 27001 obbliga le organizzazioni ad identificare quali azioni sono esternalizzate e di garantire di poterle tenere sotto controllo. La clausola A.15 fornisce una guida specifica sulle relazioni con i fornitorie richiede alle organizzazioni di monitorare e rivedere l'erogazioni dei servizi da parte dei fornitori.

Problemi  simili sono affrontati nell'articolo 28 della GDPR, che richiede ai supervisori dei dati di garantire le condizioni contrattuali e garanzie da parte dei reponsabili del trattamento, creando un 'accordo per l'elaborazione dei dati'.

•    Notifica di violazione

Secondo gli articoli 33-34 della GDPR, le aziende devono notificare le autorità entro 72 ore dalla scoperta di una violazione dei dati personali. Anche gli interessati devono essere informati senza indebito ritardo, ma solo se i dati rappresentano un "alto rischio per i diritti e la libertà delle persone interessate".

Il paragrafo A.16 di ISO 27001, che affronta i controlli di gestione delle informazioni sulla sicurezza degli incidenti, non specifica un lasso di tempo esatto per la notifica di violazione dei dati, ma afferma che le organizzazioni devono segnalare tempestivamente gli incidenti sulla sicurezza e comunicare questi eventi in modo da consentire che 'tempestivamente si avviino azioni correttive'.

•    Protezione dei dati di design e di default

L'articolo 25 della GDPR afferma che le aziende devono attuare misure tecniche e organizzative durante la fase di progettazione di tutti i progetti in modo che possano garantire la privacy dei dati fin dall'inizio ("protezione dei dati idi design"). Inoltre, le organizzazioni dovrebbero proteggere la privacy dei dati per impostazione predefinita e garantire che vengano utilizzate solo le informazioni necessarie per ogni specifico scopo dell'elaborazione ("protezione dei dati di default").

Nella norma ISO 27001, requisiti simili sono descritti nelle clausole 4 e 6. La clausola 4 richiede alle organizzazioni di comprendere l'ambito e il contesto dei dati raccolti e elaborati, mentre la clausola 6 raccomanda di eseguire periodicamente valutazioni dei rischi per garantire l'efficacia della loro gestione della sicurezza programma.

•    Conservazione dei registri

L'articolo 30 della GDPR richiede alle organizzazioni di conservare dei registri delle loro attività di trattamento, comprese le categorie di dati, le finalità del trattamento e una descrizione generale delle misure tecniche e organizzative rilevanti per la sicurezza.

Allo stesso modo, ISO 27001 afferma che le organizzazioni devono documentare i loro processi di sicurezza, nonché i risultati delle loro valutazioni del rischio di sicurezza e del trattamento del rischio (clausola 8). Secondo il paragrafo A.8, le attività di informazione devono essere inventariate e classificate, i proprietari di attività devono essere assegnati e le procedure per l'utilizzo di dati accettabili devono essere definite.

La conformità a ISO 27001 garantisce la conformità alla GDPR?

Come si può notare, la certificazione ISO 27001 può semplificare il processo di conformità con GDPR. Tuttavia, ci sono molte differenze tra questi standard. GDPR è uno standard globale che fornisce una visione strategica di come le organizzazioni devono garantire la riservatezza dei dati. ISO 27001 è un insieme di best practice con un'attenzione particolare alla sicurezza delle informazioni; fornisce consigli pratici su come proteggere le informazioni e ridurre le minacce informatiche. A differenza del GDPR, non copre direttamente i seguenti problemi associati alla privacy dei dati, che sono delineati nel Capitolo 3 del GDPR (Data Subject Rights):

  • Consenso— I responsabili del trattamento dei dati devono dimostrare che le persone interessate hanno acconsentito al trattamento dei loro dati personali (articoli 7 e 8). La richiesta di consenso deve essere fornita in un modulo facilmente accessibile, con lo scopo del trattamento dei dati allegato. Gli interessati hanno anche il diritto di revocare il loro consenso in qualsiasi momento.
  • Portabilità dei dati— Le persone hanno il diritto di ottenere e riutilizzare i propri dati personali per i propri scopi tra diversi servizi, nonché di trasmettere tali dati a un altro controllore senza ostacoli all'usabilità (articolo 20).
  • Diritto all'oblio— Le persone hanno il diritto di cancellare i loro dati personali o di interromperne ulteriormente la divulgazione (articolo 17).
  • Diritto di limitazione del trattamento— Gli individui hanno il diritto di limitare il modo in cui un'organizzazione utilizza i propri dati personali se i dati sono stati trattati in modo illecito o se l'individuo ne contesta l'accuratezza (articolo 18).
  • Diritto di opporsi— Le persone interessate hanno il diritto di opporsi al trattamento dei dati per il marketing diretto, l'esecuzione di compiti legali, o scopi di ricerca e statistiche (articolo 21).
  • Trasferimento soggetto a garanzie adeguate— Le organizzazioni devono garantire che i trasferimenti internazionali di dati siano effettuati in conformità con le regole approvate dalla Commissione europea (articolo 46).

In sintesi

Come possiamo vedere, la GDPR si concentra sulla privacy dei dati e sulla protezione delle informazioni personali; richiede alle organizzazioni maggiori sforzi per ottenere il consenso esplicito per la raccolta dei dati e garantire che tutti i dati siano trattati in modo lecito. Tuttavia, manca di dettagli tecnici su come mantenere un livello appropriato di sicurezza dei dati o attenuare le minacce interne ed esterne. A questo proposito, ISO 27001 è utile: fornisce informazioni pratiche su come sviluppare politiche chiare e complete per ridurre al minimo i rischi per la sicurezza che potrebbero portare a incidenti di sicurezza.

Sebbene conforme alla ISO 27001 non garantisca la conformità GDPR, è un passo prezioso. Le organizzazioni dovrebbero prendere in considerazione la possibilità di perseguire la certificazione ISO 27001 per garantire che le loro misure di sicurezza siano sufficientemente efficaci per proteggere i dati sensibili.

ULTIMI AGGIORNAMENTI