This site uses cookies for its functionality, if you want to learn more or opt out of all or some cookies href="/ita/pag/informativa_cookies_privacy/70/">click here.
By closing this banner or clicking any of its elements, you consent to the use of cookies.

GDPR UE 679/2016

IL PROGETTO DI CONSULENZA

L’attività consiste nell’analisi del sistema privacy implementato in azienda (ex D. Lgs. 196/03) e nell’indicazione delle misure da adottare alla luce del nuovo Regolamento Europeo (UE) 2016/679. Il Regolamento Europeo Privacy UE/2016/679 (GDPR) è entrato in vigore il 25 Maggio 2016 e il termine ultimo per adeguarsi ai nuovi obblighi privacy è fissato al 25 Maggio 2018.

Risk Assessment As Is (d. Lgs. 196/03)

Lo svolgimento di tale servizio consiste nella conoscenza del contesto aziendale attraverso le seguenti attività:

  1. Censimento dei trattamenti
    • Individuazione delle banche di dati personali (anagrafiche) e delle finalità ad esse associate. 
  2. Analisi e definizione dei ruoli soggettivi
    • Verifica delle effettive responsabilità attraverso l’analisi delle procure e delle deleghe.

La realizzazione delle precedenti attività, effettuate attraverso interviste e analisi documentale, permette di effettuare una verifica:

  • sulle informative in uso per gli interessati (dipendenti, fornitori, clienti, curricula, ecc.);
  • sui consensi richiesti;
  • sulle lettere di nomina esistenti;
  • sui documenti utilizzati per la comunicazione dei dati per i servizi in outsourcing, compreso il trasferimento dei dati all’estero;
  • sulle misure di sicurezza implementare;
  • sugli adempimenti richiesti dai Provvedimenti generali dell’Autorità Garante per la protezione dei dati personali (Amministratore di Sistema, Videosorveglianza, Linee Guida, internet e posta elettronica, ecc.).

Al termine della verifica, verrà predisposta una valutazione che identifichi gli eventuali aspetti che debbano essere implementati o che possano essere migliorati per garantire che il trattamento dei dati personali sia conforme a quanto previsto dal D. Lgs. 196/03. Modificare con il nuovo

Risk analysis Regolamento Europeo (UE) 2016/679

Il Regolamento punta a rispondere alle sfide poste dagli sviluppi tecnologici e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali sempre più avvertite dai cittadini dei Paesi dell’Unione Europea.

Il Regolamento promuove la responsabilizzazione (accountability) dei titolari del trattamento e l’adozione di approcci e politiche che tengano conto costantemente del rischio che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati: approccio basato sulla valutazione del rischio che premia i soggetti più responsabili.

Il principio-chiave è «privacy by design», ossia garantire la protezione dei dati fin dalla fase di ideazione e progettazione di un trattamento o di un sistema, e adottare comportamenti che consentano di prevenire possibili problematiche.

La realizzazione della presente fase prevede l’identificazione degli adempimenti normativi previsti dal Regolamento e applicabili alla realtà aziendale.

Gap analysis tra Risk assessment As Is e Regolamento Europeo (UE) 2016/679

Sulla base delle informazioni raccolte nei precedenti punti (“Risk Assessment As Is” e “Risk analysis Regolamento (UE) 2016/679”), viene redatta una relazione che permetta di individuare gli elementi mancanti per garantire che il trattamento dei dati personali sia conforme a quanto previsto dal Nuovo Regolamento (UE) 2016/679 e pertanto gli ambiti su cui l’azienda deve intervenire per garantire tale conformità.

Elenco delle azioni da implementare per l’adeguamento al Regolamento Europeo (UE) 2016/679

Al temine viene fornito l’elenco delle azioni da implementare per garantire l’adeguamento al Regolamento Europeo (UE) 2016/679, per esempio:

  • identificazione della necessità di modificare la documentazione utilizzata;
  • identificazione della necessità di redigere il Registro dei trattamenti privacy ai sensi dell’art. 30.
  • identificazione della necessità di adeguare le procedure aziendali (per es., “Procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento” ai sensi dell’art. 32, “Data Breach Notification” ai sensi dell’art. 33);
  • identificazione della necessità di effettuare la valutazione d’impatto ai sensi dell’art. 35;
  • identificazione della necessità di effettuare valutazione di conformità per nuovi prodotti o servizi, (“data protection by design” e “data protection by default);”
  • identificazione della necessità di identificare la figura del responsabile della protezione dei dati – DPO ai sensi dell’art. 37.

Redazione della documentazione e presentazione finale

Condivisione con i responsabili della documentazione prodotta, approvazione da parte degli stessi e presentazione finale delle risultanze dell’impianto privacy.

Sicurezza Informazioni - ISO 27001

IL PROGETTO DI CONSULENZA

I progetti di consulenza vengono effettuati attraverso l'utilizzo del modulo Sicureza Informazioni ISo 27001 della piattaforma KRC.

Il flusso 27001 di KRC® adotta un modello che prevede la definizione delle seguenti entità: Processi, asset, layout, miancce, controlli

Le dimensioni di valutazione del rischio di ciascun asset contemplate dall’algoritmo sono:

  • Riservatezza, definisce le conseguenze che subirebbe l’amministrazione nel caso in cui i dati trattati dal servizio siano divulgati a persone non autorizzate
  • Integrità, definisce le conseguenze che subirebbe l’amministrazione nel caso in cui il servizio fornisca dati errati o non coerenti
  • Disponibilità, definisce le conseguenze che subirebbe l’amministrazione nel caso in cui il servizio in esame subisca un’interruzione

Metrica

Le probabilità di accadimento delle Minacce sono espresse in termini di tempo medio tra due accadimenti consecutivi (MTBO, Mean Time Between Occurrences), mediante una scala numerica da 0 a 5. 

L’impatto, ossia l’entità delle conseguenze a seguito di un evento dannoso, Con la stessa scala sono anche quantificati i livelli di efficacia dei Controlli. I valori di implementazione e di pianificazione delle contromisure sono rappresentati dalla scala espressa in %.


Entità 

I Layout sono organizzati secondo una struttura gerarchica ad albero.  La logica di gerarchizzazione non è necessariamente quella della struttura fisica, ma nella maggior parte dei casi è quella più indicata da adottare. L’albero dei Layout è condiviso con altri flussi in KRC® e nel caso del flusso 27001 è impiegato per contestualizzare specifici Asset ad una determinata collocazione.

I Controlli sono classificati secondo un modello gerarchico a tre livelli, che distingue Clausole, contenenti Obiettivi di Controllo che ospitano infine i singoli ControlliLa ripartizione gerarchica ha solo scopo di classificazione e non influisce sul funzionamento dell’algoritmo.

La struttura di Controlli fornita con il flusso è intesa come una base di partenza e può essere estesa, modificata o completamente riscritta.

La lista di Minacce fornita con il flusso è intesa come una base di partenza e può essere estesa, modificata o completamente riscritta. Comprende i seguenti campi:

  • Titolo, nome della Minaccia
  • Descrizione, descrizione estesa
  • Impatto, declinato per Riservatezza, Integrità e Disponibilità ed espresso secondo la scala di quantificazione dell’impatto
  • Probabilità, espressa secondo la scala di quantificazione della probabilità
  • Controlli applicabili, lista dei Controlli che agiscono sulla Minaccia in oggetto, di cui vengono riportati per ciascuno i vettori di efficacia di riduzione dell’impatto e della probabilità.

Gli Asset sono organizzati secondo una struttura gerarchica ad albero. Tale organizzazione viene impiegata dall’algoritmo di valutazione allo scopo di semplificare la modellazione delle Minacce (e dei relativi Controlli) facendo sì che gli Asset gerarchicamente dipendenti ereditino le Minacce associate al padre (al padre del padre e da tutta la gerarchia a salire).

Nel caso un figlio necessitasse di descrivere Minacce specifiche o livelli di applicazione dei Controlli diversi da quelli ereditati è possibile specificarli espressamente e verranno utilizzati questi valori in sovrapposizione a quelli ereditati.

La struttura gerarchica degli Asset non va pertanto definita in funzione di criteri necessariamente “fisici” o di connessione ma anche in base a criteri di ottimizzazione nella definizione e manutenzione del modello di applicazione delle Minacce e relativi Controlli.

Gli Asset che necessitano di definizione di specifiche Minacce (e relativi Controlli) possono essere specificati attraverso una scheda identificativa composta dai campi:

  • Asset, scelto tra quelli definiti nella struttura gerarchica
  • Layout, opzionale, scelto tra quelli definiti nella struttura gerarchica dedicata; la specifica di un Layout permette di identificare l’Asset specificatamente per la sua collocazione fisica (la gerarchia di Minacce e Controlli ereditati viene acquisita, ma non vengono considerate le definizioni associate all’eventuale scheda riferita allo stesso Asset ma priva di Layout associato)
  • Minacce, lista delle Minacce associate e relativa probabilità per ciascuna di queste

La scheda contiene un tile che riporta l’insieme (unione) dei Controlli associati alle Minacce selezionate.  Per ciascun Controllo è possibile specificare il livello di implementazione e programmazione.

I Processi sono rappresentati attraverso una struttura gerarchica ad albero. Su ciascun nodo sono associati gli Asset che ne concorrono all’erogazione; anche in questo caso vige la regola di eredità gerarchica: gli Asset che sono associati ad un livello superiore sono considerati dall’algoritmo come ereditati durante la valutazione dei livelli inferiori.

I Processi possono essere associati a nodi della struttura dei Layout. In questo caso verranno valutati gli Asset specificatamente definiti per quel Layout, se presenti, se assenti verranno valutati gli Asset generici, ossia privi di Layout.

Fondamentale per l’analisi dei rischi è la Business Impact Analysis (BIA); questa attività ha lo scopo di determinare le conseguenze derivanti dal verificarsi di un evento critico per valutare l’impatto di tale evento sul Processo e, in ultima analisi, sull’operatività dell’amministrazione.

Per ciascuna delle attività di Processo da valutare (foglie) va definita la sensibilità (soglia del dolore) nei confronti delle tre dimensioni di impatto: Riservatezza, Integrità, Disponibilità.

 

Il rischio viene calcolato partendo dal Rischio Elementare, ossia il profilo del rischio di Processi ed Asset senza l’applicazione di alcuna contromisura.

Il Rischio Attuale è il profilo del rischio di Processi ed Asset con le contromisure applicate fino all’atto dell’analisi. Il Rischio Pianificato è il profilo del rischio di Processi ed Asset di al termine dell’applicazione dei piani di trattamento dei rischi. Quando i valori di impatto (I) e probabilità (P) sono rappresentati su matrici (HeatMap) i valori vengono discretizzati sulle rispettive scale secondo il criterio di arrotondamento matematico. Scala discreta del rischio R = P x I.