DATA PROTECTION

La Governance della CyberSecurity

I principi stabiliti dal GDPR hanno una relazione diretta con il dato, oppure mediata quando sembrano riferirsi alle operazioni di trattamento. Questo è il motivo per cui il dato è centrale e richiede che sia costantemente curato rispetto a :

- liceità, cioè esistenza di una base giuridica per poterlo trattare; correttezza, cioè assenza di comportamenti potenzialmente lesivi nei confronti dell’interessato;

- trasparenza, cioè garanzia dell’esercizio del controllo (inteso come una via di mezzo dei verbi inglesi to check e to manage) da parte dell’interessato;

- minimizzazione, cioè utilizzo solo e soltanto se indispensabile per le finalità previste;

- limitazione della conservazione, cioè utilizzo solo per il tempo necessario al raggiungimento delle finalità previste;

- esattezza, cioè aderenza alla realtà del momento al quale si riferisce;

- sicurezza, cioè disponibilità, integrità e riservatezza.

Questi sono i principi, previsti dall’art. 5 del GDPR, che costituiscono la base sulla quale edificare il modello di ciclo di vita del dato all’interno di ogni organizzazione.

IL DATA MANAGER

Considerata la centralità del dato, un ruolo sempre più necessario all’interno di ogni organizzazione è quello del Data Manager, cioè il professionista attraverso il quale ogni organizzazione applica i principi di privacy by design e privacy by default, previsti dal GDPR.

È l’esperto al quale è affidata l’ordinaria amministrazione dell’elemento più importante: il dato e la sua sicurezza.

Gli obiettivi che sono affidati al data manager sono duplici:

1.garantire che il ciclo di vita del dato sia effettuato secondo criteri di qualità e, conseguentemente, conformi alle previsioni di normative e standard internazionali;

2.garantire che l’organizzazione sappia rispondere ai diritti degli stessi interessati e, di conseguenza, sappia tutelarli, evitando di incorrere nelle sanzioni previste dal GDPR.

Molte organizzazioni si sono, doverosamente, affrettate ad individuare il Data Protection Officer, il responsabile del trattamento ed a capire quali erano i nuovi adempimenti per essere conformi al GDPR.

Ma è sufficiente? No.

La sostenibilità nel tempo della compliance al GDPR passa, soprattutto, dalla presenza del Data Manager e dalla sua esatta collocazione all’interno dell’organizzazione e dal suo rapporto con le altre figure (siano esse obbligatorie o facoltative). Per questo è importante spiegare quali sono i tratti distintivi del Data Manager (detto anche CDO Chief Digital Officer) per delinearne le attività specifiche.

Il Chief Digital Officer (CDO) o il Chief Digital Information Officer (CDIO) o più semplicemente Data Manager, è un professionista con una dimostrata esperienza che aiuta un’azienda, un’organizzazione o un ente pubblico ad affrontare la trasformazione digitale, utilizzando le nuove tecnologie e i big data per raggiungere più rapidamente obiettivi di miglioramento e crescita aziendale. Non si tratta solo di un esperto digitale, ma piuttosto di un manager con pluriennale esperienza nel proprio settore, consapevolezza del business model, con forti capacità multidisciplinari, in grado di guidare l’azienda nella digital transformation, pianificandone obiettivi, strumenti e tempistiche. La trasformazione digitale non riguarda solo l’uso di determinate tecnologie, ma comporta prima di tutto un vero cambiamento culturale all’interno dell’azienda, a partire dalle persone che la compongono e che lavorano per essa. La più grande responsabilità per questo ruolo emergente rimane quella di guidare l’azienda nella trasformazione e accompagnarla nell’adozione degli strumenti giusti e dei processi migliori per incrementare l’efficienza e ottimizzare le strategie di business.

LE COMPETENZE

Trattandosi di una figura relativamente recente, non esiste una definizione precisa delle competenze per essere un Data-Manager, ma sicuramente quelle che seguono sono caratteristiche che non possono mancare:

- Esperienza nel settore ICT di riferimento

- Organizzazione

- Dimostrate capacità relazionali e competenze come relatore / formatore

- Conoscenza provata su sistemi operativi, gestione di server, networking, database e reti di dati

- Approccio multidisciplinare

- Autorevolezza e capacità di coinvolgimento

- Capacità di cogliere le sfide

- Attenzione al livello di soddisfazione dei propri clienti

IL MANAGER DEL CAMBIAMENTO

Si comincia da una roadmap: senza un piano operativo non si riesce ad individuare una corretta direzione dei lavori. L’attività specifica del data manager è quella di assicurare un ciclo di vita del dato rispettoso:

- dei diritti degli interessati;

- delle policy stabilite dall’organizzazione;

- degli standard di qualità richiesti.

Questi tre punti sono tra loro inscindibili e richiedono, come prerequisito trasversale, la perfetta conoscenza della mappa completa dei dati trattati dall’organizzazione. Sembra che l'attenzione sia solo sulla tecnologia e sull'accelerazione che questa imprime all'organizzazione. Ma il business e i servizi non sono 100% digitali e sono condotti da esseri umani che prendono decisioni e le rendono operative. Quindi non è un tema solo di tecnologia. La capacità di condurre con successo una trasformazione digitale del business è determinata in larga parte da una chiara strategia digitale ideata e implementata da manager che riescano a far nascere una cultura aziendale in grado di governare il cambiamento e di abilitare il "nuovo". Cioè l'adozione di tecnologie digitali, seppure con approcci non strategici, in società particolarmente ricettive, può accelerare la nascita di una cultura digitale che induca poi una strategia intorno ad essa. Il fattore umano è quindi fondamentale. E non basta il singolo manager: può essere certamente il catalizzatore, ma poi l'azienda deve fare la sua parte.

DATA MANAGER vs DPO

Il data manager è una figura diversa dal Data Protection Officer per le seguenti ragioni: - lavora nell’organizzazione e partecipa alle decisioni che riguardano le finalità e le modalità di trattamento; - non ha il compito di sorvegliare l’osservanza del GDPR ma si occupa di curare il ciclo di vita del dato; - non ha obbighi con l’autorità di controllo; - non ha, di norma, contatti diretti con gli interessati, gli aventi diritto La diversità dei ruoli non esclude che data manager e DPO, insieme alle altre figure aziendali, siano in frequente contatto per assicurare un approccio olistico alla protezione dei dati personali. Un punto di contatto di particolare rilevanza tra le due figure è, per esempio, l’attuazione delle procedure di prevenzione e di gestione dei data breach.

DATA MANAGER vs IT MANAGER

Il data manager è una figura diversa dall’IT Manager.Infatti, l’IT Manager si occupa di progettare e gestire l’infrastruttura tecnologica di supporto ai processi aziendali. Il focus del data manager è invece, sui dati e deve considerare le soluzioni tecnologiche adottate come un assioma del suo quadro di riferimento. Anche in questo caso, è auspicabile che data manager e IT Manager, operino in stretta sinergia per ottimizzare le soluzioni tecnologiche finalizzandole al massimo livello di protezione dei dati personali.

DATA MANAGER vs RESPONSABILI ESTERNI DEL TRATTAMENTO

Il responsabile del trattamento è, per uniforme interpretazione dottrinaria del GDPR, un soggetto esterno all’organizzazione che esegue su incarico il trattamento dei dati personali. In realtà, il data manager è cruciale anche nella scelta dei responsabili del trattamento. Non si parla di mappa fisica (che è una specifica conoscenza dell’IT manager) ma di mappa logica e di flussi innescati dai processi di trattamento. Dunque il Data Manager può essere considerato a tutti gli effetti un manager che si inserisce alla guida del cambiamento : in ogni caso il ruolo dovrà essere abbastanza molto vicino alla dirigenza in modo da ricevere piena fiducia dall'area dirigenziale e poter raggiungere e mantenere i risultati di conformità attesi, in autonomia e con il budget concordato.

Sempre più aziende stanno cercando un Chief Digital Officer/Data Manager per guidare la trasformazione digitale.

Dove gli altri vedono un grande ostacolo, l'ennesimo adempimento, un buon Data-Manager costituirà una grande opportunità per la vostra organizzazione!

Massimo Ritota Web & Cloud Security Agency In Media Lab / Web & Cloud Agency

Podcast

Le nostre trasmissioni: progetto e realizzazione a cura di Massimo Ritota

::: Vita Digitale - Intelligenza Artificiale e sicurezza informatica: cosa c'è da sapere - Trasmissione del 27 Marzo 2024

::: Vita Digitale - Phishing: difendi la tua organizzazione - Trasmissione del 7 Aprile 2024

::: Vita Digitale - Governance della Cybersecurity: Gestione delle vulnerabiità - Trasmissione del 21 Aprile 2024

Cloud privato per la compliance

Sette buoni motivi per utilizzare un sistema cloud privato

Se state considerando di spostare la vostra attività sul cloud, ci sono buone probabilità che abbiate trascorso ore a fare ricerche sui fornitori di servizi cloud. Avete mai pensato di gestire un vostro cloud personale? Oggi sono disponibili software per configurare ed ospitare soluzioni cloud anche sui propri server. Sareste tentati di pensare che questa sia una buona opzione, ma ci sono, in effetti, molte ottime ragioni per gestire in proprio sistemi ed aree cloud.

1.MINOR COSTO ::: Non si può negare che ci sono costi iniziali piuttosto alti per la creazione del proprio cloud, senza considerare la necessità di un fornitore esperto capace di guidarvi nella progettazione. Tuttavia, una volta allestita l'infrastruttura, il cloud avrà costi assolutamente ragionevoli rispetto al livello dei servizi garantito. Questa scelta è molto più economica rispetto all'abbonamento a un servizio cloud aziendale e può far risparmiare alla vostra azienda molto denaro nel corso degli anni.
2.MIGLIORE SICUREZZA ::: La sicurezza è vitale per qualsiasi azienda o anche un singolo cloud professionale. Ogni giorno sentiamo parlare di violazioni dei dati, Molti dei principali fornitori di cloud, come Dropbox, sono stati vittime di enormi attacchi che hanno esposto i dati di milioni di utenti in tutto il mondo. Queste aziende non sono sempre trasparenti nella gestione della sicurezza dati dei loro clienti. Spesso non ne veniamo a conoscenza perchè l'indice di affidabilità di queste aziende ne risentirebbe in modo determinante. Con un sistema cloud progettato in autonomia, è possibile gestire e implementare la sicurezza del sistema come meglio ritenete opportuno e potete reagire più rapidamente a qualsiasi attacco sul vostro sistema implementato.

3.CONTROLLI MIGLIORATI ::: Utilizzando un cloud di terze parti avete un controllo molto limitato sull'utilizzo dei dati, sulla gestione del servizio, come viene distribuito o quanto velocemente può essere aggiornato o espanso. Per un'azienda che ha bisogno di un'infrastruttura aggiornata ogni secondo di ogni giorno, questo può presentare un grosso problema. Tuttavia, gestendo un sistema cloud privato, potete decidere come implementarlo per l'azienda e quanto velocemente può essere aggiornato. L'unico limite qui siete voi e quanto velocemente potete reagire ai rapidi cambiamenti e ai nuovi adempimenti.

4.GRANDE FLESSIBILITA' ::: Il cloud è abbastanza flessibile ed è probabilmente il modello tecnologico di gestione dati più flessibile oggi disponibile. Ma anche sul sistema di terze parti più flessibile, la vostra azienda potrebbe incorrere in problemi. I servizi cloud sono progettati per un unico tipo di operatività adatta a tutti e non sono progettati per ogni singola azienda. Adattare alle proprie necessità un sistema standardizzato non è possibile; questo può seriamente limitare la vostra operatività. Se scegliete di operare da soli, potete personalizzare un cloud privato in modo specifico per le vostre necessità operative ed organizzative. Un cloud privato può essere progettato per funzionare esattamente come desiderate in ogni occasione.

5.INTEGRAZIONE AZIENDALE ::: Se c'è un settore che ogni azienda desidera in un cloud, è l'integrazione. Desiderate un cloud che non solo assomigli alla sua attività, ma che si integri facilmente anche con tutti i sistemi esistenti. C'è una buona probabilità che tu abbia già un elenco di utenti e un insieme di condivisioni di file server a cui tutti possano accedere. Integrare questo nel cloud in modo che gli utenti possano accedere al tuo file server da qualsiasi luogo può essere difficile e alquanto limitante con molti servizi cloud di terze parti. Tuttavia, se stai creando un cloud per la tua azienda, puoi facilmente integrare tutti i tuoi utenti e i tuoi dati in un unico grande sistema sia interno che nel cloud..
6.ARCHIVIAZIONE ILLIMITATA ::: Anche sul più grande dei sistemi cloud, esiste un limite massimo per la quantità di spazio di archiviazione che è possibile acquistare. Ma, ancor prima che tu raggiunga quel limite, molto probabilmente la memoria diventerà troppo costosa per la tua azienda. Questo non è il caso dei tuoi servizi cloud. Se si sta esaurendo lo spazio, basta lanciare un nuovo disco rigido. Questo farà il trucco. Nei casi più estremi, potrebbe essere necessario investire in server aggiuntivi e questo aumenterà il costo del cloud, ma il punto è che puoi farlo se necessario. Non devi mai preoccuparti di esaurire lo spazio o utilizzare tutti i tuoi soldi in magazzino man mano che la tua azienda cresce.

7.GESTIONE DEGLI UTENTI ::: I servizi cloud di terze parti di solito offrono una serie di strumenti di gestione degli utenti che consentono di creare, aggiungere e persino concedere / negare l'accesso a determinate parti del cloud. Tuttavia, questi strumenti sono generalmente molto limitanti e spesso devi creare un account cloud separato per ogni utente della tua azienda. Se la tua azienda è di grandi dimensioni, questo potrebbe essere abbastanza noioso. Tuttavia, se si crea il proprio cloud, è possibile integrarlo con i sistemi esistenti e utilizzare i livelli di accesso per determinare ciò che i dipendenti possono e non possono accedere al cloud.


CONSIDERAZIONI FINALI ::: Il cloud computing è qui per rimanere, e quello che una volta era l'onda del futuro è ora essenziale per quasi tutte le attività commerciali per competere nel mercato odierno. Sempre più impiegati lavorano su strada utilizzando i loro smartphone, laptop o anche i Chromebook basati interamente sul cloud , invece di stare seduti per ore in un cubicolo. Certamente i servizi cloud di terze parti possono rappresentare un'ottima e costosa soluzione: scoprirete comunque che ci sono molti più vantaggi nel gestire un proprio sistema cloud. Questi benefici potrebbero rappresentare la differenza tra i vostri sforzi per raggiungere la conformità G.D.P.R. o un fallimento nel delegare terzi soggetti nella conservazione e sicurezza dei dati che trattate quotidianamente.

Massimo Ritota ::: InMedia Lab

Table of Contents