Un cambiamento culturale

di | 4 July 2016

Una delle future possibili conseguenze dell’entrata in vigore del GDPR sarà la probabile scomparsa delle mm, un elenco ben definito di misure di sicurezza che sicuramente ha avuto il merito di far conoscere ai più i rudimenti della sicurezza.

Il concetto di misure minime era stato correttamente introdotto per evitare che di fronte ad una semplice autovalutazione, prevista dall’articolo 31, i titolari non sufficientemente motivati non attivassero alcuna misura di sicurezza.

Di qui anche il presidio penale per la mancata applicazione di queste 29 regole, fra le quali il tanto discusso DPS (che ha avuto il grande merito di costringere in qualche modo i Titolari ad effettuare una mappatura dei propri trattamenti ed una analisi dei rischi), che successivamente e stato “depenalizzato” eliminandolo dall’elenco.

In questi anni sono molte le interpretazioni che sono state date agli adempimenti previsti, o la totale omissione di alcune di esse, quali ad esempio la mm 25:

 

Misure di tutela e garanzia

  1. Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall’installatore una descrizione scritta dell’intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico.

 

che in questi anni ho visto rispettata in un numero veramente molto limitato di casi.

Ancora qualche giorno fa mi hanno chiesto se un’applicazione che non prevede una password per l’accesso sia o meno conforme ai dettami normativi.

Ho risposto come sempre faccio in questi casi: il 95% delle applicazioni, in particolare quelle di produttività individuale, non hanno alcuna password di accesso, ma mai nessuno ha pensato di non utilizzare Word o Open Office per questo motivo e tantomeno considerarle non conformi.

La normativa attuale prevede che ad ogni incaricato siano assegnate una o più credenziali di autenticazione per accedere ad UNO O AD UN INSIEME DI TRATTAMENTI.

Ragionevolmente quindi le credenziali che permettano di accedere ad una specifica postazione sono sufficienti per consentire di utilizzare tutti i dati e le applicazioni presenti su quella postazione senza necessità di ulteriore autenticazione applicativa. Questo comunque la dice lunga sua quanta strada ci sia ancora da fare nel passare dalla teoria alla pratica e come troppo spesso ci si basi, nell’applicare le regole, non sul testo normativo, ma su quanto si è asetticamente appreso da qualche libro o in qualche convegno.

Adeguarsi al GDPR richiederà una maggior livello di responsabilizzazione da parte dei Titolari e Responsabili di trattamento, che dovranno rendicontare sulle misure intraprese.

Categoria: Legal framework

Informazioni su Giancarlo Butti

Deals with ICT, organization and legislation since the early 80s covering different roles: security manager, project manager, auditor at banking groups, consultant in security and privacy to companies of different sectors and sizes. Performs regular activity of dissemination through articles (over 700), books (21 between books and white papers also used as university texts, 11 collective works within the ABI LAB, Oracle Community for Security and CLUSIT), technical manuals, courses, seminars, conferences… participates in working groups to ABI LAB on Business Continuity, Risk and GDPR, ISACA-AIEA on GDPR and 263, Oracle Community for Security, UNINFO, ASSOGESTIONI and the Committee of experts for the innovation of OMAT360. He is a member of the faculty of ABI Training. He is a partner and proboviro of ISACA-AIEA Member of CLUSIT and BCI. He is certified (LA BS7799), (LA ISO IEC 27001:2013), CRISC, ISM, DPO, CBCI, AMBCI.

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.