Basta un retrofitting per adeguare le soluzioni esistenti ?

di | 28 February 2016

Spesso siamo tentati di riutilizzare le soluzioni e i processi esistenti per adeguare i nostri sistemi informativi ai nuovi adempimenti normativi. Non che questo non possa essere fatto e anzi che sia auspicabile in molti casi; pur tuttavia nel caso dell’applicazione del nuovo Regolamento sulla Protezione dei Dati Personali le soluzioni più sbrigative non sembrano opportune e anzi fuorvianti. A maggior ragione perché il Regolamento reca con sé una preciso adempimento che aiuta ad indirizzare le valutazioni di adeguatezza e di opportunità delle soluzioni. Questo e’ il caso del PIA (Privacy Impact Assessment) che, in pratica, guida la valutazione preliminare degli impatti a cui andrebbe incontro un processo, e dunque un’azienda, qualora dovessero essere violate le misure di protezione dei dati. E’ solo attraverso questa fase e alle relative risultanze che si può dimostrare l’adeguatezza delle soluzioni, sia di quelle esistenti come di quelle pianificate, e calcolare l’esposizione al rischio effettivo o residuo. Ma dunque, in base alle nuove prescrizioni, per chi non lo avesse mai affrontato, il PIA va compiuto subito e su tutto, compresi i processi e le soluzioni esistenti, e mantenuto per sempre ?

Va detto che il processo PIA prevede una fase di pre-valutazione che permette di valutarne la necessità e gestire la discrezionalità di una maggiore o minore estensione delle successive fasi di valutazione. Pur tuttavia alcune considerazioni si rendono necessarie a livello generale:

alcune delle attività alla base del processo PIA devono già essere state svolte e mantenute benché il requisito del DPS sia decaduto dal febbraio 2012 (tra queste: la mappatura dei dati e dei trattamenti, la pianificazione degli interventi tecnologici e organizzativi di protezione dei dati con una valutazione complessiva di riduzione dello stato di rischio). Poiché non sarebbe possibile riesaminare completamente tutti i processi interni che trattano Dati Personali e svolgere PIA contemporaneamente su tutti questi processi, sembra opportuno raccomandare di:

– avviare valutazioni PIA fin dalle fasi iniziali dei nuovi progetti

– tenere conto dei progetti o dei piani di aggiornamento di prodotti / servizi esistenti per associare a questi l’applicazione delle analisi d’impatto

– tenere sotto osservazione i processi o le fasi che si sa essere più a rischio

– estendere la PIA anche a soluzioni esistenti al variare delle soluzioni tecnologiche, all’emergere di vulnerabilità o di segnalazioni su carenze di settore

– mantenere costantemente nel tempo una verifica di pertinenza e di adeguatezza delle valutazioni eseguite.

Categoria: Impatti Rischi e Misure Tag: , , ,

Informazioni su Enrico Toso

IT Regulatory, Risk and Control Specialist As Information security and risk expert I have been heading analysis and management projects aiming to achieve compliance to recent Data Protection Authority Provision (also called “Provvedimento Garante II”) and to Bank of Italy Provision “Disposizioni di Vigilianza” (upd.15 - enforced under Circular 263/06) mainly to assure an appropriate Data Governance level and an integration between the ICT and the Operational Risk approach.. Also active member in analysis and research interbank groups on data protection, data leakage, risk prevention, information frauds countermeasures and ICT regulatory compliance for the financial industry.

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.