Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

standard e norme

ISO 27001 e GDPR, linee guida per mettere al sicuro i dati aziendali

Applicando gli obblighi previsti dal GDPR e seguendo le best practice indicate dalla norma ISO 27001 è possibile costruire un sistema integrato di gestione sicura dei dati aziendali. Scopriamo in che modo

06 Feb 2019
M

Giuliano Mandotti

GDPR Specialist & Software Engineer


GDPR e ISO 27001 sono due standard di conformità importanti che hanno molti elementi in comune. Entrambi mirano ad irrobustire la sicurezza dei dati ed a diminuire il rischio di violazione dei dati, ed entrambi necessitano e spingono fortemente verso la creazione di un sistema organizzato per assicurare la riservatezza, l’integrità e la disponibilità dei dati sensibili.

Sgombriamo subito la mente dall’idea che circola secondo la quale se si rispetta la ISO 27001 si può tranquillamente ritenere di soddisfare automaticamente i requisiti del GDPR. Non è assolutamente vero.

Quello che possiamo dire con certezza è che se si soddisfa la ISO 27001 vengono sicuramente rispettati molti requisiti e principi cardine previsti dal GDPR.

Partiamo dal primo elemento di integrazione tra i 2 standard: la ISO 27001 è uno dei più dettagliati standard di best-practice e può essere utilizzata come un elemento dimostrativo della conformità al GDPR, quindi, seppur non unico, è ritenuto molto importante, come suggerisce lo stesso GDPR all’articolo 24, in merito all’adesione ai codici di condotta e alle certificazioni approvate, quale la ISO 27001.

L’incompletezza della ISO 27001 alla conformità al GDPR

Da cosa dipende questa incompletezza della ISO 27001 alla conformità completa al GDPR? Principalmente dal fatto che il GDPR ha uno scopo molto più ampio e una comprensione più fondamentale riguardo alla sicurezza ed alla privacy dei dati personali rispetto alla ISO 27001.

La ISO 27001 è uno standard internazionale di sicurezza delle informazioni che fornisce i requisiti per l’implementazione, il mantenimento e il miglioramento di un sistema di gestione della sicurezza delle informazioni (ISMS). Un ISMS è una struttura di politiche e procedure che include i controlli legali, tecnici e fisici coinvolti nei processi di gestione dei rischi IT di un’azienda. I fattori che influenzano l’implementazione dell’ISMS includono gli obiettivi dell’organizzazione, i requisiti di sicurezza, le dimensioni e la struttura.

Seguire le migliori prassi di ISO 27001 aiuta le aziende a contrastare i rischi per la sicurezza, a proteggere i dati sensibili ed a identificare l’ambito e i limiti dei propri programmi sulla sicurezza.

Come si integrano GDPR e ISO 27001

Ci sono molte aree in cui ISO 27001 e il GDPR parlano la stessa lingua. La maggior parte di esse sono correlate alla sicurezza delle informazioni: la ISO 27001, ad esempio, specifica regole per la protezione dei dati simili a quelle delineate dalla GDPR negli articoli 5, 24, 25, 28, 30 e 32.

I principali punti cardine in comune ad entrambi gli standard sono i seguenti:

  • Riservatezza, confidenzialità e integrità dei dati. Nel GDPR l’articolo 5 specifica i principi generali per l’elaborazione dei dati, come la protezione contro l’elaborazione non autorizzata o non conforme alla legge, la perdita, la distruzione o danni accidentali. Nell’articolo 32 vengono date linee guida più dettagliate, che specificano che le organizzazioni sono tenute ad attuare, operare e mantenere misure tecniche e organizzative per assicurare la sicurezza dei dati, come la crittografia, la resilienza dei sistemi e dei servizi di elaborazione, la capacità di ripristinare la disponibilità dei dati personali tempestivamente e molto altro. Allo stesso modo, molti controlli nella ISO 27001 mirano ad aiutare le organizzazioni a garantire la riservatezza, la disponibilità e l’integrità dei dati. Partendo dalla clausola 4, la ISO 27001 richiede alle organizzazioni di identificare i problemi interni ed esterni che potrebbero avere impatto sui programmi di sicurezza. La clausola 6 richiede loro di determinare i propri obiettivi di sicurezza IT e di creare un programma di sicurezza che li aiuti a raggiungere tali obiettivi. La clausola 8 stabilisce gli standard per la manutenzione continua del programma di sicurezza e richiede all’organizzazioni di documentare lo stesso programma per dimostrarne la conformità normativa.
  • Valutazione del rischio. Sia la ISO 27001 sia il GDPR richiedono un approccio alla sicurezza dei dati basato sul rischio. L’articolo 35 del GDPR richiede alle aziende di eseguire delle valutazioni dell’impatto sulla protezione dei dati per valutare ed identificare i rischi per i dati delle persone. Queste valutazioni sono obbligatorie prima di intraprendere dei processi ad alto rischio, come il monitoraggio sistematico dei dati estremamente sensibili. La ISO 27001 consiglia, al paragrafo 6.1.2, a tutte le organizzazioni di condurre delle valutazioni accurate del rischio per identificare minacce e vulnerabilità che potrebbero influire sulle attività, e per selezionare delle appropriate misure di sicurezza delle informazioni basate sui risultati della valutazione del rischio (al paragrafo 6.1.3).
  • Gestione dei fornitori. La clausola 8 della ISO 27001 obbliga le organizzazioni a identificare quali azioni sono esternalizzate ed a garantire di poterle tenere sotto controllo. La clausola A.15 fornisce una guida specifica sulle relazioni con i fornitori e richiede alle organizzazioni di monitorare e rivedere l’erogazione dei servizi da parte dei fornitori stessi. Nell’articolo 28 del GDPR, si richiede ai supervisori dei dati di garantire le condizioni contrattuali e le garanzie da parte dei responsabili del trattamento, creando un accordo per l’elaborazione dei dati. Inoltre, l’elaborazione e la conservazione dei dati personali dei fornitori dell’organizzazione esigono il rispetto dei requisiti del regolamento stesso attraverso accordi formali.
  • Notifica di violazione. Secondo gli articoli 33-34 del GDPR, le aziende devono notificare le autorità entro 72 ore dalla scoperta di una violazione dei dati personali (il cosiddetto data breach). Anche gli interessati devono essere informati senza indebito ritardo, ma solo se i dati rappresentano un “alto rischio per i diritti e la libertà delle persone interessate”. Il paragrafo A.16 della ISO 27001, che affronta i controlli di gestione delle informazioni sulla sicurezza degli incidenti, non specifica un lasso di tempo esatto per la notifica di violazione dei dati, ma afferma che le organizzazioni devono segnalare tempestivamente gli incidenti sulla sicurezza e comunicare questi eventi in modo da consentire che “tempestivamente si avviino azioni correttive”.
  • Privacy by design e by default. L’articolo 25 del GDPR afferma che le aziende devono attuare misure tecniche e organizzative durante la fase di progettazione di tutti i progetti in modo che possano garantire la privacy dei dati fin dall’inizio (privacy by design). Inoltre, le organizzazioni dovrebbero proteggere la privacy dei dati per impostazione predefinita e garantire che vengano utilizzate solo le informazioni necessarie per ogni specifico scopo dell’elaborazione (privacy by default). Nella norma ISO 27001, requisiti simili sono descritti nelle clausole 4 e 6. La clausola 4 richiede alle organizzazioni di comprendere l’ambito e il contesto dei dati raccolti e elaborati, mentre la clausola 6 raccomanda di eseguire periodicamente valutazioni dei rischi per garantire l’efficacia della loro gestione della sicurezza programma.
  • Conservazione dei registri. L’articolo 30 del GDPR richiede alle organizzazioni di conservare dei registri delle loro attività di trattamento, comprese le categorie di dati, le finalità del trattamento e una descrizione generale delle misure tecniche e organizzative rilevanti per la sicurezza. La ISO 27001 afferma che le organizzazioni devono documentare i loro processi di sicurezza, nonché i risultati delle loro valutazioni del rischio di sicurezza e del trattamento del rischio (clausola 8). Secondo il paragrafo A.8, le attività di informazione devono essere inventariate e classificate, i proprietari di attività devono essere assegnati e le procedure per l’utilizzo di dati accettabili devono essere definite.

Possiamo pertanto notare che la certificazione ISO 27001 può semplificare il processo di conformità al GDPR. Tuttavia, ci sono molte differenze tra questi due standard: il GDPR è uno standard completo che fornisce una visione strategica di come le organizzazioni devono garantire la riservatezza dei dati mentre la ISO 27001 è un insieme di best practice con un’attenzione particolare alla sicurezza delle informazioni e fornisce consigli pratici su come proteggere le informazioni stesse e ridurre le minacce informatiche.

In particolare, la ISO 27001 non copre direttamente i seguenti aspetti associati alla privacy dei dati, che sono delineati nel Capitolo 3 del GDPR (Diritti dell’Interessato):

  • consenso: i responsabili del trattamento dei dati devono dimostrare che le persone interessate hanno acconsentito al trattamento dei loro dati personali (articoli 7 e 8). La richiesta di consenso deve essere fornita in un modulo facilmente accessibile, con lo scopo del trattamento dei dati allegato. Gli interessati hanno anche il diritto di revocare il loro consenso in qualsiasi momento;
  • portabilità dei dati: le persone hanno il diritto di ottenere e riutilizzare i propri dati personali per i propri scopi tra diversi servizi, nonché di trasmettere tali dati ad un altro titolare senza ostacoli all’usabilità (articolo 20);
  • diritto all’oblio: le persone hanno il diritto di cancellare i loro dati personali o di interromperne ulteriormente la divulgazione (articolo 17);
  • diritto di limitazione del trattamento: gli individui hanno il diritto di limitare il modo in cui un’organizzazione utilizza i propri dati personali se i dati sono stati trattati in modo illecito o se l’individuo ne contesta l’accuratezza (articolo 18);
  • diritto di opporsi: le persone interessate hanno il diritto di opporsi al trattamento dei dati per il marketing diretto, l’esecuzione di compiti legali, o scopi di ricerca e statistiche (articolo 21);
  • trasferimento soggetto a garanzie adeguate: le organizzazioni devono garantire che i trasferimenti internazionali di dati siano effettuati in conformità con le regole approvate dalla Commissione europea (articolo 46).

Quindi ci sono aree coperte da entrambi gli standard ed aree non coperte per motivi diversi: di principio, di contesto e di obiettivi.

Un altro modo di considerare l’importanza dell’integrazione dei due standard ed in particolare dell’utilizzo di un ISMS è legato all’errore che molte aziende commettono pensando che introducendo soluzioni tecnologiche, oppure adottando sistemi informatici nuovi o che singolarmente rispettano un punto di uno standard esse si possano ritenere al sicuro e protette.

La realtà è ben diversa e solo usando la combinazione integrata dei due standard si riesce a gestire nel miglior modo possibile il proprio patrimonio di dati, riducendo i potenziali rischi, mai realmente eliminabili.

Basta pensare al fatto che se un’azienda, nel valutare il proprio sistema di sicurezza informatica, non considera anche le persone ed i processi come elementi di criticità per la protezione dei dati, in aggiunta all’aspetto puramente tecnologico, non può dirsi realmente più sicura. Gli studi di settore dimostrano da sempre come la debolezza dei processi aziendali e la scarsa consapevolezza dell’importanza dei dati continuano a provocare seri danni in termini di sicurezza dei dati.

GDPR e ISO 27001, insieme per mettere al sicuro i dati aziendali

Il GDPR si concentra sulla privacy dei dati e sulla protezione delle informazioni personali in maniera organica e completa, richiede alle organizzazioni maggiori sforzi per ottenere il consenso esplicito per la raccolta dei dati e garantire che tutti i dati siano trattati in modo lecito. Tuttavia, manca di dettagli tecnici organizzati a sistema su come mantenere un livello appropriato di sicurezza dei dati o attenuare le minacce interne ed esterne. A questo proposito si integra molto bene con la ISO 27001 che traduce in pratica alcuni principi fondamentali del GDPR. Fornisce, infatti, informazioni pratiche su come sviluppare politiche chiare e complete per ridurre al minimo i rischi per la sicurezza che potrebbero portare a incidenti di sicurezza.

La conformità alla ISO 27001 non garantisce la conformità al GDPR, ma ne costituisce una parte importante. Le organizzazioni dovrebbero prendere in considerazione la possibilità di perseguire la certificazione ISO 27001 per garantire che le loro misure di sicurezza siano sufficientemente efficaci per proteggere i dati sensibili.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5