Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

La guida

PMI e GDPR, ecco come prepararsi agli audit esterni

Vademecum per le PMI con le regole per affrontare al meglio gli audit esterni da parte delle grandi aziende di cui si è fornitori

08 Gen 2020
F
Francesco Falcone

Senior Management Consultant IT, Cybersecurity, GDPR Compliance & Data Protection


In seguito all’introduzione del GDPR, per le PMI può presentarsi la necessità di essere sottoposte ad audit da parte di grandi aziende clienti per valutarne la compliance. Vediamo quali sono le principali tipologie di verifiche che una PMI può aspettarsi e qual è il modo migliore di affrontarle .

Il contesto

L’introduzione del GDPR ha causato una profonda modifica delle responsabilità nella protezione dei dati personali. Se prima le aziende potevano delegare contrattualmente le responsabilità ai propri fornitori, oggi sono corresponsabili della privacy per tutta la catena di fornitura, ivi inclusi i sub fornitori dei propri fornitori esterni.

Per minimizzare i rischi, c’è stata una vera  e propria corsa da parte delle grandi aziende all’adeguamento dei contratti con i propri fornitori per inserire numerose clausole cautelative atte a imporre la conformità al GDPR e ulteriori normative sulla privacy.

Tra queste clausole, per esempio, l’adozione di misure di sicurezza adeguate e il divieto di subfornitura non autorizzata, oltre che alla possibilità di effettuare verifiche puntuali (audit) sul loro operato anche presso la propria sede.

Sono moltissime le PMI che operano sui vari mercati, in particolare quello dei servizi, e che hanno come clienti aziende “corporate”, a volte come fornitore primario, altre come subfornitore di una società più grande, e che, essendo in posizione “debole” nei confronti dei propri clienti, hanno sottoscritto contratti che prevedevano tutte le clausole aggiuntive sopracitate.

Uno degli errori tipici dell’azienda sotto audit è di pensare di essere in grado di improvvisare le risposte al cliente mettendo personale senza skills e competenze adeguate a seguire l’auditor. Disporre durante l’audit di una persona che costituisca un valido punto di riferimento interno, conoscendo non solo i requisiti del cliente e le misure adottate, ma anche le normative GDPR e le best practice di sicurezza informatica, infatti è il modo migliore per prevenire , o quanto meno limitare , i rilievi dell’audit, potendo eventualmente spiegare o giustificare comportamenti o misure adottate, e di conseguenza ridurre il numero e/o la portata di eventuali giudizi negativi, che possono mettere a rischio il contratto ed il rapporto con il cliente.

Le tipologie di verifiche sono raggruppate nelle seguenti categorie :

  • Obblighi contrattuali
  • Obblighi di conformità a GDPR
  • Obblighi di mantenimento delle best practice di sicurezza

Obblighi contrattuali

Normalmente le grandi aziende inseriscono nei contratti:

  • indicazioni molto dettagliate con requisiti stringenti sulle attività e modalità operative che sono oggetto del contratto
  • misure di sicurezza specifiche da rispettare
  • Indicazioni su normative generali o riferimenti precisi ad normative specifiche ( ad esempio altre norme sulla Privacy o normative specifiche di settore ).
  • Allegati tecnici sulle modalità operative e sulle misure di sicurezza da rispettare.

Spesso e volentieri, soprattutto se si tratta di contratti di servizio fatti molti anni prima, e semplicemente rinnovati nel tempo, aziende che operano da molti anni con uno stesso cliente, non si preoccupano o non riescono più a verificare puntualmente se i propri comportamenti siano rimasti nel tempo ancora conformi agli aspetti contrattuali ed agli obblighi legali assunti.

Come conseguenza di audit GDPR possiamo aspettarci che tali mancanze vengano messe in luce . Un esempio tipico, è la nomina dell’Amministratore di sistema, requisito che non è specifico di GDPR, ma è legato ad un Provvedimento del Garante Privacy del 2008, ma è uno dei requisiti di legge che per essere in regola con le leggi vigenti, come previsto generalmente dai contratti, sarebbe necessario rispettare, ma che nella maggioranza dei casi, di fatto non lo è.

Questo adempimento, ritorna oggi in auge dato che le aziende clienti ne verificano la applicazione (nomina e corrispondenza ai requisiti di legge). Vale la pena di ricordare, che secondo GDPR, il Responsabile del Trattamento ha l’obbligo di eseguire le istruzioni del titolare, pertanto il mancato rispetto delle indicazioni contrattuali fornite dal proprio cliente, è una omissione negli adempimenti, che può essere fatta valere per aumentare la responsabilità dell’Azienda in caso di Data Breach o nel caso che venissero generati danni agli utenti del servizio.

I consigli

Purtroppo, quando ci si trova sotto audit, quando vengono controllati adempimenti che richiedono atti formali, come la nomina degli Amministratori di sistema, o report di verifica su attività che non sono state fatte, è impossibile essere in grado di improvvisare le risposte. Per l’azienda, vale quindi la pena, farsi trovare pronti riprendendo i contratti con i clienti, e almeno per quelli più importanti, e verificare e risolvere in via preventiva eventuali inadempienze contrattuali.

Inoltre si consiglia pertanto alle aziende di verificare che esista e siano ben documentati non solo tutti i sistemi che sono gestiti, ma anche le persone che li gestiscono e le modalità operative con cui sono gestiti, attraverso tutti gli attori coinvolti, per non rischiare di omettere il controllo periodico di parti importanti del servizio offerto.

Solo un buon lavoro di preparazione preventiva aiuta in fase di audit a rispondere velocemente e correttamente, dando prova ai clienti che gli obblighi che si sono assunti vengono di fatto rispettati.

Obblighi di conformità al GDPR

Indiscutibile che un audit generalmente si svolge in un numero limitato di giorni, quindi non permette di controllare a tappeto tutti i numerosi requisiti posti dal GDPR. Pertanto, quando un’azienda verifica la conformità di infrastrutture / servizi e applicazioni presso un proprio fornitore, lo considera spesso come un semplice controllo a campione. In questo caso, nonostante si possano identificare un numero limitato di problemi, si può assumere che ve ne siano almeno altrettanti, o anche di più, che non sono stati identificati.

Ad ogni modo inutile farsi illusioni, un auditor esperto, non ci mette molto tempo a capire il livello di qualità generale di implementazione GDPR e l’adeguatezza dei meccanismi adottati. Ciò detto, il fatto che l’audit sia generalmente limitata sia come tempi che nell’esame di poche infrastrutture, viene spesso interpretato in maniera errata da aziende che operano con molti clienti. In effetti, l’azienda fornitrice parte dal presupposto che i requisiti di conformità GDPR si applichino alla sola attività, al solo personale, ed alle sole applicazioni / infrastrutture e servizi forniti a quello specifico cliente che effettua l’Audit, e non al generale comportamento dell’Azienda .

Tale convinzione in genere nasce spesso in aziende che non hanno processi interni, meccanismi operativi e ruoli ben definiti, e quindi operano non in base ad un modello organizzativo preciso ed a policy o normative interne, ma gestiscono di volta in volta le attività in maniera sostanzialmente improvvisata e con persone che coprono spesso diversi ruoli, ma senza avere skill specifiche.

In effetti queste aziende non tengono in considerazione che le proprie attività organizzative e tecniche interne, che fanno funzionare la propria azienda e forniscono l’insieme dei servizi a tutti i clienti  (solo per citarne qualcuno, Amministrazione ed email, o gestione delle procedure di Data Breach), e che hanno comunque interazioni con i dati personali dei propri clienti, vengono valutate allo stesso modo che quelle specifiche per il singolo cliente.

Come detto, la conformità GDPR coinvolge di fatto l’intero modello organizzativo, i ruoli , il personale, la formazione i processi e le policy aziendali, e l’intera gestione del Centro servizi, che devono essere armonizzati e devono funzionare all’unisono per fare in modo che l’azienda sia pienamente conforme, come i meccanismi di un orologio contribuiscono tutti assieme a farne girare le lancette.

Quindi, o il modello funziona per tutti, o non funziona affatto. Senza una visione ed una gestione complessiva, l’Azienda semplicemente non può essere in grado di rispondere adeguatamente alle richieste di verifica di conformità.

Alcune raccomandazioni

Per quanto sopra esposto, si raccomanda, quindi di curare che la propria organizzazione interna venga preventivamente adeguata interamente per gestire i requisiti GDPR indipendentemente da quale sia il cliente che effettui la verifica, sia pure dando priorità alle attività più critiche.

Inoltre, si raccomanda di fare una ricognizione accurata di tutti i processi interni, per ogni cliente, e di verificare quali siano tutti i collegamenti tra detti processi e le relative applicazioni, ricostruendo l’intero flusso dati.

Solo dopo aver analizzato l’intero flusso dei dati potranno essere chiare le interazioni e le condivisioni di dati che vengono effettuate quotidianamente per ogni singolo cliente in tutte la Aree della propria azienda, e quindi si potranno prevenire rilievi in fase di Audit relativi a piattaforme o servizi interni che non si considerano utilizzati dal cliente .

Ad esempio, a molte aziende sfugge che la posta elettronica con cui si scambiano dati (non sempre in maniera sicura) con i clienti per l’operatività dell’applicazione o del servizio, è un canale di comunicazione che tratta i dati del cliente stesso .

Obblighi nel mantenimento delle best practice di sicurezza

Anche nel campo della sicurezza informatica spesso la tentazione dell’azienda sottoposta all’audit è quella di limitare la verifica dei meccanismi di sicurezza alle sole postazioni che sono utilizzate per le attività del cliente. Questo perché si ritiene, spesso a ragione date la limitazione di tempo di cui abbiamo parlato, che il cliente in caso di audit si limiterà a verificare solo la parte di azienda coinvolta nella gestione del proprio servizio .

Nel campo della sicurezza informatica, tuttavia, questo è un errore d’impostazione piuttosto serio, perché è ben noto che la sicurezza , sia organizzativa che tecnica, non viene mai valutata in un unico segmento dell’azienda , ma viene valutata nel suo complesso.

Ciò accade non solo per la possibilità di contagio tra i vari sistemi, ormai sempre più interconnessi con la digitalizzazione sempre più spinta, ma anche perché le politiche di sicurezza devono essere applicate in maniera uniforme in tutta l’azienda, per funzionare in maniera efficace.

Occorre quindi tenere conto non solo della condivisione degli strumenti e dei tools utilizzati, ma anche della rotazione / alternanza del personale su vari incarichi, o peggio, di incarichi condivisi su più clienti che, se venissero gestiti con politiche diverse, rischierebbero di mandare in confusione il personale.  Si raccomanda di verificare periodicamente in azienda il rispetto di tutti i requisiti in materia di sicurezza informatica presenti di solito negli allegati tecnici dei capitolati di gara.

Da tenere presente che il modello più utilizzato nei capitolati di gara, e verificato dagli Audit, è quello della ISO27001, che viene considerato come termine di confronto dalle grandi organizzazioni.

Si raccomanda quindi di implementare per quanto possibile le misure indicate da tale normativa in tutta l’azienda , tenendo presente che gli anelli deboli della catena posso influire sulla sicurezza di tutti gli altri, assicurando che le policy ed i comportamenti di sicurezza vengano rispettati in tutti i settori

Solo per fare un esempio tra i tanti possibili, nel caso di numerose postazioni di lavoro presso varie sedi, si raccomanda di non limitarsi all’aggiornamento delle postazioni di lavoro utilizzate per il cliente particolarmente importante, ma di assicurare che tutte le postazioni di lavoro, abbiano un livello di aggiornamenti di sicurezza uniforme ed aggiornato con le ultime Patch di Sicurezza disponibile e con Antivirus e Antimalware , per evitare forme di contagio .

Si raccomanda inoltre di realizzare formazione approfondita per tutti i dipendenti sia su tematiche di privacy che di Sicurezza informatica , per essere sicuri che in caso di rotazione del personale, vi sia la stessa base di consapevolezza e competenza per gestire al meglio le attività per i vari clienti.

Conclusione

La preparazione preventiva e verifiche interne su basi regolari sui requisiti sopra citati, sono l’unico modo per farsi trovare pronti rispetto ad un’eventuale audit, garantendo allo stesso tempo ai propri clienti il mantenimento di un livello di conformità ai requisiti adeguato alle loro necessità.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5