ADEMPIMENTI PRIVACY

Policy aziendale di sicurezza: best practice per definire direttive e diritti d’accesso ai dati

La policy aziendale di sicurezza è una documentazione necessaria a definire la conformità e l’adeguamento ai dettami del GDPR attraverso la definizione di regole di comportamento per tutte le risorse organizzative e umane che abbiano accesso al sistema informativo aziendale. Ecco le best practice per redarla al meglio

25 Feb 2020
S
Emilio Souberan

DPO Strutture Healthcare e IT - Docente Formatore di Informatica, Cybersecurity e Data Protection - Innovation Manager


Nella conduzione dei sistemi informatici aziendali assumono estrema rilevanza le politiche di sicurezza, comunemente note come policy o regolamenti interni, richiamate dall’art. 24 del Regolamento Generale sulla Protezione dei Dati (GDPR) e meglio indicate come quelle documentazioni necessarie a definire la conformità e l’adeguamento ai dettami del regolamento stesso attraverso la definizione di regole di comportamento per tutte le risorse organizzative ed umane che abbiano accesso al S.I.A. (Sistema Informativo Aziendale).

Si tratta di documenti che dettagliano e definiscono concretamente la regolamentazione, l’accesso e l’utilizzo delle risorse informatiche con l’obiettivo di garantire la corretta gestione della sicurezza delle informazioni.

Le aziende si trovano, infatti, sempre più spesso in una situazione di grande difficoltà nella gestione di elevate quantità di informazioni che debbono, oltre ad essere disponibili, anche essere adeguatamente gestite e protette.

Policy aziendale di sicurezza: regole di base

In quest’ottica, assumono rilevanza le procedure – policy – che devono essere fornite al personale e a tutti coloro che utilizzino le risorse dell’organizzazione, anche se solo temporaneamente.

La definizione delle direttive e dei diritti d’accesso alle risorse, ai dati e ai cosiddetti servizi informatici spetta responsabilmente al titolare del trattamento ai sensi dell’art. 4 del GDPR in quanto è l’unico soggetto che determina le modalità di gestione del trattamento stesso.

Ovviamente, dovendo documentare attività e regole di gestione – anche strettamente tecnologiche – connesse al sistema informativo aziendale, il titolare del trattamento dovrebbe essere assistito nella redazione documentale da personale in possesso di conoscenze tecniche quali l’amministratore di sistema, se nominato, altre figure esperte presenti in azienda (ad esempio IT Manager) o consulenti esterni qualificati.

La stesura delle policy deve, di fatto, prevedere le istruzioni per tutto il personale coinvolto nella gestione dei dati personali e specificare la necessità di “lavorare e gestire” solo i dati strettamente necessari per quel determinato compito stabilito appunto dal titolare del trattamento.

Contenuti di una policy aziendale di sicurezza

Normalmente una policy aziendale di sicurezza dovrebbe contenere, ad esempio, un’indicazione su come e quando gestire una determinata azione partendo dal presupposto che se una determinata attività non viene definita propriamente, di fatto, risulta consentita e quindi è importante delimitare condizioni e dettagli per non lasciare spazio a libere interpretazioni.

Si prenda ad esempio l’uso della rete informatica aziendale e del connesso servizio di posta elettronica. Nel primo caso è chiaro a tutti che nella stesura regolamentare occorrerebbe indicare il divieto a navigare liberamente in internet per attività ludiche o di passatempo non strettamente connesse alla propria attività lavorativa.

Del pari, dovrebbe essere anche previsto un divieto ad utilizzare la rete aziendale con dispositivi personali che sfuggono ai controlli ed ai criteri di protezione previsti dall’azienda.

Nel secondo caso, la mail assegnata al dipendente dovrebbe rimanere circoscritta all’ambito lavorativo e non avere invece un utilizzo promiscuo così come andrebbe meglio definito il divieto all’utilizzo di indirizzi di posta personali per l’inoltro di documentazione di natura aziendale.

Ma una regolamentazione di sicurezza deve essere ben più estesa: si pensi ad esempio ad un mancato disciplinare sull’utilizzo di dispositivi elettronici personali – quali penne USB o altre memorie portatili – che possono essere improvvidamente collegate alle workstation aziendali recando con sé potenziali minacce informatiche o una gestione “allegra” di password condivise tra più dipendenti e senza la presenza di condizioni minima di robustezza delle stesse.

Non si tratta ovviamente di un elenco esaustivo che potrebbe invece essere debitamente compilato solo dopo un’analisi precisa e puntuale delle necessità dell’organizzazione in termini di sicurezza del trattamento dati tenuto conto della struttura tecnologica specifica dell’azienda.

Non esistono in tal senso soluzioni documentali conformi per tutte le realtà o check-list generali e risolutive ma tutto deve passare attraverso valide classificazioni operate dal titolare del trattamento e dalle figure consulenziali interne od esterne all’organizzazione.

Considerazioni finali

Nel panorama normativo non esistono indicazioni formali o criteri minimi da seguire nella predisposizione di una policy aziendale di sicurezza; tutto viene lasciato alle conoscenze e capacità di analisi dei singoli titolari che debbono prima esaminare il contesto organizzativo interno e poi produrre adeguate norme di comportamento, tenendo anche conto dell’aggiornamento tecnologico dei sistemi informativi aziendali e quindi della necessità di dover adattare ed aggiornare nel tempo le stesse policy.

Poiché si tratta di istruzioni prescrittive è importante che nella creazione delle stesse regole si effettui una preliminare analisi dei rischi in modo da bilanciare la formulazione delle stesse direttive.

Inoltre, è indispensabile una piena conoscenza da parte di tutto il personale coinvolto da tali direttive, personale che dovrebbe essere opportunamente notiziato e formato in modo da innalzare il perimetro di difesa che consentirebbe all’azienda di operare con maggiore serenità rispetto alle note problematiche di sicurezza informatica.

BIBLIOGRAFIA

DECRETO LEGISLATIVO 30 giugno 2003, n.196 recante il “Codice in materia di protezione dei dati personali” (in S.O n. 123 alla G.U. 29 luglio 2003, n. 174) integrato con le modifiche introdotte dal DECRETO LEGISLATIVO 10 agosto 2018, n. 101, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, Regolamento generale sulla protezione dei dati” (in G.U. 4 settembre 2018 n.205).

@RIPRODUZIONE RISERVATA

Articolo 1 di 2