Il Regolamento Europeo 2016/679 sulla protezione dei dati personali è in vigore ed entro Maggio 2018 le aziende dovranno adeguare processi e tecnologie per essere "compliant". Da dove cominciare?
Il miglior approccio è la "consapevolezza del rischio" e la "conoscenza delle fonti di minaccia", che impongono di comprendere i nuovi obblighi e l'impatto che il Regolamento avrà sui processi aziendali, per poi affidarsi a professionisti che guidino verso l'aderenza alla normativa.
«Vista la molteplicità degli aspetti da considerare per adeguarsi al GDPR - sottolinea Paolo Marsella, CEO di Aditinet Consulting - servono competenze che siamo assolutamente in grado di offrire, in quanto operiamo sul mercato dal 2004, supportando le principali aziende nazionali, disegnando architetture sicure, implementando meccanismi allo stato dell'arte per la protezione e messa a norma di applicazioni e dati critici, on-premise e sul cloud».
A livello organizzativo è essenziale che il management comprenda pienamente il GDPR, per poi valutare se nominare un Data Protection Officer che ne verifichi la corretta applicazione. In questo, Aditinet si affianca al cliente con un proprio consulente che ricopre il ruolo di DPO.
Un successivo assessment permette di accertare il livello di rischio e individuare come comunicare con i titolari dei dati per assicurarsi il loro assenso.
In merito ai processi e sistemi coinvolti occorre conoscere la sorgente dei dati, quali di essi sono sensibili, disporre di strumenti per dimostrare il consenso all'utilizzo, per la cancellazione e la gestione delle violazioni. Sul piano tecnologico si deve intervenire su architetture, applicazioni e dati al fine di realizzare una soluzione personalizzata.
Aditinet fornisce a tal fine la consulenza professionale del DPO, unita a strumenti per l'attuazione delle misure previste, tra cui soluzioni per rispondere agli articoli 28 e 30 (Gestione unificata delle Identità, delle utenze applicative, dell'accesso e visibilità dei dati strutturati (Data Base) e non strutturati (Fileshare e cloud); 32, 33 e 34 ( inerenti la securizzazione dei dati e delle credenziali di accesso ai sistemi); 24 e 25 (per la protezione da attacchi esterni tramite Firewall perimetrali, ATP, anti-Ramsomware; 24 e 25 (Protezione da Data Exfiltration (DNS, Behavioral Analysis, Data Loss Prevention).
Oltre a questi affronta anche gli articoli 33 e 35 sulla gestione degli eventi (Monitoring, Log/Event Management, SIEM), i 32 e 33 sui servizi di Change Management, Incident Management, Backup/Restore Management) e i 25, 33, 34, 35 e 35 inerenti i servizi per la progettazione e la Privacy By-Design.
«Dopo aver verificato adeguatamente quali sono i soggetti che impattano con il GDPR - osserva Marsella - occorre impiegare l'esperienza di professionisti della IT Security in grado di guidare le aziende verso la piena aderenza alla normativa. I consulenti di Aditinet sanno affiancare i propri clienti, fornendo risorse altamente qualificate per la progettazione dei processi e l'implementazione delle soluzioni necessarie ad essere assolutamente compliant al GDPR».
