La relazione fra GDPR e PMI, a più di due anni dall’obbligo di compliance normativa in tema di privacy, continua a essere più culturale che effettiva.
La trasformazione digitale, velocizzata dalla situazione covid-19, riguarda tutte le aziende senza distinzione di dimensione. Tutte le informazioni digitalizzate, come i dati di proprietà intellettuale, di business, i dati strategici come gli elenchi clienti e fornitori e naturalmente i dati personali sono proprio l’oggetto principale della tutela della privacy normata dal GDPR.
Ma non solo queste, in ottemperanza al regolamento, anche le misure di sicurezza organizzative, procedurali e anche tecniche ne sono oggetto.
GDPR compliance per una PMI è data da tutto l’insieme di ciò che è capace di ridurre il rischio di compromissione delle informazioni “critiche” aziendali. È visto come il fulcro della strategia e della tattica difensiva.
GDPR Compliance e PMI assessment
L’insieme di tutte le pratiche preventive rende ancora oggi difficile per le PMI essere compliant. In ambito GPDR, essere compliant significa che la PMI deve rispettare principi e regole previsti dal Regolamento europeo con un atteggiamento proattivo.
Nell’articolo 32, comma D1, il GDPR stabilisce anche che le aziende si debbano dotare di un sistema che permetta di verificare che i loro sistemi di sicurezza dei dati personali stiano funzionando correttamente. Le richieste del GDPR possono essere soddisfatte con l’aiuto di Cerbeyra.
Tra le funzionalità di Cerbeyra c’è anche il Cyber Survey di Cerbeyra, soluzione pensata per le PMI che vogliono valutare il livello di maturità della propria azienda nella gestione della sicurezza delle informazioni e della compliance normativa.
Valutazione in self assessment PMI con Cerbeyra
Il Cyber Survey permette di effettuare una valutazione in self-assessment del livello di maturità di un’organizzazione nella gestione della sicurezza delle informazioni e della compliance normativa (Regolamento Generale sulla Protezione dei Dati n. 2016/679 – GDPR).
L’analisi investigativa è sviluppata in coerenza con le caratteristiche dell’organizzazione (ad esempio tipo azienda, numero dipendenti, etc.) ed ai principali indicatori di riferimento.
Il risultato è correlato con le altre funzionalità di analisi della piattaforma Cerbeyra, come ad esempio il vulnerability assessment, permette di fare una previsione di esposizione economica al danno.
L’ autovalutazione di Cerbeyra, basandosi sulle caratteristiche aziendali, quali la tipologia aziendale il settore d’appartenenza, ecc., consente di fare previsioni importanti sul rischio informatico.
Questo perché sono sempre più frequenti attacchi mirati a determinate industry o ad attività pubbliche, attacchi che sfruttano strumenti tipici (file, applicazioni, protocolli e così via) di un determinato settore.
Conoscendo l’ambito operativo di un’azienda, Cerbeyra può indicare se, in un determinato momento, si tratta di una categoria particolarmente a rischio. Questo perché Cerbeyra valuta se sono in atto azioni malevole nei confronti di altre organizzazioni della stessa tipologia.
Perciò, alcune informazioni possono variare come livello di criticità, proprio perché in quel momento si ha una situazione di rischio maggiore. E questo è fondamentale per il GDPR perché va ad aiutare l’azienda a comprendere in quegli istanti, in quei momenti particolari, quant’è esposta in più in termini statistici a un attacco.
Evita le sanzioni con Cerbeyra
L’introduzione del GDPR ha rivoluzionato il sistema sanzionatorio in materia di privacy. Mentre in passato si interveniva a posteriori, oggi la violazione si riscontra già nel momento in cui l’impresa non metta in atto le misure preventive.
Anche con riferimento alla fase dei controlli, delegati alla Guardia di Finanza, è fondamentale il concetto di accountability. Vale a dire “responsabilizzazione” dei titolari del trattamento dei dati.
Durante le ispezioni, l’azienda ha l’onere di mostrare cosa è stato fatto, e se qualcosa non è stato fatto dimostrerà le ragioni del mancato adempimento.
I controlli sul GDPR Compliance alle PMI e non solo, sono fatti sulle seguenti tematiche:
- nomina del DPO, il responsabile della protezione dati;
- controlli sulle misure previste in caso di data breach;
- controlli sul registro dei trattamenti.
La piattaforma di Cerbeyra effettua infatti un monitoraggio continuo h24 su tutta l’infrastruttura dell’azienda, generando due tipi di report estremamente dettagliati. Uno è dedicato al management in modo che possa capire lo stato di sicurezza IT e decidere dove intervenire e con quali priorità. L’altro report è invece più tecnico e ogni vulnerabilità individuata è corredata di una descrizione completa di suggerimenti anche per la remediation.
La PMI per la GDPR compliance può prendere i due report forniti e allegarli a tutta la documentazione che fa il DPO. Questa è la dimostrazione che è stato effettuato il controllo durante la verifica annuale della documentazione.
In più, nel caso di un eventuale incidente, l’azienda può dimostrare che ha avuto sempre un monitoraggio continuativo sull’infrastruttura.
