Nel tentativo di adeguarsi al GDPR ogni organizzazione si ritrova a dover fare i conti con l’articolo 32.

L’articolo 32 “Sicurezza del trattamento” afferma:

“ Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio…”

Il GDPR definisce il “cosa”, l’esigenza di calcolare il Rischio e di adottare misure adeguate a tale rischio, ma non spiega il come calcolare il rischio o quali misure adottare.

La ISO 27001 può aiutarci a rispondere all’Art. 32, poiché a differenza del GDPR entra nel dettaglio di quali debbano essere le misure per implementare la sicurezza aziendale.

La ISO/IEC 27002 contiene 14 punti di controllo di sicurezza, che riuniscono un totale di 35 categorie principali di sicurezza e 114 controlli.

Ogni categoria principale di controlli di sicurezza contiene:

1. a)  un obiettivo di controllo, che dichiara cosa si vuole raggiungere;
2. b)  uno o più controlli che possono essere applicati per raggiungere l’obiettivo di controllo.
   
   

I Punti di controllo sono:

1. Politiche per la sicurezza delle informazioni
2. Organizzazione della sicurezza delle informazioni
   Organizzazione interna e esterna

3. Sicurezza delle risorse umane
   Prima, Durante l’impiego e a Cessazione e variazione del rapporto di lavoro

4. Gestione degli Asset
   Responsabilità per gli asset, Classificazione delle informazioni, Trattamento dei supporti

5. Controllo degli accessi
   Requisiti di business per il controllo degli accessi, Gestione degli accessi degli utenti, Responsabilità dell’utente, Controllo degli accessi ai sistemi e alle applicazioni

6. Crittografia
7. Sicurezza fisica e ambientale
   Aree sicure, Apparecchiature

8. Sicurezza delle attività operative
   Procedure operative e responsabilità,  Protezione dal malware, Backup, Raccolta di log e monitoraggio, Controllo del software di produzione, Gestione delle vulnerabilità tecniche, Considerazioni sull’audit dei sistemi informativi

9. Sicurezza delle comunicazioni
   Gestione della sicurezza della rete, Trasferimento delle informazioni

10. Acquisizione, sviluppo e manutenzione dei sistemi
    Requisiti di sicurezza dei sistemi informativi, Sicurezza nei processi di sviluppo e supporto, Dati di test

11. Relazioni con i fornitori
    Sicurezza delle informazioni nelle relazioni con i fornitori, Gestione dell’erogazione dei servizi dei fornitori

12. Gestione degli incidenti relativi alla sicurezza delle informazioni
    Gestione degli incidenti relativi alla sicurezza delle informazioni e dei miglioramenti

13. Aspetti relativi alla sicurezza delle informa zioni nella gestione della continuità operativa
    Continuità della sicurezza delle informazioni, Ridondanze

14. Conformità
    Conformità ai requisiti cogenti e contrattuali, Riesami della sicurezza delle informazioni. 

 Per ognuno dei punti di controllo è presente una struttura d’analisi composta da 3 aspetti:

1. Il Controllo
   Definisce nello specifico il controllo, funzionale alla soddisfazione dell’obiettivo di controllo.
2. La Guida attuativa
   Fornisce informazioni più dettagliate per supportare l’attuazione del controllo e il raggiungimento degli obiettivi di controllo. La guida può non risultare completamente attinente o sufficiente in tutte le situazioni e potrebbe non soddisfare i requisiti specifici di controllo dell’organizzazione.
3. Altre informazioni
   Fornisce informazioni aggiuntive che potrebbe essere necessario considerare come, per esempio, considerazioni legali e riferimenti ad altre norme. Nel caso non vi siano informazioni aggiuntive da considerare questa parte non è riportata