Sicurezza Informatica e GDPR

GDPR e SICUREZZA INFORMATICA sono due facce della stessa medaglia.
La GDPR (General Data Protection Regulation) definisce "cosa si deve fare" mentre la SICUREZZA INFORMATICA indica "come bisogna fare"

Si parte da due diversi punti di osservazione per giungere allo stesso obiettivo (la protezione dei dati).

Con la GDPR si affronta la problema dall'aspetto normativo stabilendo le linee di principio delle condotte da osservare, il metodo, l' approccio e il perimetro dei comportamenti legittimi.
Con la SICUREZZA INFORMATICA si trasforma il tutto in azioni pratiche, proporzionate al contesto dell'azienda.

Insieme al mio amico Giuseppe Izzinosa (esperto di GDPR) abbiamo deciso di affrontare le tematiche dai due diversi punti d'osservazione per offrire una visione completa della problematica, affrontando ciascuna tematica con la tipica pragmaticità di chi quotidianamente deve entrare nel merito delle problematiche per risolvere problemi e dare risposte risolutive:
- COSA FARE
- COME FARLO
- PERCHE' FARLO

Approfondiremo argomenti e soluzioni in materia di GDPR, (General Data Protection Regulation,  il regolamento europeo su privacy e dati che è diventato operativo dal 2018) associando, ad ogni passo, gli elementi informatici corrispondenti.

Questa normativa infatti prevede che, in base alle caratteristiche della struttura, l’integrità dei dati venga sempre garantita controllandone l’accesso e tracciandone eventuali modifiche, specificando tutti gli eventuali trattamenti a cui i dati sono sottoposti.

Partendo da questa semplificazione (mi perdonino i più edotti della materia) possiamo tracciare un percorso anche attraverso il mondo informatico.

Per controllare l’accesso, devo sapere con esattezza chi accede al dato. Se, dal punto di vista fisico, questo è traducibile con un’espressione retorica molto comune come “mettere materialmente mano su qualcosa”, dal punto di vista digitale, la problematica diventa invece molto più complessa.

Una delle peculiarità del mondo digitale è infatti quella di rendere i dati accessibili anche se esiste una distanza fisica di metri o di km, venendo quindi meno tutte le limitazioni (peculiari) della fisicità (controllo fisico).

Per agevolare la mia spiegazione con un esempio, se per controllare l’accesso ai dati contenuti in un PC basterebbe mettere sotto chiave la stanza e fare entrare solo una persona alla volta, ovvero chi detiene la chiave, per i dati conservati in un PC collegato a internet non basterà più mettere sotto chiave la stanza ma bisognerà anche mettere in piedi gli opportuni controlli per verificare che nessuno riesca ad accedere ai dati attraverso la porta d’accesso messa a disposizione dal collegamento internet.

Laddove nella stanza i PC dovessero essere più di uno, la stessa verifica (valida per internet) dovrà essere allargata anche agli ulteriori PC presenti nella stanza.

È quindi evidente che, di volta in volta, si dovranno mettere in campo tutta una serie di protezioni (che approfondiremo nel corso) che, in base al contesto, siano in grado di garantire l’integrità del dato e il relativo tracciamento delle modifiche.

Seguendo le indicazioni di questo corso, metterete in pratica tutte le indicazioni di sicurezza idonee al Vostro contesto e di riflesso Vi troverete ad aver rispettato i fondamenti del principio che riguarda l’integrità dei dati, il che vi allineerà automaticamente ai principali dettami della normativa GDPR.