ISO 27001 e GDPR: come creare un sistema di gestione integrato per la sicurezza dei dati
Lo standard ISO 27001 è una norma internazionale che definisce i requisiti per implementare, mantenere e migliorare un sistema di gestione della sicurezza delle informazioni (ISMS – Information Security Management System). Il GDPR (General Data Protection Regulation) è invece un Regolamento dell’Unione Europea per la protezione dei dati personali (spesso definita, in modo non del tutto corretto, privacy).
Il Reg. UE 2016/679 (GDPR) è dal 25 Maggio 2018 una norma cogente, che deve essere attuata e rispettata da tutti gli enti, sia europei che internazionali, che trattano dati personali nell’Unione Europea. La ISO 27001 invece è una norma su base volontaria. Ciascuna organizzazione decide liberamente se adottarla ed in che misura. Soltanto le organizzazioni che vogliano ottenere una certificazione ISO 27001 e vantarsi di questo titolo saranno obbligate a dimostrare il rispetto dei requisiti della norma.
Perché dunque vincolarsi al rispetto di una norma non obbligatoria? Non ci sono forse già abbastanza norme inutili da rispettare? Il GDPR non è forse una di queste?
GDPR: norma inutile o visionaria?
Nella mia professione mi scontro ogni giorno con queste domande e le comprendo ormai benissimo. Gli imprenditori sono gravati da talmente tante regole, talvolta inutili, che non sono più in grado neppure di tenere il conto. Si cerca quindi di fare il minimo indispensabile per evitare sanzioni, badando alla forma piuttosto che alla sostanza.
Il mio parere però è che il GDPR non sia una norma inutile ma visionaria. La Commissione Europea si è resa conto appena in tempo del ruolo critico dei dati personali nella società di oggi e soprattutto in quella di domani. Con il GDPR ha voluto evitare che sui dati si verificasse una totale perdita di controllo.
L’approccio adottato è però diverso dal passato e mutuato proprio dagli standard ISO. Ciò che si chiede non è il rispetto di regole inutili e di adempimenti formali. Piuttosto si pretende una responsabilizzazione dell’imprenditore ed in particolar modo della dirigenza. Il GDPR può quindi ridursi a tre adempimenti fondamentali:
1) una presa di coscienza dei dati trattati e delle finalità per cui si trattano;
2) una valutazione dei rischi che questi trattamenti comportano;
3) l’adozione di misure di sicurezza, sia tecniche che organizzative, per minimizzare i rischi rilevati.
Di conseguenza, un’azienda che non tratta dati personali ad alto rischio, dovrà fare molto poco per diventare GDPR Compliant. In caso di controllo, sarà sufficiente dimostrare di aver svolto un’analisi seria, di non aver rilevato rischi elevati e giustificare così la mancata adozione di misure di sicurezza ulteriori.
Sicurezza delle informazioni: la mancanza di consapevolezza delle imprese
Il grandissimo merito del GDPR è stato quello di evidenziare la totale mancanza di consapevolezza delle imprese italiane in materia di sicurezza dei dati, non soltanto di quelli personali. Infatti, se sono ancora pochi gli imprenditori che si preoccupano di tutelare la privacy dei propri clienti o dipendenti, quando si tratta dei dati aziendali (liste clienti, ordini, progetti, ricette, segreti industriali etc.) l’attenzione cresce. Senza di essi infatti qualsiasi azienda chiude. Del resto, se la digitalizzazione ha facilitato molti aspetti lavorativi, ha anche incrementato in modo esponenziale i rischi informatici. Ancora troppo spesso questi vengono sottovalutati sino a quanto non si verifica un problema, ma allora è troppo tardi.
Quante società si disinteressano completamente della gestione del proprio sistema informatico per affidarlo a soggetti esterni? E quante di esse si preoccupano di sapere come questi soggetti trattano i loro dati? Quante società adottano delle politiche di gestione responsabile delle password? Quante sono consapevoli degli enormi rischi che una password non sicura può comportare per l’intero sistema aziendale? Quanti si preoccupano di formare i propri dipendenti sulla gestione dei rischi informatici?
Il GDPR ha permesso di far emergere questi problemi e ha generato un notevole aumento degli investimenti in cybersecurity. Tuttavia, il livello di consapevolezza in materia di sicurezza delle informazioni è ancora pericolosamente basso. Il dato più preoccupante è che ad essere impreparati sono proprio quei fornitori di servizi informatici a cui le imprese affidano le chiavi delle loro aziende.
Ecco perchè un adeguamento serio al GDPR può servire ad ogni azienda non soltanto ad evitare le sanzioni del Garante ma piuttosto ad accrescere il livello di consapevolezza, organizzazione e sicurezza nella gestione di tutti i dati aziendali. É qui che le strade della norma ISO 27001 e del Reg. UE 2016/679 si incontrano.
ISO 27001 E GDPR: differenze ed affinità
Rispettare la norma ISO 27001 non significa essere GDPR compliant. Tantomeno è sufficiente rispettare il Reg. UE 2016/679 per ottenere la certificazione ISO. La famiglia delle ISO 27000 si occupa dei sistemi di gestione della sicurezza delle informazioni. Le informazioni comprendono tutti i dati rilevanti per un’azienda: i segreti industriali, i progetti, i processi di lavoro, le anagrafiche clienti, le comunicazioni, la proprietà intellettuale etc.. Il GDPR si concentra invece sui dati personali, che costituiscono un sottoinsieme delle informazioni. Qurest’ultimo richiede dunque una serie di adempimenti riguardanti diritti e libertà delle persone fisiche, di cui la ISO 27001 non si preoccupa. Tuttavia, le misure tecniche ed organizzative con cui si proteggono dati personali ed altre informazioni sono esattamente gli stessi.
É innegabile che, chiunque abbia scritto il Reg. UE 2016/679 abbia preso come base di lavoro le norme della famiglia ISO 27000. Entrambe le norme adottano un approccio basato sul rischio e sulla sua mitigazione. Anche i principi dell’accountability (responsabilizzazione ed onere di dimostrazione) e della privacy by design sono mutuati dallo standard ISO. Oggi si parla sempre più spesso della prossima emissione di norma appartenente alla famiglia ISO 27000 che attesterà la conformità al GDPR, come previsto dall’art. 42 Reg. 2016/679.
Ecco perché il modo più remunerativo per adeguarsi al GDPR non è limitarsi alla redazione di qualche documento di cui neppure conosciamo il contenuto ma piuttosto creare un modello di gestione integrato con la norma ISO. Ovviamente, per coloro che non ambiscano ad una certificazione, non ci sarà bisogno di rispettare ogni punto della norma. Sarà sufficiente adottarne i principi e gli adempimenti più importanti, per creare un modello che permetta non soltanto di evitare le sanzioni ma anche di accrescere la sicurezza e l’organizzazione aziendali.
L’importanza delle certificazioni ISO 27001 per i fornitori di servizi
Se la maggior parte delle aziende non avranno bisogno di dotarsi di una certificazione ISO ma solo prendere spunto dalle sue regole, per alcune imprese la certificazione potrebbe realmente fare la differenza. Coloro che potrebbero trarne il maggiore vantaggio sono i fornitori di servizi, in particolare quelli di natura informatica (hosting provider, software house, manutentori IT etc.).
Si veda “Software House e GDPR: perché è fondamentale adeguarsi“.
Fra gli adempimenti richiesti dal GDPR e mutuati dalla ISO 27001 vi è quello di responsabilizzare il ruolo dei fornitori che trattano dati personali per conto dei titolari. I fornitori devono essere designati come responsabili esterni del trattamento (art. 28 Reg. UE 2016/679) e soprattutto devono essere sottoposti periodicamente ad audit di seconda parte. In pratica, il titolare del trattamento non può disinteressarsi di come un fornitore tratta i suoi dati ma deve monitorarlo ed assicurarsi che faccia le cose come si deve.
Questa norma è costantemente inattuata e, di fatto, inattuabile. Quante aziende sono in grado di svolgere audit di seconda parte sul loro consulente del lavoro per verificare come tratta i dati dei loro dipendenti? Dall’altro lato, come potrebbe un fornitore di servizi sottoporsi agli audit di centinaia di clienti? L’onere del controllo di un fornitore può essere ovviato mediante il ricorso a certificazioni. Un fornitore che sia in grado di esibire una certificazione ISO dimostra di aver superato un audit di terza parte effettuato da un ente di certificazione. In questo modo esonera i propri clienti dall’obligo di auditarlo a loro volta ed allo stesso tempo dimostra di trattare i loro dati in sicurezza.
Si pensi ad un ospedale che debba scegliere una software house a cui affidare la gestione del proprio sistema IT. Presto sarà impossibile prescindere da una certificazione per poter lavorare con questi soggetti, così come già oggi è obbligatoria la certificazione ISO 9001 per poter partecipare alle gare di appalto pubbliche.
Come ottenere una certificazione ISO
Ottenere un certificazione ISO 27001 non è un obiettivo semplice da raggiungere. Servono innanzi tutto una nuova mentalità ed un nuovo approccio al trattamento dei dati e delle informazioni. Innanzi tutto è necessario implementare un sistema di gestione, seguendo le indicazioni fornite dalla norma ISO 27002. Si può affidare questo compito all’interno dell’azienda oppure rivolgersi ad un consulente esterno (c.d. preparatore).
Un modello di gestione è un modello organizzativo composto di politiche, procedure e regole che l’azienda si pone per raggiungere un determinato obiettivo: nel nostro caso, la sicurezza delle informazioni.
Una volta che il modello è stato creato, adottato ed applicato, quando l’azienda si sente pronta può incaricare un ente di certificazione per sottoporsi ad un audit di terza parte. Se dall’audit conferma il rispetto dei requisiti della norma, verrà rilasciata una certificazione della durata di 3 anni. Ogni anno dovranno inoltre essere effettuati degli audit di sorveglianza per verificare il mantenimento ed il miglioramento continuo del sistema di gestione. Esso non è infatti da considerarsi statico ma deve adattarsi ad ogni variazione del rischio e migliorarsi costantemente.
Conclusioni
Informazioni e dati personali sono oggi il bene più prezioso di un’azienda. Tutti i colossi del mercato mondiale fondano la loro ricchezza sui dati: Google e Facebook in prima linea, ma anche società come Amazon, Apple, Uber, Airbnb etc.
Proteggere i dati non significa redigere informative o documenti privi di valore da mettere in un cassetto ed esibire in caso di controllo. Piuttosto, significa in prima battuta prendere coscienza della loro esistenza e della loro imporrtanza. In secondo luogo prendere coscienza dei rischi a cui sono sottoposti. In terzo luogo, adottare un modello organizzativo che ci permetta di trattarli in sicurezza. Soltanto un approccio di questo tipo trasforma l’adeguamento al GDPR da una serie di formalità senza senso ad un investimento per l’azienda.
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 3.0 Italia.