GRC360 per capire le priorità delle misure di sicurezza partendo dal registro dei trattamenti

21 Aprile 2020 in Governance Risk & Compliance As a Service - GRC360

Audit

Per supportare le organizzazioni di tutte le dimensioni nella gestione di quanto previsto dal regolamento europeo GDPR, in particolare nell’uso semplice e intelligente del registro dei trattamenti, è stata creata la soluzione GRC360, nata dalla collaborazione fra P4I, società di Advisory e Coaching del Gruppo DIGITAL360, e KEISDATA, azienda specializzata nel software per la gestione dei rischi aziendali.

GRC360, una guida nella creazione del registro dei trattamenti

GRC360 supporta la creazione del registro e la successiva gestione del rischio per ogni trattamento inserito. Propedeutica alla gestione del rischio è la fase di definizione del contesto aziendale, in particolare la parte di configurazione degli elementi cardine per una sua corretta valutazione.

GRC360 supporta quindi nella definizione della libreria delle minacce, dei possibili impatti sui diritti e le libertà degli interessati e delle librerie di misure di sicurezza che l’azienda adotta o vorrebbe adottare.  Le misure di sicurezza, tecniche ed organizzative censite, sono suddivise per livello di rischio e classificate in base alla capacità di mitigazione della misura rispetto alle minacce che incombono sulla riservatezza, integrità e disponibilità (RID) dei dati. GRC360, fornisce una libreria misure di sicurezza preconfigurata coerente con l’ANNEX A del documento “Handbook on Security of Personal Data Processing” emesso dall’Agenzia dell’Unione europea per la cyber sicurezza (ENISA).
GRC360 guida anche nella configurazione preliminare degli asset a supporto dei trattamenti, fornendo la possibilità di censire gli asset aziendali. Per ciascun asset si indicano sia le misure tecniche sia le misure organizzative che insistono sull’asset stesso.

Completato il censimento, guidato da GRC360, dell’contesto aziendale, degli asset fisici e logici, dei fornitori e partner esterni, si passa alla gestione delle iniziative aziendali creando, sempre guidati da GRC360, la scheda del trattamento con l’inserimento dell’iniziativa, inserendo informazioni specifiche quali la tipologia di dati personali, le categorie degli interessati, le finalità del trattamento, etc. al fine di raccogliere tutte le informazioni necessarie per la creazione del registro dei trattamenti, sia in qualità di Titolare del trattamento sia, se del caso, in qualità di Responsabile del trattamento.

GRC360, per valutare le priorità delle misure in base al rischio

La fase successiva alla creazione della scheda di trattamento, prevede la valutazione del rischio per i diritti e le libertà degli interessati insito nel trattamento,  a partire dal calcolo della probabilità del verificarsi delle minacce precedentemente definite nella fase di creazione del contesto aziendale.
Sotto la guida di GRC360, vengono verificati i quattro ambiti, suggeriti da ENISA (risorse di rete, processi e procedure, parti coinvolte, settori di operatività), attraverso un percorso guidato che mira a comprendere le modalità di esecuzione del trattamento con domande che aiutano a valutare gli elementi che possono influire positivamente o negativamente sulla probabilità del verificarsi delle minacce. Ad esempio possono influire negativamente aspetti come l’interconnessione tra più sistemi, se il trattamento è svolto da un numero indefinito di persone, se sono coinvolte terze parti, se i dati sono su cloud o su data center di una terze parti. Al contrario possono influire positivamente sulla probabilità di accadimento di un evento negativo, la consapevolezza del personale in merito alle modalità di gestione dei dati trattati nello svolgere la propria mansione, la progettazione dei sistemi seguendo le best practice di settore, etc.

GRC360 aiuta poi a valutare l’impatto per i diritti e le libertà degli interessati che dipende da diversi parametri, in primo luogo dalle caratteristiche del dato stesso. Per valutare il rischio derivante da una violazione della riservatezza, si deve riflettere sulle conseguenze che una diffusione non autorizzata può comportare per l’interessato: fastidio o irritazione, stress, perdita del lavoro, separazione o divorzio… Analoghe valutazioni si applicano a integrità e disponibilità.
Probabilità e impatto concorrono a definire il rischio per i diritti e le libertà degli interessati insito nel trattamento.
Il rischio calcolato va confrontato con le misure di sicurezza, associate agli asset che supportano il trattamento, che GRC360 presenta per capire se sono sufficienti per mitigare i rischi, su base RID. Ad esempio, se su un trattamento viene rilevato che il rischio per la riservatezza è elevato, ma è basso quello su integrità e disponibilità, si sceglierà di dare priorità di implementazione alle misure che mirano a proteggere tale aspetto come la cifratura, mentre si darà priorità più bassa a misure come il backup, utile invece nella mitigazione delle minacce che insistono su integrità e disponibilità.

Si precisa che se su uno stesso asset operano più trattamenti, il rischio considerato per la valutazione delle misure di sicurezza idonee è il rischio più alto tra quelli calcolati.
GRC360 guida quindi anche nella definizione di un piano di rientro, fornendo un supporto nella scelta delle priorità da assegnare alle misure di sicurezza da implementare, fornendo non solo informazioni sul livello di rischio ma anche sullo stato di implementazione delle misure sui singoli asset e sulla loro trasversabilità.

In conclusione, la scheda di trattamento, correttamente compilata attraverso GRC360, oltre a permettere la creazione del registro offre anche l’indicazione dello stato degli asset e delle priorità degli interventi nell’adozione delle misure di sicurezza atte a mitigare i rischi sul trattamento in esame.

Manuela Santini – Information & Cyber Security Advisor 

Clicca qui e richiedi subito una Demo!