telefono : +39-3473822130 

Lo schema della protezione delle informazioni

  1. Home Lo schema della protezione delle informazioni

Come potete vedere dal grafico, in cima alla linea gerarchica c’è il proprietario delle informazioni.

Ai fini del G.D.P.R. (Regolamento Ue n.679/2016), spesso chiamata “legge sulla privacy”, ma che in realtà più esattamente è denominata “legge sul trattamento dei dati personali”  questo soggetto è individuato nel “titolare del trattamento”.

Sempre ai fini della medesima legge, il vero “proprietario” dei dati è in realtà il soggetto al quale i dati si riferiscono, in altre parole il c.d. “interessato”

Nella lingua italiana il significato esatto di “privacy” è riservatezza, che costituisce un insieme più ristretto rispetto al trattamento dei dati personali al quale fa riferimento la legge, all’art. 1 comma 1: “La presente legge garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti, delle libertà fondamentali, nonché della dignità delle persone fisiche, con particolare riferimento alla riservatezza e all’identità personale”

Detto anche Information Owner, appartiene solitamente ai quadri del business management. Tra i suoi compiti andrebbero inclusi:

L’identificazione dei gruppi iniziali di classificazione delle informazioni, in maniera tale che questi soddisfino le esigenze del business. In pratica deve esserci una corrispondenza di massima tra la classificazione delle informazioni per il business process e l’information security.

  • Assicurare che i controlli di sicurezza siano adeguati all’importanza attribuita dal top management alle informazioni;
  • Verificare le linee guida relative all’accesso e ai privilegi stabiliti dall’infosecurity manager, con particolare riferimento alla prevenzione e al recovery.
  • Determinare i requisiti minimi di sicurezza, anche in base alle normative di riferimento vigenti.
  • Approvare e /o delegare la stesura di linee guida e policy attuative dei punti precedenti. Detti elementi riguardano tutti i settori di impiego relativi alle figure di coordinamento e operative di cui parleremo tra poco.
  • Gestire, di concerto con l’information security manager, eventuali misure repressive nei confronti di coloro che non hanno adempiuto il rispetto delle policy di sicurezza.

Tutte le attività sopra menzionate sono divenute da tempo un obbligo di legge per il titolare, proprio per l’esistenza della legge accennata; è possibile in linea di principio ammettere la c.d. “delega penale” delle funzioni, ma – come vedremo – nel caso di specie è abbastanza difficile da realizzare in pratica, proprio per l’estrema pervasività della legge 675/96 e per il concetto estremamente ampio di “dato personale”.

Inoltre le attività indicate costituiscono una parte dell’elenco della varie misure di sicurezza espressamente previste dal modulo per la notificazione del trattamento dei dati personali al Garante, modulo che elenca numerose misure, sia di tipo logico, sia di tipo logistico, sia di tipo tecnico; la conseguenza è che le misure “tecniche” elencate divengono un obbligo di legge nella maggior parte dei casi e il non implementare tali misure può costituire la base sia per illeciti di tipo penale, sia per pesanti richieste di risarcimento danni.

Da una prima analisi dei punti precedenti è possibile individuare la collocazione dell’Information Security Manager.

La figura dell’ISM è sottoposta a rendiconto all’information owner. In realtà, più che un diretto subordinato, l’infosecurity manager è il braccio destro del proprietario delle informazioni. Di seguito enucleiamo i compiti primari di questa figura professionale.

  • Ha un’esperienza nel settore dell’information security ( o, comunque di responsabilità dati) come minimo quinquennale; è dotato di una cultura trasversale in materia di sicurezza informatica, in quanto deve essere capace di gestire e di supervisionare qualsiasi tipo di progetto legato alla protezione del patrimonio informativo.
  • Ha frequentato un apposito ciclo di training finalizzato alla formazione della sua figura professionale.
  • Rappresenta l’interfaccia con Forze dell’Ordine e Magistratura, in caso di procedure di incident handling
  • Colloquia con società di consulenza e/o enti accademici per la gestione degli incidenti non rientranti nella categoria precedente;
  • È responsabile di tutti i processi implementati all’interno dell’azienda, in materia di information security. A tal proposito, coadiuvato dal Process Owner e dal Product Line Manager,  si occupa di analizzare l’impatto dei nuovi processi nel ciclo biologico aziendale, anche dal punto di vista della scelta di soluzioni e tecnologie.
  • Redige linee guida e policy. Anche se si avvale di collaboratori per questo, le firma. Quindi ne è il primo responsabile, in bene e in male.
  • Ha funzione decisionale sulle scelte commerciali dell’azienda (acquisti) in materia di information security. Nel caso di scelte relative ad altri settori dell’information technology, il suo parere è vincolante. Il perché è presto detto: se qualche cosa dovesse andar storto, la sua sarà la prima porta dove il top management andrà a bussare per chiedere spiegazioni.