Per mesi le aziende si sono preparate a mettersi in regola con le disposizioni del GDPR, il Regolamento dell’Unione Europea sulla Protezione Generale dei Dati, entrato in vigore in data 25 maggio 2018. Per effetto di questa nuova normativa la compliance è ora ancora più critica, viste le elevate sanzioni economiche e i danni di reputazione per chi infrange le regole.
Tutte le imprese che offrono, anche a titolo gratuito, beni e servizi nell’Unione Europea sono soggette al GDPR , così come lo sono tutte le entità che conservano o processano dati personali di cittadini dell’UE: ciò significa che il GDPR ha avuto un impatto anche su migliaia di realtà economiche poste al di fuori dei confini dell’Unione Europea, e continuerà ad averlo in futuro (per qualche ulteriore informazione sui contenuti del GDPR clicca qui).
Sebbene la normativa sia entrata in vigore già da oltre tre mesi, il processo di allineamento può dirsi tutt’altro che completato. Ma ora anche per l’Italia non ci sono più scuse, perché il 4 settembre è stato pubblicato in Gazzetta Ufficiale il Decreto Legislativo n.101/2018 recante ‘Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679’, che entrerà pertanto definitivamente in vigore il prossimo 19 settembre.
ISACA® ha prodotto un piccolo vademecum, con 10 punti chiave e 10 correlati suggerimenti per implementare con successo il GDPR – Regolamento Europeo per la Protezione dei Dati usando COBIT®5, basati sulle osservazioni e le raccomandazioni di moltissime realtà che hanno avviato e/o completato il percorso di compliance. Vediamoli in dettaglio:
1. SVILUPPARE UN SENSO DI URGENZA. Questo punto è in cima alla lista dei comportamenti virtuosi e richiede il fondamentale supporto del livello executive, che guida le attitudini e le aspettative necessarie per adottare con successo le buone pratiche di governance ai fini dell’applicazione e del rispetto del GDPR.
Suggerimento: In COBIT®5 è possibile reperire suggerimenti e tecniche da implementare per ottenere supporto a livello executive e riconoscere la necessità di agire.
2. PENSARE AL GDPR COME AD UN’OPPORTUNITÀ. Anche se raggiungere e mantenere la compliance sembra oneroso, questo è l’approccio giusto. È importante tenere presente che la ragione per cui l’impresa esiste è creare valore per le parti interessate e la corretta applicazione del GDPR è un contributo importante che aggiunge valore.
Suggerimento: la Goals Cascade di COBIT®5 identifica le esigenze degli stakeholder che si traducono in obiettivi aziendali, in obiettivi correlati all’IT ed infine in obiettivi dei fattori abilitanti al fine di individuare i processi più appropriati su cui concentrarsi per migliorare il valore a vantaggio degli stakeholder.
3. FARE UN INVENTARIO degli attuali framework e pratiche di governance dell’impresa, incluso il piano di protezione dei dati. La maggior parte delle aziende ha già un piano in atto, ma sarà necessario rivederlo e aggiornarlo per assicurarsi che sia in linea con i requisiti del GDPR.
Suggerimento: Il GDPR è una problematica giuridica che può essere gestita adottando le best practice esistenti come COBIT®, ITIL®, TOGAF® (The Open Group Architecture Framework), le pubblicazioni del National Institute of Standards and Technology (NIST) degli Stati Uniti, gli standard dell’International Organization for Standardization (ISO) e molti altri.
4. CONSIDERARE COBIT®5 COME “UN FRAMEWORK PER GESTIRE I FRAMEWORK”, senza fossilizzarsi su un unico framework. Questa è un’estensione del suggerimento precedente. Sebbene sia l’unico framework di business per la GEIT (Governance of Enterprise IT), COBIT® non è l’unico sulla piazza. Piuttosto, si può dire che è adatto a fungere da framework centrale che aiuta a individuare le componenti necessarie di altri framework per realizzare un vero modello GEIT.
Suggerimento: il sito web COBIT Online contiene ulteriori informazioni su questo approccio alla pagina https://cobitonline.isaca.org/about .
5. NOMINARE SUBITO UN DPO E ALTRI RUOLI PREVISTI. Anche per le imprese che non sono obbligate dal GDPR, si tratta di ruoli che sarebbe bene identificare e nominare. È anche possibile che la vostra azienda già possieda questi ruoli, solo con nomi diversi.
Suggerimento: la Guida Enabling Processes di COBIT® 5 identifica le matrici RACI per tutti i 37 processi.
6. CONDURRE UNA VALUTAZIONE DEL RISCHIO AZIENDALE A SUPPORTO DELLA FASE DECISIONALE. È importante sapere quali sono i dati archiviati e elaborati dall’azienda sui cittadini dell’UE, nonché i rischi associati. Le valutazioni del rischio possono aiutare a identificare il rischio, determinare misure per mitigarlo e sviluppare piani d’azione per gestirlo.
Suggerimento: COBIT®5 for Risk e la ISO 31000 sono ottimi punti di partenza per determinare un processo di valutazione del rischio appropriato e collegarlo ai requisiti del GDPR.
7. LANCIARE UN PROGRAMMA DIFFUSO DI CONSAPEVOLEZZA E FORMAZIONE. Tutti i membri dell’organizzazione devono avere familiarità con i requisiti del GDPR e con il proprio specifico ruolo rispetto a tale normativa. La formazione è probabilmente una delle azioni più importanti che un’impresa può intraprendere per aumentare la probabilità di successo di un programma di consapevolizzazione.
Suggerimento: nelle imprese che stanno facendo leva su COBIT® a supporto del loro impegno verso la piena conformità al GDPR , il corso COBIT®5 Foundation è un buon punto di partenza.
8. PIANIFICARE E PROVARE I PIANI DI RISPOSTA AGLI INCIDENTI. La maggior parte delle organizzazioni ha già una qualche forma di piano di risposta agli incidenti; tuttavia, il GDPR ha alcuni requisiti che potrebbero non essere stati considerati. Le imprese devono segnalare le violazioni entro 72 ore dalla loro scoperta;il modo in cui reagiscono i team di risposta influirà direttamente sul rischio per l’impresa di incorrere in multe per eventuali violazioni.
Suggerimento: migliorare le procedure di risposta agli incidenti esistenti esaminando i processi COBIT® e ITIL® applicabili e quindi creando un modello specifico per il requisito GDPR.
9. FOCUS SULLE INFORMAZIONI. È importante ricordare che le informazioni sono un asset, una risorsa, e, se non protette, una responsabilità. Comprendere gli attributi, la ubicazione e il ciclo di vita dei dati può migliorare la capacità dell’azienda di fornire le protezioni richieste dal GDPR.
Suggerimento: la guida Enabling Information di COBIT®5 può aiutare a comprendere questi cicli di vita e attributi.
10. ESEGUIRE UNA CONTINUA VALUTAZIONE E GARANZIA. Mantenere la conformità richiede un monitoraggio e un miglioramento continui. È importante per l’impresa non lasciare che gli sforzi profusi per raggiungere la compliance svaniscano nel nulla quando ci si concentra su una nuova iniziativa, perché altrimenti potrebbero verificarsi spiacevoli sorprese. L’attenzione alla compliance deve essere uno slancio costante.
Suggerimento: utilizzare il modello di implementazione di COBIT® o l’approccio di miglioramento continuo dei servizi (Continual Service Improvement – CSI) di ITIL® e assicurarsi che la funzione interna di garanzia / audit sia costantemente attiva.
Lo Staff di PME
Per mesi le aziende si sono preparate a mettersi in regola con le disposizioni del GDPR, il Regolamento dell’Unione Europea sulla Protezione Generale dei Dati, entrato in vigore in data 25 maggio 2018. Per effetto di questa nuova normativa la compliance è ora ancora più critica, viste le elevate sanzioni economiche e i danni di reputazione per chi infrange le regole.
Tutte le imprese che offrono, anche a titolo gratuito, beni e servizi nell’Unione Europea sono soggette al GDPR , così come lo sono tutte le entità che conservano o processano dati personali di cittadini dell’UE: ciò significa che il GDPR ha avuto un impatto anche su migliaia di realtà economiche poste al di fuori dei confini dell’Unione Europea, e continuerà ad averlo in futuro (per qualche ulteriore informazione sui contenuti del GDPR clicca qui).
Sebbene la normativa sia entrata in vigore già da oltre tre mesi, il processo di allineamento può dirsi tutt’altro che completato. Ma ora anche per l’Italia non ci sono più scuse, perché il 4 settembre è stato pubblicato in Gazzetta Ufficiale il Decreto Legislativo n.101/2018 recante ‘Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679’, che entrerà pertanto definitivamente in vigore il prossimo 19 settembre.
ISACA® ha prodotto un piccolo vademecum, con 10 punti chiave e 10 correlati suggerimenti per implementare con successo il GDPR – Regolamento Europeo per la Protezione dei Dati usando COBIT®5, basati sulle osservazioni e le raccomandazioni di moltissime realtà che hanno avviato e/o completato il percorso di compliance. Vediamoli in dettaglio:
1. SVILUPPARE UN SENSO DI URGENZA. Questo punto è in cima alla lista dei comportamenti virtuosi e richiede il fondamentale supporto del livello executive, che guida le attitudini e le aspettative necessarie per adottare con successo le buone pratiche di governance ai fini dell’applicazione e del rispetto del GDPR.
Suggerimento: In COBIT®5 è possibile reperire suggerimenti e tecniche da implementare per ottenere supporto a livello executive e riconoscere la necessità di agire.
2. PENSARE AL GDPR COME AD UN’OPPORTUNITÀ. Anche se raggiungere e mantenere la compliance sembra oneroso, questo è l’approccio giusto. È importante tenere presente che la ragione per cui l’impresa esiste è creare valore per le parti interessate e la corretta applicazione del GDPR è un contributo importante che aggiunge valore.
Suggerimento: la Goals Cascade di COBIT®5 identifica le esigenze degli stakeholder che si traducono in obiettivi aziendali, in obiettivi correlati all’IT ed infine in obiettivi dei fattori abilitanti al fine di individuare i processi più appropriati su cui concentrarsi per migliorare il valore a vantaggio degli stakeholder.
3. FARE UN INVENTARIO degli attuali framework e pratiche di governance dell’impresa, incluso il piano di protezione dei dati. La maggior parte delle aziende ha già un piano in atto, ma sarà necessario rivederlo e aggiornarlo per assicurarsi che sia in linea con i requisiti del GDPR.
Suggerimento: Il GDPR è una problematica giuridica che può essere gestita adottando le best practice esistenti come COBIT®, ITIL®, TOGAF® (The Open Group Architecture Framework), le pubblicazioni del National Institute of Standards and Technology (NIST) degli Stati Uniti, gli standard dell’International Organization for Standardization (ISO) e molti altri.
4. CONSIDERARE COBIT®5 COME “UN FRAMEWORK PER GESTIRE I FRAMEWORK”, senza fossilizzarsi su un unico framework. Questa è un’estensione del suggerimento precedente. Sebbene sia l’unico framework di business per la GEIT (Governance of Enterprise IT), COBIT® non è l’unico sulla piazza. Piuttosto, si può dire che è adatto a fungere da framework centrale che aiuta a individuare le componenti necessarie di altri framework per realizzare un vero modello GEIT.
Suggerimento: il sito web COBIT Online contiene ulteriori informazioni su questo approccio alla pagina https://cobitonline.isaca.org/about .
5. NOMINARE SUBITO UN DPO E ALTRI RUOLI PREVISTI. Anche per le imprese che non sono obbligate dal GDPR, si tratta di ruoli che sarebbe bene identificare e nominare. È anche possibile che la vostra azienda già possieda questi ruoli, solo con nomi diversi.
Suggerimento: la Guida Enabling Processes di COBIT® 5 identifica le matrici RACI per tutti i 37 processi.
6. CONDURRE UNA VALUTAZIONE DEL RISCHIO AZIENDALE A SUPPORTO DELLA FASE DECISIONALE. È importante sapere quali sono i dati archiviati e elaborati dall’azienda sui cittadini dell’UE, nonché i rischi associati. Le valutazioni del rischio possono aiutare a identificare il rischio, determinare misure per mitigarlo e sviluppare piani d’azione per gestirlo.
Suggerimento: COBIT®5 for Risk e la ISO 31000 sono ottimi punti di partenza per determinare un processo di valutazione del rischio appropriato e collegarlo ai requisiti del GDPR.
7. LANCIARE UN PROGRAMMA DIFFUSO DI CONSAPEVOLEZZA E FORMAZIONE. Tutti i membri dell’organizzazione devono avere familiarità con i requisiti del GDPR e con il proprio specifico ruolo rispetto a tale normativa. La formazione è probabilmente una delle azioni più importanti che un’impresa può intraprendere per aumentare la probabilità di successo di un programma di consapevolizzazione.
Suggerimento: nelle imprese che stanno facendo leva su COBIT® a supporto del loro impegno verso la piena conformità al GDPR , il corso COBIT®5 Foundation è un buon punto di partenza.
8. PIANIFICARE E PROVARE I PIANI DI RISPOSTA AGLI INCIDENTI. La maggior parte delle organizzazioni ha già una qualche forma di piano di risposta agli incidenti; tuttavia, il GDPR ha alcuni requisiti che potrebbero non essere stati considerati. Le imprese devono segnalare le violazioni entro 72 ore dalla loro scoperta;il modo in cui reagiscono i team di risposta influirà direttamente sul rischio per l’impresa di incorrere in multe per eventuali violazioni.
Suggerimento: migliorare le procedure di risposta agli incidenti esistenti esaminando i processi COBIT® e ITIL® applicabili e quindi creando un modello specifico per il requisito GDPR.
9. FOCUS SULLE INFORMAZIONI. È importante ricordare che le informazioni sono un asset, una risorsa, e, se non protette, una responsabilità. Comprendere gli attributi, la ubicazione e il ciclo di vita dei dati può migliorare la capacità dell’azienda di fornire le protezioni richieste dal GDPR.
Suggerimento: la guida Enabling Information di COBIT®5 può aiutare a comprendere questi cicli di vita e attributi.
10. ESEGUIRE UNA CONTINUA VALUTAZIONE E GARANZIA. Mantenere la conformità richiede un monitoraggio e un miglioramento continui. È importante per l’impresa non lasciare che gli sforzi profusi per raggiungere la compliance svaniscano nel nulla quando ci si concentra su una nuova iniziativa, perché altrimenti potrebbero verificarsi spiacevoli sorprese. L’attenzione alla compliance deve essere uno slancio costante.
Suggerimento: utilizzare il modello di implementazione di COBIT® o l’approccio di miglioramento continuo dei servizi (Continual Service Improvement – CSI) di ITIL® e assicurarsi che la funzione interna di garanzia / audit sia costantemente attiva.
Lo Staff di PME