DSGVO: 4 consigli per la preparazione

Con i seguenti quattro consigli concreti Micro Focus Le aziende possono prepararsi al meglio per il Regolamento generale sulla protezione dei dati (GDPR) dell'Unione Europea:

1. Panoramica

Il GDPR è complesso: non si tratta più di semplici linee guida come nel caso della legge federale tedesca sulla protezione dei dati, ma vengono introdotte leggi fisse con conseguenze di vasta portata. Ad esempio, una violazione del GDPR a partire da maggio 2018 comporterà una multa ai sensi del diritto penale. Questo vale anche per le aziende che non hanno una sede nell'UE ma che vi operano: La sanzione può arrivare fino al quattro per cento del fatturato annuo globale. È quindi urgente intervenire nelle aziende. Un primo passo nella giusta direzione sarebbe la certificazione dell'azienda secondo lo standard internazionale ISO/IEC 27001. Per questo, vale la pena di introdurre un sistema di gestione della sicurezza delle informazioni (ISMS). Per le piccole e medie imprese, tuttavia, questo è di solito inutilmente costoso. E attenzione: anche la certificazione ISO non significa automaticamente conformità al GDPR! Pertanto, la prima priorità per ogni azienda dovrebbe essere quella di verificare quali misure hanno senso per la propria azienda in materia di sicurezza dei dati.

2. Dati della struttura

Il GDPR conferisce a ogni persona il diritto alla cancellazione dei propri dati, che un'azienda deve ovviamente soddisfare su richiesta. La definizione di dati personali è molto ampia: sono interessati anche gli indirizzi IP, gli ID utente e i cookie. A tal fine, tuttavia, è necessario innanzitutto avere una visione d'insieme del luogo in cui i dati personali vengono elaborati e conservati all'interno dell'azienda. Diventa subito chiaro che questo compito non è banale se si considera la misura in cui i dati vengono distribuiti nelle aziende tramite e-mail e memorizzati su supporti di dati locali. Coloro che hanno acquisito la padronanza dell'analisi, della classificazione e della gestione dei dati hanno una solida base per il DSGVO.

3. Controllo degli utenti e dei diritti di accesso

Nel contesto del GDPR, le autorizzazioni che consentono l'accesso ai dati personali devono essere riviste regolarmente. L'assunzione di dipendenti temporanei come stagisti, apprendisti o tirocinanti, così come i cambi di reparto, possono portare ad autorizzazioni non consentite dal GDPR. In linea di principio e indipendentemente dal GDPR, le aziende dovrebbero sottoporre tutte le autorizzazioni a una revisione periodica. Al fine di mantenere l'impegno per l'azienda entro i limiti, la frequenza della revisione dovrebbe essere basata sulla criticità dell'autorizzazione: le autorizzazioni critiche dovrebbero essere riviste regolarmente almeno ogni tre mesi, mentre una revisione annuale può essere sufficiente per le autorizzazioni meno critiche. Inoltre, i controlli delle autorizzazioni basati su eventi dovrebbero essere effettuati caso per caso, ad esempio in caso di cambio di reparto o di partenza di un dipendente.

4. Approfondisci

Il monitoraggio costante degli accessi a determinati dati, in particolare, aiuta a individuare tempestivamente eventuali violazioni della protezione dei dati. Secondo il GDPR, un attacco deve essere segnalato all'autorità di vigilanza entro 72 ore. Per raggiungere questo obiettivo, tuttavia, è necessaria una panoramica completa del panorama dei processi e dei sistemi. Tuttavia, se i processi sono esternalizzati a società esterne o in un cloud, può passare del tempo prima che un attacco diventi pubblico. Il supporto tecnico, ad esempio sotto forma di soluzioni SIEM, analizza il sistema quasi in tempo reale. Un programma SIEM centralizza la valutazione e l'archiviazione dei registri degli eventi, in modo da poterli esaminare tempestivamente. Un'alternativa è una soluzione di monitoraggio delle modifiche un po' più semplice. Sebbene non consenta di analizzare processi complessi, riduce già in modo significativo i tempi di reazione in caso di incidenti di sicurezza.

Conclusione: creare trasparenza

Oltre alla protezione dei dati, il GDPR pone una cosa al di sopra di tutto: la trasparenza. Le aziende devono formulare in modo chiaro e trasparente le modalità di utilizzo dei dati personali. Questo deve essere reso comprensibile: chi ha visto le informazioni e chi le ha utilizzate per cosa? Come vengono gestiti i trasferimenti transfrontalieri di dati? C'è già un responsabile della protezione dei dati in azienda che si occupa dei nuovi requisiti in modo aggregato? Anche se i dati personali sono conservati per conto di altre organizzazioni, le nuove norme devono essere rispettate: c'è molto da considerare.

Testo: Christoph Stoica, Direttore generale regionale di Micro Focus

Sono disponibili ulteriori suggerimenti per la preparazione qui