La decisione delle organizzazioni in ordine alla programmazione ed attuazione delle strategie di sicurezza cyber non può limitarsi ad una gestione emergenziale ma deve avere una funzione proattiva, coinvolgendo le funzioni già presenti nell’ottica di un percorso evolutivo globale. In tutto ciò, è importante considerare fino a che punto può contribuire il DPO.
Le strategie di sicurezza cyber: le sinergie necessarie fra DPO e CISO
Le sfide digitali del Paese previste per l’anno 2023 sono molteplici e inevitabilmente coinvolgono la data protection. Fra queste, le novità attese in tema di sicurezza cyber interessano le organizzazioni su più ambiti come ad esempio governance, supply chain e gestione operativa. Per questo motivo è necessario un approccio strategico e la partecipazione attiva di tutti gli attori, fra cui non può che essere coinvolto anche il DPO sebbene debba porsi in una funzione ancillare e di consulenza rispetto al CISO. Ciò non comporta in alcun modo il venire meno dell’autorevolezza della funzione, ma è bene ricordare che il suo apporto è limitato ai processi in cui sono svolte attività di trattamento dei dati personali e soprattutto il risk-based-approach fa riferimento agli impatti che si possono realizzare nei confronti degli interessati e non nei confronti dell’organizzazione. Ovviamente, il carattere di complementarità non comporta alcun vincolo di subordinazione, anche perché ciò farebbe venire meno l’indipendenza funzionale necessaria per lo svolgimento della funzione stessa di DPO.
La distinzione degli ambiti di operatività fra la funzione del DPO e del CISO, inoltre, giova a potenziare le strategie di sicurezza cyber secondo una logica di ripartizione di competenze. La confusione dei ruoli, invece, è un indicatore negativo e può anche compromettere, o finanche danneggiare, le procedure adottate per la gestione della sicurezza dei sistemi, delle reti e delle informazioni. Allo stesso modo possono avere un impatto gravemente negativo tutte le difficoltà di comunicazione interna, siano esse derivanti dalla mancata predisposizione di flussi informativi o altrimenti alla mancata integrazione di tutte quelle attività necessarie di supporto quali possono essere, a titolo esemplificativo: il sostegno da parte del management; l’adeguatezza del budget programmato; la previsione di un piano di controlli periodici; la predisposizione di tavoli di lavoro per la gestione strategica di taluni aspetti generali (es. la gestione degli adempimenti NIS e NIS II); l’istituzione di gruppi di lavoro per la gestione di aspetti specifici (es. incident management, adeguamento infrastrutturale, riorganizzazione dei processi, adozione e impiego di determinate tecnologie).
Considerata la molteplicità degli interventi da programmare, attuare e controllare, è opportuno essere in grado di collocare un ordine di priorità agli interventi e, soprattutto, indicare degli ambiti di interesse generale da attenzionare all’interno di ciascuna organizzazione pubblica e privata. Il tutto, senza mai prescindere dal contesto operativo. Tanto premesso, assumere un criterio di riferimento per orientare tanto la programmazione strategica che l’implementazione operativa diventa di conseguenza fondamentale. Grazie alle indicazioni fornite in ambito di information security anche da parte delle normative tanto in ambito di sicurezza cyber che di protezione dei dati personali, questo criterio può essere facilmente riscontrato nello stato dell’arte e nell’implementazione della migliore tecnologia disponibile. Ciò significa però avere organizzazioni non solo con un elevato grado di consapevolezza degli scenari delle minacce e dei rischi inerenti, ma anche e soprattutto una certa maturità nella gestione della sicurezza cyber.
Così come un’organizzazione ha l’esigenza di designare un DPO adeguato nelle competenze in relazione ai compiti che dovrà svolgere, allo stesso modo un DPO può massimizzare il proprio contributo per l’attuazione di strategie di sicurezza cyber solamente venendo inserito correttamente all’interno di un assetto strutturato ed in grado di valorizzarne l’apporto. Ciò significa innanzitutto che si deve essere in grado di garantirne la posizione e riconoscerne le capacità di contribuire in modo positivo al miglioramento della sicurezza, coinvolgendolo sin dalla fase di progettazione delle strategie citate. Dopodiché, è necessario anche fornire risorse organizzative, informative e finanziarie sufficienti affinché possa svolgere la propria funzione nell’ottica di poter ad esempio informare e fornire consulenza tanto nei confronti dei vertici dell’organizzazione quanto verso tutto il personale che partecipa alle attività sui dati personali. Ed è in considerazione di ciò che un elemento distintivo dell’azione del DPO può essere individuato nella capacità di intervento sul fattore umano e su altre aree altrettanto valevoli per elevare, direttamente o indirettamente, la data maturity dell’intera organizzazione.
Ecco il “cybersecurity educator”: cosa fa e perché è importante in azienda
Le principali aree di intervento del DPO nelle strategie di sicurezza cyber
È noto che il fattore umano costituisce un elemento da considerare all’interno della gestione della sicurezza cyber. Di conseguenza, l’azione di attribuzione di responsabilità può avvenire tanto attraverso procedure e assegnazione di ruoli che con interventi attuativi delle politiche di sensibilizzazione ed informazione. Politiche che rientrano nell’ambito di sorveglianza del DPO[1] qualora riguardino la materia della protezione dei dati personali, il quale può indicare interventi necessari per elevare questi parametri che giovano ad aumentare il livello di data maturity dell’intera organizzazione. Nell’ipotesi di somministrazione della formazione e degli interventi di sensibilizzazione direttamente dall’ufficio del DPO, è bene un coordinamento operativo con il CISO al fine di individuare materie o cluster di destinatari verso cui svolgere interventi dedicati.
Nei controlli di supply chain, l’attività del DPO coinvolge innanzitutto ai fornitori che assumono il ruolo di responsabili del trattamento, con la verifica continua dell’adeguatezza degli stessi al rispetto del GDPR e della normativa in materia di protezione dei dati personali[2] e lo svolgimento di programmi di audit di seconda o terza parte. Per quanto impattante nella selezione dei fornitori, è bene ricordare che l’azione del DPO si limita al rilascio di una non conformità o altrimenti di una consulenza nei confronti dell’organizzazione o, se del caso, del CISO qualora le garanzie di sicurezza siano inadeguate, e mai in un intervento diretto nel processo decisionale. Altrimenti, andrebbe a decidere dei mezzi del trattamento ponendosi così in una posizione di conflitto d’interessi.
L’azione sinergica che emblematicamente rappresenta la cooperazione fra DPO e CISO riguarda l’incident management, a partire dalla rilevazione di eventi e anomalie, nonché tutte le procedure a seguire di analisi, reporting, decisione circa le misure di mitigazione e di contenimento, nonché predisposizione degli adempimenti richiesti dalla legge.
Per quanto riguarda i controlli documentali, poi, la verifica interna di coerenza del registro dei trattamenti, delle misure predisposte e le conseguenti verifiche di conformità della gestione della sicurezza dei trattamenti rappresenta un ulteriore punto di contatto per cui occorre attuare una piena collaborazione con il CISO. Altrimenti, il minore dei rischi è una diminuita efficienza con innalzamento dei costi strategici ed operativi. Il maggiore è che l’andamento in parallelo di due sistemi non integrati produca contraddizioni e reciproci ostacoli operativi.
La valutazione di adeguatezza del DPO
Non è infrequente che l’adeguatezza stessa del DPO possa diventare oggetto di valutazione da parte dell’organizzazione nell’attuazione delle strategie di sicurezza cyber. Ovviamente, sempre tenendo conto del limite di non rimozione indicato dall’art. 38 par. 3 GDPR. È possibile però che al crescere della complessità dell’organizzazione l’ufficio del DPO possa rivelarsi non adeguato, non tanto per la mancanza di skill quanto piuttosto per le risorse disponibili. Non sempre però è sufficiente un aumento delle risorse, ma può essere utile anche riorganizzare l’organigramma stesso andando ad intervenire sul soggetto designato internalizzando la funzione nell’organizzazione o altrimenti affidando la funzione prima svolta da un membro interno ad un soggetto in outsourcing. In questi casi quel che conta è la capacità di rendicontare la decisione sempre nell’ottica di migliorare il livello di protezione dei dati personali e di conseguenza l’efficacia del ruolo.
Per quanto riguarda l’adeguatezza delle skill del DPO, è bene ricordare che l’art. 38 par. 2 GDPR prevede un onere in capo all’organizzazione per garantire il mantenimento della conoscenza specialistica e dunque si dovrà provvedere a fornire supporto in tal senso. Supporto che può consistere anche nell’inserimento di ulteriori soggetti per affiancare la funzione del DPO, quali possono essere o consulenti legali, informatici o di organizzazione nonché i privacy specialist definiti dalla norma UNI 11697:2017.
Conclusioni
Se il mutare del contesto esterno, sia esso normativo o delle minacce, richiede alle organizzazioni maggiori sforzi per essere in grado di realizzare interventi proattivi nell’ambito degli scenari di rischio cyber, è indubbio che un corretto coinvolgimento del DPO all’interno delle strategie delineate in tal senso non può che essere di giovamento alle stesse. Non solo: la capacità di creare sinergie, così come altre soft skill caratteristiche della funzione, sono destinate a porsi in maniera preminente come i tratti caratteristici distintivi di un DPO che è in grado di contribuire in modo concreto all’aumento della sicurezza cyber dell’organizzazione. Ma questo è possibile solo se viene adeguatamente coinvolto all’interno di tutti i tavoli in cui vengono progettate e monitorate le fasi di implementazione progressiva delle strategie in ambito cyber.
