normativa

CISO e DPO, cosa fanno in azienda e come supportano l’efficienza

Home Sicurezza digitale Privacy
Indirizzo copiato

CISO e DPO sono figure emerse nelle realtà produttive con l’introduzione delle norme del GDPR, la loro importanza è anche di natura strategica: vediamo il loro ruolo

Pubblicato il 16 ott 2023
Federica Maria Rita Livelli

Business Continuity & Risk Management Consultant, BCI Cyber Resilience Group, Clusit, ENIA

Looking,At,European,Union,Gdpr,Bits,And,Bytes,Through,Magnifying

Negli ultimi anni si sono verificati cambiamenti sostanziali nel campo della protezione dei dati, soprattutto con l’entrata in vigore, nel 2018, del GDPR. Ora, nel quinto anno dalla sua introduzione, è possibile fare una panoramica sugli sviluppi e su ciò che ci riserva il futuro, sia in termini di tecnologia sia di normative, oltre ai necessari cambi di paradigma.

In questo contesto emerge l’importanza dei ruoli del CISO e del DPO in azienda: vediamo cosa fanno e come sono indispensabili per migliorare l’efficienza delle realtà produttive attraverso adeguate pratiche manageriali.

Consenso al trattamento dei dati personali: guida alla raccolta e relativa gestione

Scenario e norme a cinque anni dall’entrata in vigore del GDPR

Negli ultimi anni, il panorama della protezione dei dati è stato ridefinito dal GDPR, entrato in vigore nel 2018 che ha avuto un impatto rilevante, portando a una maggiore consapevolezza sulla privacy e alla creazione di nuovi ruoli, come i Data Protection Officer (DPO). Questo regolamento ha anche influenzato le leggi sulla protezione dei dati in tutto il mondo, con molti paesi che hanno adottato normative simili.

Tuttavia, ci sono ancora alcune sfide rimanenti da affrontare. Di fatto, le PMI devono ancora far fronte alla gestione dei dati in conformità con il GDPR. In aggiunta, l’applicazione del GDPR al di fuori dell’Unione Europea rappresenta un problema complesso.

Ancora, l’integrazione delle nuove tecnologie con le normative sulla privacy rimane un punto critico dato che, nonostante i principi di privacy by design e privacy by default abbiano catalizzato un cambiamento significativo nell’approccio alla protezione dei dati, facilitando l’integrazione della sicurezza fin dalle prime fasi dell’elaborazione dei dati, l’interazione tra le nuove tecnologie e le regole sulla privacy continua a essere un aspetto da affrontare.

Data protection, un processo continuo

È doveroso sottolineare come, grazie al GDPR, la tutela dei dati sia stata trasformata in un processo continuo, anziché un singolo compito isolato, allo scopo di migliorare la sicurezza dei dati e di affrontare la gestione dei sistemi di intelligenza artificiale, in particolare dell’intelligenza artificiale generativa. Di fatto, in questo contesto, la protezione dei dati è un elemento cruciale nello sviluppo e nell’attuazione di sistemi che si basano sull’intelligenza artificiale, compresi il machine learning e la costruzione di modelli legati all’elaborazione di grandi volumi di dati.

Il ruolo dell’UE

In questa prospettiva, l’Unione Europea sta lavorando per individuare il punto di contatto tra l’Artificial Intelligence Act (AI Act) e il GDPR, al fine di garantire la cybersecurity e la protezione dei dati. Questa sfida rappresenta uno dei maggiori compiti che le organizzazioni devono affrontare oggi, soprattutto considerando l’incremento degli attacchi ransomware. Inoltre, l’emanazione di regolamentazioni come il Digital Operational Resilience Act (DORA) e la Direttiva NIS2 sulle misure per un alto livello comune di cybersecurity in tutta l’Unione – senza dimenticare il Data Governance Act, e-Privacy Regulation, Cyber Resilience Act – è stata intrapresa con l’obiettivo di creare un approccio ampio e strategico che intrecci pratiche di protezione dei dati e cybersecurity.

Poiché ci si trova ad affrontare l’imprevedibile certezza dei cyber attack in continuo aumento, è essenziale garantire un elevato livello di protezione attraverso collaborazione e coordinamento operativo. Pertanto, si tratta, innanzitutto, di avere una comprensione approfondita dei contesti e degli asset, per poi sviluppare consapevolezza delle vulnerabilità, identificare rischi e valutarne impatti. propedeutici alla progettazione di piani di disaster recovery, continuità operativa e cybersecurity. Inoltre, sarà altrettanto necessario attuare programmi di formazione e di sensibilizzazione mirati che dovrebbero coinvolgere tutti gli interessati.

Ancora, la considerazione del quadro giuridico in evoluzione a livello europeo – orientato sempre di più verso un approccio risk-based e resilience-based rappresenta un passo fondamentale per la protezione e disponibilità dei dati e garanzia della privacy.

CISO e DPO: cosa fanno in azienda

Il GDPR e le recenti regolamentazioni in termini di cybersecurity in Europa mirano, come accennato, a garantire una gestione strutturata dei dati e della sicurezza degli asset. Ne consegue che il DPO (Data Protection Office) e il CISO (Chief Information Security Officer) devono lavorare a stretto contatto, in modo garantire sia la cyber resilienza sia la resilienza dei dati sempre più necessari in scenari sfidanti ed in continua evoluzione. Vediamo quali attività prevedono i due ruoli.

CISO – Si occupa di definire e implementare le politiche di sicurezza informatica, garantendo la protezione dei dati personali e l’integrità dei sistemi informativi.

DPO – È un esperto professionista il cui ruolo richiede una combinazione di competenze diverse, includendo conoscenze giuridiche, competenze nell’ambito dell’informatica, abilità nella gestione del rischio e capacità di analisi dei processi aziendali. La sua mission è quella di comprendere il contesto e di mettere in atto una politica di gestione del trattamento dei dati personali all’interno dell’organizzazione, per adempiere alle normative di riferimento

Sinergia tra CISO e DPO

La sinergia tra CISO e DPO permette di sviluppare una strategia olistica per la gestione e la protezione dei dati, riducendo al minimo i rischi di violazione del GDPR e garantendo la conformità alle norme sulla privacy e contribuire a garantire la continuità operativa in relazione alla protezione dei dati personali. Di seguito alcuni punti chiave della sinergia tra CISO e DPO.

  • Effettuare la valutazione dei rischi – Il CISO e il DPO collaborano per identificare e valutare i rischi associati alla gestione dei dati personali. Questa analisi dei rischi aiuta a individuare le aree critiche e a sviluppare piani di continuità operativa specifici per la protezione dei dati.
  • Progettare piani di risposta agli incidenti – Il CISO e il DPO lavorano insieme per sviluppare e testare piani di risposta agli incidenti, al fine di affrontare eventuali violazioni della sicurezza e minimizzare l’impatto sulla continuità operativa. Questi piani includono procedure per la notifica delle violazioni e per il ripristino delle operazioni.
  • Garantire la protezione dei dati – Il CISO si occupa di implementare misure di sicurezza tecniche e organizzative adeguate a proteggere i dati personali, mentre il DPO fornisce consulenza sulla corretta gestione dei dati e sulla conformità al GDPR. Insieme, assicurano che le misure di protezione siano adeguate a garantire la continuità operativa anche in caso di incidenti o violazioni.
  • Garantire Formazione e cultura della sicurezza – Il CISO e il DPO promuovono la formazione e la consapevolezza del personale sull’importanza della protezione dei dati personali e sulla conformità al GDPR, contribuendo sia a migliorare la cultura della sicurezza all’interno dell’organizzazione sia a garantire la continuità operativa mediante una corretta gestione dei dati.
  • Mantenere aggiornata la politica sulla privacy – Avere un’informativa sulla privacy rivolta al pubblico è necessaria e deve essere conforme alla legislazione attuale sulla privacy. Nello specifico, nell’attuale contesto normativo in rapida evoluzione, ciò significa rivedere regolarmente la politica e garantire che eventuali modifiche ad essa apportate siano comunicate in modo chiaro e accurato sia ai dipendenti sia ai propri stakeholder interni ed esterni.
  • Rivedere i contratti dei fornitori e aggiornarli in linea con qualsiasi nuova legislazione – I fornitori che elaborano i dati per conto dell’organizzazione devono rispettare qualsiasi nuova legislazione sulla privacy dei dati. Di conseguenza, è fondamentale garantire che i contratti dei fornitori riflettano eventuali nuovi obblighi.
  • Adottare una solida governance dei dati e protocolli interni – Si tratta di utilizzare strategie quali: flussi di lavoro predeterminati, gestione dei diritti digitali e criteri di conservazione dei dati per garantire che il ciclo di vita dei dati sia conforme ai requisiti normativi del settore in cui opera l’organizzazione.
  • Coinvolgere CISO e DPO in ogni progetto – Si consiglia alle organizzazioni di coinvolgere CISO e DPO sin dalle prime fasi di qualsiasi progetto per risparmiare tempo e denaro preziosi, grazie al miglioramento del livello di sicurezza e privacy dei dati elaborati. Infatti, lavorando a stretto contatto con gli sviluppatori di un’organizzazione essi possono integrare in modo proattivo la protezione dei dati nei prodotti dell’azienda.
  • Definire linee guida di cybersecurity – La definizione delle linee guida per la sicurezza delle informazioni e la protezione dei dati contribuisce a migliorare la chiarezza delle azioni necessarie e a proteggere l’organizzazione oltre ad aumentare la fiducia del personale, dei clienti e di altre parti interessate.
  • Gestire flussi di dati e creare registri – È quanto mai importante gestire la moltitudine di flussi di dati provenienti da una varietà di fonti diverse che deve essere documentata attraverso la creazione di un registro. In tal senso, il DPO può aiutare il CISO a monitorare i vari flussi di dati e insieme predisporre un efficace registro delle attività in grado di rispondere a domande come “Dove vengono utilizzate esattamente queste informazioni?”, “Chi le utilizza?” e “A chi vengono trasferiti questi dati?” Infatti, il CISO è interessato a queste informazioni dal punto di vista della sicurezza, mentre il DPO deve essere in grado di gestire i problemi di privacy.
  • Gestire la violazione dei dati – Il DPO ed il CISO dovrebbero lavorare a stretto contatto anche in caso di violazione dei dati o violazione della privacy. Di fatto, le organizzazioni, dopo una violazione, dovrebbero condurre una valutazione del rischio durante la quale il DPO svolge un ruolo consultivo, oltre a controllare l’infrastruttura di sicurezza esistente del CISO che supporterà il DPO nel rispondere a domande come: “Un incidente come questo può accadere altrove?”; “Come possiamo proteggerci?”; “Quali dati effettivamente sono necessari?”, ecc.

Concludendo, lavorando a stretto contatto, il DPO può aiutare il CISO a proteggere i dati in modo più efficiente raccogliendo solo i dati più necessari e mantenendo i clienti ben informati sul trasferimento e sull’utilizzo dei dati.

Inoltre, la collaborazione tra DPO e CISO è in grado di garantire il trasferimento dei dati da un luogo a un altro in modo sicuro e legale, riducendo notevolmente la possibilità che si verifichi una violazione della sicurezza e, in ultima analisi, aiutando l’organizzazione a risparmiare tempo e denaro.

CISO e DPO per l’efficienza in azienda: i processi da adottare

Le pratiche manageriali che possono essere adottate, sono:

  • Riduzione dei dati duplicati – Ci sono molte ragioni per duplicare intenzionalmente i dati. Per scopi di backup, ad esempio, nonché per la creazione di copie di ripristino di emergenza dei dati e per il controllo della versione. Ci sono anche casi in cui vengono creati dati simili, a causa di processi ripetuti. Il risultato può essere la memorizzazione di dati non necessari. L’impostazione di un processo manuale o automatizzato che controlli regolarmente i dati e rimuova i duplicati può aiutarti a gestire meglio i tuoi dati e ridurre il costo dell’uso non necessario dello spazio di archiviazione. Ciò mantiene anche i dati puliti e pronti per l’analisi e le query.
  • Focus sulla qualità dei dati – Il mantenimento di un elevato livello di qualità è fondamentale per garantire che i dati dell’organizzazione siano utilizzabili e pertinenti. Le aziende non hanno bisogno di conservare tutti i dati che generano, dato che, in molti casi, un’organizzazione può creare una costosa “palude di dati” che raccoglie dati di bassa qualità o irrilevanti, che non possono essere realmente utilizzati”. Un altro modo per garantire la qualità dei dati è convalidare continuamente l’accuratezza dei dati. Conservare i vecchi dati è utile per l’analisi aziendale, ma prima di conservarli, è necessario verificare che siano accurati, pertinenti ed effettivamente adatti per svolgere un’analisi continua. Lo stesso vale per i dati in tempo reale generati dai sistemi di produzione.
  • Dare priorità alla protezione e alla sicurezza dei dati – La strategia di gestione dei dati dovrebbe essere aggiornata continuamente per soddisfare gli standard di sicurezza e privacy dei dati, come stabilito dalle entità normative in cui l’organizzazione opera. Di seguito le principali misure di protezione dei dati per proteggere i tuoi dati:
  • Controllo degli accessi: questi controlli consentono all’organizzazione di specificare i privilegi per ogni tipo di utente. L’obiettivo è prevenire l’abuso di credenziali.
  • Crittografia: trasforma i dati in codice privo di significato, che può essere decifrato solo da chiavi controllate dall’organizzazione. L’obiettivo è garantire che i dati importanti non possano essere utilizzati anche in caso di accesso da parte di persone non autorizzate.
  • Sicurezza fisica: utilizzo di tecniche come l’hardening per aiutare a proteggere i dati archiviati sui dispositivi e garantire la presenza di solide misure di sicurezza nella struttura fisica.
  • Configurazione del monitoraggio e degli avvisi – I processi e i sistemi di monitoraggio aiutano l’organizzazione a ottenere visibilità nei repository di dati. I processi di monitoraggio dovrebbero essere basati su metriche che forniscano approfondimenti specifici e attuabili su modelli ed eventi importanti che influenzano i dati.
  • Automatizzazione di classificazione dei dati e monitoraggio – Maggiore è il numero di dati, più difficile diventa mantenere la visibilità. Pertanto, l’organizzazione – per estendere la portata e il controllo – può sfruttare i sistemi automatizzati di classificazione dei dati e gli strumenti di monitoraggio che utilizzano l’analisi comportamentale e generano avvisi solo se il comportamento si discosta dalla norma, riducendo al minimo i falsi positivi.

Conclusioni

Sono trascorsi cinque anni dall’entrata in vigore del GDPR e le organizzazioni e il settore della sicurezza informatica dovranno continuare a garantire la conformità e migliorare la resilienza informatica in un percorso sine die, sviluppando una cultura del miglioramento informatico continuo, oltre ad essere in grado di affrontare nuove sfide in termini di normative attuali, imminenti e future relative ai dati, quali: Data Governance Act, Data Act, e-Privacy Regulation, NIS2, DORA, Cyber ​​Resilience Act, ecc.

In particolare, l’intelligenza artificiale, i sistemi intelligenza artificiale generativa come ChatGPT e la biometria rappresentano una grande sfida per le leggi dell’Unione Europea dato che comportano la necessità di proteggere i dati e la privacy. Pertanto, le organizzazioni dovranno, dal conto loro, utilizzare i dati in modo trasparente, proteggerli e renderli accessibili in conformità con le leggi e le regole vigenti e future.

Inoltre, dobbiamo pensare alla privacy e alla sicurezza dei dati in modo sostenibile affinché sia le organizzazioni sia gli individui ne traggano vantaggio, dimostrando la necessità un cambio di approccio atto a promuovere una migliore conformità e maggiori investimenti per garantire un trattamento dei dati sostenibile, sicuro e legale. Ovvero, una migliore protezione degli interessati, dei consumatori e dei cittadini in una società e un’economia basate sui dati più rispettosi e sostenibili.

Le organizzazioni dovranno sempre più adottare un approccio risk-based e resilience-based quale calibrata sintesi dell’implementazione dei principi di risk management, business continuity e cybersecurity propedeutici alla conformità delle normative in termini di privacy e sicurezza dei dati.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • approfondimento

    AI e camere di commercio, ecco i servizi e le sperimentazioni

    28 Mag 2024

    di Domenico Tarantino

    Condividi

  • scenari

    IA, privacy a rischio? Come tutelarla, le strategie UE e USA

    23 Gen 2024

    di Filippo Benone, Anna Cataleta e Aurelia Losavio

    Condividi

  • PNRR

    Competenze digitali, in Italia progressi troppo lenti: il ruolo dei centri di facilitazione

    12 Lug 2024

    di Mirta Michilli

    Condividi

Prossimo

AI e camere di commercio, ecco i servizi e le sperimentazioni

Articolo 1 di 4