Apro un topic per convidere idee e preparaci insieme al percorso Misure Minime di Sicurezza ICT (MM da adesso) e GDPR.
Le MM sono misure concrete di cybersicurezza da applicare entro il 31.12. Quindi qui si parla di cybersecurity.
Il GDPR è dato da una serie di normative che tutelano la privacy dei dati raccolti da chiunque raccolga dati (la faccio semplice ma è per capire). Quindi si parla di privacy.
Per cui siamo al dilemma: security vs privacy oppure security & privacy che vanno e andranno sempre più a braccetto.
C’è qualche ulteriore relazione tra MM e GDPR?
Ho sentito dire da alcuni che le MM preparano al GDPR, da altri che il GDPR ha poco a che fare con le MM, che il CAD aiuterà a seguire anche il GDPR, che il GDPR potertà a delle MM versione 2, che le MM sono un sottoinsieme del GDPR.
Volevo capire meglio il rapporto tra i due oggetti e cosa ne pensate.
Attualmente c’è il tema della Security VS Privacy, ovvero:
più sei sicuro meno privacy hai
più privacy hai meno sei sicuro
Va trovato il compromesso corretto, per mantenere i diritti democratici e contemporaneamente avere una buona sicurezza globale sia a livello fisico che cybernetico.
Le Misure Minime di Sicurezza ICT (MMdSI) sono chiaramente un aspetto di security, il GDPR un aspetto di privacy. Le due cose per alcuni aspetti vanno bilanciate, per altri si compensano.
Esempio: il GDPR dice che bisogna tenere i dati sicuri, ovvero vuol dire backup. le MMdSI dicono di tenere un backup e cryptare i dati. Teoricamente quindi MMdSI prepara a GDPR.
Va quindi capito come l’implementazione delle MMdSI possa al meglio preparare anche al GDPR. Vedo quindi le due cose non in contrapposizione, ma in sovrapposizione, con alcune aree complentari ed altre no.
Se ne parla da sempre. Ad oggi Security & Privacy vanno a braccetto. Almeno da un punto di vista tecnico. Nessuno con un po’ di cervello si sognerebbe di cifrare dati poco sensibili e lasciare in chiaro dati sensibili. Viceversa se devo custodire dati sensibili (per come definito dal codice della privacy) almeno una cifratura del disco la devo fare…
come ente ci stiamo focalizzando per rivedere i processi e i dati associati alla luce del GDRP
le misure minime sono uno strumento e conseguenza logica, nel senso che se rivedo i processi e l’utilizzo dei dati devo anche dotarmi di strumenti di protezione e gestione degli stessi
Quindi le misure minime di sicurezza ICT sono una specie di sottoinsieme e aspetto propedeutico al GDRP.
Le fasi di assestment, gap analys e remediation, comportano nella fase di remediation l’individuazione di soluzioni tecnologiche e procedurali che fanno parte anche delle Misure Minime di Sicurezza ICT.
Grazie mille.
Solo una piccola considerazione: Sui software a pagamento non avevo dubbi. Sarebbe bello e interessante avere una piattaforma condivisa dalle p.a. Magari provo ad aprire un argomento.
Ho sviluppato un piccolo gestionale che utilizza mia cognata per la gestione delle fatture.
Il gestionale è installato in locale, sfrutta come dbms access e non ha nessun tipo di collegamento ad internet. I dati restano sempre in locale e vengono salvati regolarmente la sera su un server che si preoccupa dei backup.
Trattandosi di un gestionale ad uso esclusivo per mia cognata ovviamente non ho predisposto una gestione del login e/o cifratura dei dati.
Con il nuovo GDPR quali sono le modifiche che dovrò attuare al gestionale?
Grazie per la risposta. Sì il gestionale raccoglie i dati anagrafici (cognome, nome, codfis, recapiti) e dati legati alle prestazioni (è uno studio medico).
Perfetto leggerò quanto da te condiviso e proverò a sentire commercialista/studio legale.
Per il tipo di utenza informatica (pc isolato etc etc) utilizza la colonna Min., credo siano più che buone per tua cognata. (ovviamente è un mio parere, ma credo sia un buon punto di partenza sia a livello economico che di sforzo informatico).