menu di navigazione del network

Misure Minime di Sicurezza ICT VS GDPR


(Andrea Tironi) #1

Buongiorno.

Apro un topic per convidere idee e preparaci insieme al percorso Misure Minime di Sicurezza ICT (MM da adesso) e GDPR.

Le MM sono misure concrete di cybersicurezza da applicare entro il 31.12. Quindi qui si parla di cybersecurity.

Il GDPR è dato da una serie di normative che tutelano la privacy dei dati raccolti da chiunque raccolga dati (la faccio semplice ma è per capire). Quindi si parla di privacy.

Per cui siamo al dilemma: security vs privacy oppure security & privacy che vanno e andranno sempre più a braccetto.

C’è qualche ulteriore relazione tra MM e GDPR?

Ho sentito dire da alcuni che le MM preparano al GDPR, da altri che il GDPR ha poco a che fare con le MM, che il CAD aiuterà a seguire anche il GDPR, che il GDPR potertà a delle MM versione 2, che le MM sono un sottoinsieme del GDPR.

Volevo capire meglio il rapporto tra i due oggetti e cosa ne pensate.

Grazie.

Andrea


(Andrea Tironi) #2

Aggiungo l’esperienza che ho acquisito.

Attualmente c’è il tema della Security VS Privacy, ovvero:

  • più sei sicuro meno privacy hai
  • più privacy hai meno sei sicuro

Va trovato il compromesso corretto, per mantenere i diritti democratici e contemporaneamente avere una buona sicurezza globale sia a livello fisico che cybernetico.

Le Misure Minime di Sicurezza ICT (MMdSI) sono chiaramente un aspetto di security, il GDPR un aspetto di privacy. Le due cose per alcuni aspetti vanno bilanciate, per altri si compensano.

Esempio: il GDPR dice che bisogna tenere i dati sicuri, ovvero vuol dire backup. le MMdSI dicono di tenere un backup e cryptare i dati. Teoricamente quindi MMdSI prepara a GDPR.

Va quindi capito come l’implementazione delle MMdSI possa al meglio preparare anche al GDPR. Vedo quindi le due cose non in contrapposizione, ma in sovrapposizione, con alcune aree complentari ed altre no.

Qualcuno ha altre considerazioni?

Andrea


(RobertoB) #3

Se ne parla da sempre. Ad oggi Security & Privacy vanno a braccetto. Almeno da un punto di vista tecnico. Nessuno con un po’ di cervello si sognerebbe di cifrare dati poco sensibili e lasciare in chiaro dati sensibili. Viceversa se devo custodire dati sensibili (per come definito dal codice della privacy) almeno una cifratura del disco la devo fare…

I miei 2 cents


(Andrea Tironi) #4

Nel tempo ho capito quanto segue:

  1. come ente ci stiamo focalizzando per rivedere i processi e i dati associati alla luce del GDRP
  2. le misure minime sono uno strumento e conseguenza logica, nel senso che se rivedo i processi e l’utilizzo dei dati devo anche dotarmi di strumenti di protezione e gestione degli stessi

Quindi le misure minime di sicurezza ICT sono una specie di sottoinsieme e aspetto propedeutico al GDRP.

Andrea


(Andrea Tironi) #5

Aggiungo una valutazione:

il GDRP operativamente porta a:

  1. scegliere un DPO
  2. redire il registro
  3. essere pronti in caso di data breach

Le fasi di assestment, gap analys e remediation, comportano nella fase di remediation l’individuazione di soluzioni tecnologiche e procedurali che fanno parte anche delle Misure Minime di Sicurezza ICT.


(Andrea Manica) #6

Sai se esistono software (in riuso) per tenere tale registro ?


(Andrea Tironi) #7

Ciao.

So che esistono software a pagamento per gestire registri, data breach, nomine etc etc

Andrea


(Andrea Manica) #8

Grazie mille.
Solo una piccola considerazione: Sui software a pagamento non avevo dubbi. Sarebbe bello e interessante avere una piattaforma condivisa dalle p.a. Magari provo ad aprire un argomento.


(Andrea Tironi) #9

Online vedo che inizia servizi di GDRP as a Service o DPO as a service o fai il GDPR in 10 minuti a 50 euro/mese.

Iniziano anche a mostrarsi software di GDPR compliance in regalo tipo con Office365.

Per una PA credo siano molto limitanti.

Il GDPR è l’occasione di rivisitare e ottimizzare i processi, per cui sono più per attività ad hoc e non industriali.

Andrea


(Daniele) #10

Buongiorno a tutti,

una domanda sul nuovo GDPR.

Ho sviluppato un piccolo gestionale che utilizza mia cognata per la gestione delle fatture.

Il gestionale è installato in locale, sfrutta come dbms access e non ha nessun tipo di collegamento ad internet. I dati restano sempre in locale e vengono salvati regolarmente la sera su un server che si preoccupa dei backup.

Trattandosi di un gestionale ad uso esclusivo per mia cognata ovviamente non ho predisposto una gestione del login e/o cifratura dei dati.

Con il nuovo GDPR quali sono le modifiche che dovrò attuare al gestionale?

Vi ringrazio
Daniele


(RobertoB) #11

Scusa…ma se è tua cognata il problema non si pone. :joy::joy::joy::joy:


(Daniele) #12

Vorrei evitare di trovarla fuori dal suo studio sdraiata sull’asfalto, qualcuno sa aiutarmi o sa a chi posso porre tali info? :wink:

Grazie


(Andrea Tironi) #13

Ciao.

Raccoglie dati di privati?

Se si, dal punto di vista informatico ti consiglio di seguire le misure minime

https://www.cert-pa.it/documents/10184/11403/Misure+minime+di+sicurezza/9ce41a34-2f46-41fa-88f0-d9da50939fdc

per la parte applicabile e per la messa in sicurezza della postazione (in caso di furto, danno o altro).

Per la parte di GDPR ti consiglio un consulto legale.

Andrea


(Daniele) #14

Ciao Andrea,

Grazie per la risposta. Sì il gestionale raccoglie i dati anagrafici (cognome, nome, codfis, recapiti) e dati legati alle prestazioni (è uno studio medico).

Perfetto leggerò quanto da te condiviso e proverò a sentire commercialista/studio legale.


(Andrea Tironi) #15

Per il tipo di utenza informatica (pc isolato etc etc) utilizza la colonna Min., credo siano più che buone per tua cognata. (ovviamente è un mio parere, ma credo sia un buon punto di partenza sia a livello economico che di sforzo informatico).

Andrea