Sicurezza dei dati e delle informazioni

Quale deve essere l’investimento che un’azienda deve dedicare alla sicurezza dei propri dati e delle informazioni? Come valutare se sono state prese le contromisure per tutelare il proprio business e quello degli stake holders?

Se si deve riconoscere un pregio all’attuazione del DL 196/03 – Codice in materia di protezione dei dati personali – è sicuramente quello di aver diffuso la consapevolezza che le informazioni hanno un’importanza non trascurabile e vanno tutelate. Il decreto legislativo, però, si occupa solamente di tutelare gli interessi dei singoli individui e delle organizzazioni riguardo ai cosiddetti “dati sensibili” mentre non si cura di fornire indicazioni sulla protezione dei dati e delle informazioni strategiche per l’azienda.

Il valore delle aziende infatti è di gran lunga superiore agli asset tangibili di cui sono costituite perché si deve considerare anche il valore della conoscenza, dei dati e delle informazioni in esse residenti. In più, le aziende che manipolano i dati dei propri clienti (progetti tecnici, dati economici, strategie di mercato, archivi cartacei o informatici) sono depositarie di un valore che può essere oggetto di contenzioso qualora venisse reso inutilizzabile o divulgato alla concorrenza.

Da quanto osservato in questi ultimi mesi tutto lascia supporre che da qui in avanti vi sarà un aumento delle cause connesse ad una gestione impropria, dolosa o colposa, di informazioni ritenute riservate. Per tutelare la propria azienda da questi rischi è necessario predisporre contromisure adatte ad archiviare, conservare, proteggere e gestire i dati e le informazioni.

Quale deve essere l’investimento che un’azienda deve dedicare alla sicurezza, come valutare se sono state prese tutte le contromisure per tutelare il proprio business e quello dei propri stakeholders?

A questa domanda viene in aiuto una norma di recente pubblicazione: la ISO/IEC 27001 – Requisiti dei sistemi di gestione della sicurezza dei dati e delle informazioni. Il modello per realizzare un sistema atto a proteggere i dati aziendali è basato sul principio della valutazione del rischio. Attraverso la valutazione del rischio è possibile definire un programma di controllo e un sistema di obiettivi di sicurezza tali da permettere di valutare l’opportunità di prendere opportune contromisure o accettare il rischio residuo. Infatti quando il costo del sistema di prevenzione è superiore al rischio economico conviene accettare il rischio residuo o trasferirlo all’esterno con una opportuna copertura assicurativa.
M&IT Consulting ha messo a punto un sistema di calcolo del rischio che permette di quantificare economicamente il rischio in “euro/anno” permettendo al management aziendale di pianificare i propri investimenti sulla sicurezza dei dati ottimizzando il rapporto costo/risultato. Il procedimento messo a punto da M&IT prevede i seguenti passi:

definire lo scopo del sistema di sicurezza (quali sono i dati e le informazioni importanti per l’azienda)
definire l’estensione del sistema: estensione fisica e informatica, i punti di accesso e le aree di interscambio delle informazioni
valutare economicamente il valore di ogni classe di dati e il valore medio di un singolo record
individuare i processi di gestione dei dati e delle informazioni
valutare i pericoli che si corrono per ciascuna fase del processo
definire l’entità economica del danno in base alla classe dell’informazione ed alla sua estensione rispetto alla totalità dell’archivio
definire la probabilità di accadimento di una minaccia volta a sfruttare la vulnerabilità di una risorsa aziendale – la probabilità di accadimento viene valutata in termini di “numero di accadimenti all’anno”

A questo punto il rischio connesso al manifestarsi di una minaccia è dato dal prodotto della probabilità di accadimento per il valore economico della gravità degli effetti ed è proprio espresso in “euro all’anno”. A fronte delle diverse minacce vengono ricercate opportune contromisure. Il criterio di scelta di una contromisura è proprio quello di valutare economicamente il vantaggio economico (riduzione del rischio) rispetto al costo della contromisura stessa Il risultato dell’analisi è una valutazione economica delle contromisure ordinate per priorità. Il procedimento messo a punto da M&IT è molto efficace perché permette in breve tempo di acquisire una profonda conoscenza dei propri punti di debolezza e al tempo stesso di individuare gli interventi a maggior valore aggiunto.

Richiedici maggiori informazioni [ + ]

Modulo di contatto

Dati personali

Nome *

Cognome *

Azienda *

Sede

Contatti

Telefono

Cellulare

Fax

Email *

Messaggio *

Informativa richiedenti informazioni

INFORMATIVA RICHIEDENTI INFORMAZIONI in materia di servizi di consulenza di direzione AI SENSI DELL'ART. 13 D. lgs. 30.06.2003, n. 196 : M&IT Consulting INFORMATIVA RICHIEDENTI INFORMAZIONI in materia di servizi di consulenza di direzione AI SENSI DELL'ART. 13 D. lgs. 30.06.2003, n. 196

In osservanza di quanto previsto ai sensi e per gli effetti dell'art. 13 D. Lgs 30 giugno 2003, il titolare, M&IT Consulting S.r.l. con sede in Via Longhi 14/a Bologna, informa i soggetti richiedenti preventivi o progetti di lavoro su quali siano le finalità e modalità del trattamento dei dati personali raccolti, il loro ambito di comunicazione e diffusione, oltre alla natura del loro conferimento.

Finalità
I dati raccolti presso gli interessati a ricevere informazioni, preventivi o progetti di lavoro, costituiscono oggetto del trattamento e sono trattati ed utilizzati direttamente per adempiere a finalità strumentali alla richiesta inviata dagli interessati stessi.

Modalità
Il trattamento dei dati è eseguito attraverso procedure informatiche e comunque mezzi e strumenti elettronici all'uopo preordinati, e ancora per il tramite di strumenti diversi ovvero di supporti anche cartacei, e demandato nel rispetto delle disposizioni di legge a soggetti interni appositamente incaricati.

Comunicazione e diffusione
I dati personali così raccolti non saranno comunicati, diffusi, venduti o scambiati con soggetti terzi.

Diritti esercitabili
L'interessato potrà far valere i propri diritti come espressi dall'artt. 7, 8, 9 e 10 del D.Lgs. 30 giugno 2003 n. 196, rivolgendosi al titolare del trattamento. In particolare secondo l'art. 7 l'interessato potrà ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile. L'interessato ha diritto di ottenere l'indicazione: a) dell'origine dei dati personali; b) delle finalità e modalità del trattamento; c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici; d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell'articolo 5, comma 2; e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati. L'interessato ha diritto di ottenere: a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati; b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati; c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato. L'interessato ha diritto di opporsi, in tutto o in parte: a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta; b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.

Tempi di conservazione
I dati saranno conservati per sei mesi decorrenti dalla ricezione della richiesta al fine di soddisfare l'oggetto della medesima.

Natura del conferimento
Il conferimento dei dati è facoltativo ed è rimesso alla volontà dell'interessato. Per i dati successivamente ed eventualmente richiesti dal Titolare essi se rifiutati comportano l'impossibilità per questi di procedere all'invio delle informazioni, preventivo o progetti.

Consenso
Ai sensi del D. Lgs. 196/2003 il consenso al trattamento dei suddetti dati è necessario in quanto gli stessi sono raccolti fuori da accordi contrattuali pregressi. Si prega pertanto di spuntare sulla casella PRESTO IL CONSENSO.

A chi inviare specifiche richieste
Ogni richiesta inerente le modalità, le finalità e quanto altro afferente il trattamento in argomento dovrà essere inviata al titolare del medesimo:
M&IT Consulting S.r.l. con sede in Via Longhi 14/a - 40128 Bologna .
Tutti i diritti sono esercitabili anche scrivendo a: info@mitconsulting.it.

Titolare del trattamento:
M&IT Consulting S.r.l. - Via Longhi 14/a - 40128 Bologna
P. IVA 02086101207 - REA 91197950370 - Capitale Sociale € 100.000 i.v.

Dichiaro di aver letto preventivamente l'informativa
e di prestare il consenso al trattamento dei dati

(* dati obbligatori)

Uffici a Bologna, Milano, Torino.

CONSULENZA DI DIREZIONE

SISTEMI DI GESTIONE

FORMAZIONE

INFORMATION TECHNOLOGY

Sicurezza dei dati e delle informazioni