Sicurezza delle Informazioni

• ISO/IEC 27001 – Sicurezza delle Informazioni
• ISO/IEC 20000 – Sicurezza Sistemi IT
• ISO 28000 – Sicurezza catena di fornitura
• ISO 22301 – Business Continuity
• Regolamento Europeo UE 679/2016 e D,Lgs 196/2003 (Testo Unico Privacy)

ISO/IEC 27001 – Sicurezza delle Informazioni

Le informazioni custodite con mezzi informatici rappresentano ormai il 60% del capitale intellettuale aziendale. Sono pertanto un patrimonio aziendale la cui gestione diventa strategica per la tutela e lo sviluppo aziendale. Si tratta di garantire:

• Riservatezza: proteggere le informazioni chiave da accessi non autorizzati;
• Integrità: salvaguardare l’accuratezza e la completezza delle informazioni;
• Accessibilità: assicurarsi che i dati e le informazioni siano accessibili quando richiesto

LA SERIE DELLE NORME ISO/IEC 27000

Con la serie 27000 si intende normare tutto il settore della sicurezza delle informazioni, della gestione dei rischi, delle problematiche di metrica e misurazione, soprattutto dell’efficacia dei sistemi di sicurezza implementati, delle metodologie di attuazione.

La serie ISO 27000 è così articolata:

• ISO/IEC 27000: Principles and vocabulary
• ISO/IEC 27001: Information security management system – Requirements
• ISO/IEC 27002: Guidelines
• ISO/IEC 27003: ISMS Implementation guidance
• ISO/IEC 27004: Information security management metrics and measurement
• ISO/IEC 27005: ISMS Risk management

IL RUOLO DI M&IT CONSULTING

Il programma di consulenza M&IT Consulting è caratterizzato da forte pragmatismo, orientamento ai risultati ed utilizzo diffuso di tecnologie e supporti informatici tesi a snellire e rendere più efficaci le attività rispetto agli approcci tradizionali.

Il programma di consulenza per lo sviluppo del Sistema per la Gestione della Sicurezza delle Informazioni, si sviluppa secondo le seguenti fasi:

• La prima fase del progetto è costituita dall’Analisi Preliminare (chek-up gratuito presso l’azienda), attraverso la quale la M&IT Consulting stima il gap dei processi dell’Organizzazione dalla conformità necessaria alla certificazione e allo stesso tempo consente all’azienda di valutare la professionalità dei consulenti M&IT.

Il rapporto di analisi preliminare consente di elaborare il progetto su misura per l’azienda dettagliando l’investimento necessario in termini economici, di tempo e di risorse.

• La seconda fase, invece, prevede le seguenti attività:

L’impostazione dello standard ISO 27001 è coerente ed integrabile con quella del Sistema di Gestione per la Qualità ISO 9001 e il Risk Management: approccio per processi, politica per la sicurezza, identificazione, analisi dei rischi, valutazione e trattamento dei rischi, riesame e rivalutazione dei rischi, modello PDCA (PLAN-DO-CHECK-ACT), utilizzo di procedure e di strumenti come audit interni, non conformità, azioni correttive e preventive, miglioramento continuo.

REGOLAMENTO EUROPEO UE 679/2016 e D. LGS. 196/03 – TESTO UNICO PRIVACY

In Italia, in materia di trattamento e protezione dei dati personali è in vigore il Regolamento Europeo UE 679/2016 integrato dal Testo Unico Privacy D.Lgs 196/2003.

IL RUOLO DI M&IT CONSULTING

• CENSIMENTO E DISCRIMINAZIONE DEI DATI

Prevede la mappatura dei dati presenti (e quindi trattati) in azienda, classificandoli in comuni, comuni soggetti a forte rischio e sensibili. Per ogni famiglia di dati censita si provvederà alla registrazione degli strumenti utilizzati per il trattamento. In questo ambito sarà anche verificata la presenza di eventuali dati obsoleti ed inutilizzati, dati che non possono essere detenuti dall’azienda oltre un certo arco temporale.

• EVENTUALE NOTIFICA AL GARANTE

Qualora si rientri all’interno delle categorie per le quali è prevista la notifica all’AUTORITA’ GARANTE e non si possa ricorrere all’esonero in accordo con la Delibera dell’Autorità Garante emessa in data 7 Aprile 2004, si provvederà all’ottenimento della firma elettronica ed allo svolgimento della procedura di notifica elettronica.

• ANALISI STRUTTURA DEI RISCHI

Prevede l’individuazione del personale interno (ed eventualmente degli incaricati esterni) che provvede al trattamento dei dati valutando i possibili danni (ed il livello di probabilità degli eventi dannosi), analizzando le misure di sicurezza già attivate ed individuando quelle da attivare.

• DEFINIZIONE ORGANIGRAMMA E REDAZIONE DELLE NOMINE

Stesura della struttura organizzativa funzionale al trattamento dei dati ed individuazione delle singole responsabilità. Sarà, inoltre, predisposta la seguente documentazione: consenso informato per il trattamento, lettera di nomina dei responsabili, lettera di incarico.

• REDAZIONE DEL “MANUALE OPERATIVO DELLA PRIVACY” (attività facoltativa)

La situazione aziendale e le procedure organizzative a garanzia della sicurezza nei trattamenti saranno riassunte nel “MANUALE OPERATIVO DELLA PRIVACY”.

• REDAZIONE DELLE PROCEDURE GESTIONALI (attività facoltativa)

Le buone prassi e le regole da seguire per mantenere conforme l’organizzazione alla normativa sulla privacy saranno riassunte in procedure gestionali che, allo stesso tempo, daranno risposta alla necessità di fornire informazioni scritte e dettagliate agli incaricati del trattamento dei dati personali. Sarà inoltre preparato un REGOLAMENTO AZIENDALE PER L’UTILIZZO DEL SISTEMA INFORMATICO, rivolto a tutto il personale aziendale.

• INFORMAZIONE AL PERSONALE INCARICATO

Tutto il personale individuato come incaricato al trattamento di dati personali sarà coinvolto in un momento di informazione allo scopo di creare i presupposti per una corretta gestione dei dati di competenza. Tale momento, a seconda della numerosità delle persone, potrà svolgersi in forma di riunione (in tal caso si prevede la costituzione di gruppi omogenei e lo svolgimento di un incontro di 1 ora circa).

• FORMAZIONE DEL RESPONSABILE PRIVACY

Il responsabile delle Privacy riceverà, nel corso di tutto il progetto, una formazione on the job attraverso il coinvolgimento diretto in tutte le attività di valutazione e di stesura della documentazione.