Sicurezza delle informazioni e protezione dei dati
Si tratta di un problema che riguarda la nostra ISO o il nostro DPO, o è più o meno lo stesso in entrambi i casi? Chi è esattamente il responsabile di questo incidente e c'è bisogno di segnalarlo? Per discutere le analogie e le differenze tra la sicurezza delle informazioni e la protezione dei dati, il primo passo è definire le due aree.
La legge europea sulla protezione dei dati protegge principalmente solo le persone fisiche e mira a proteggere dal trattamento non autorizzato dei dati personali. Ciò si rifà al diritto all'autodeterminazione informativa, che è stato protetto in modo ancora più forte dopo l'introduzione del Regolamento generale sulla protezione dei dati e della legislazione circostante. Di conseguenza, si può affermare che il trattamento dei dati personali è fondamentalmente vietato, a meno che non sia consentito da norme giuridiche o dal consenso.
D'altra parte, la sicurezza delle informazioni è paragonabile all'allegato dei nostri accordi di elaborazione degli ordini, i TOM, ovvero le misure tecniche e organizzative per la protezione dei dati. La sicurezza delle informazioni riguarda la tutela di diversi obiettivi di protezione, quali:
- Riservatezza,
- Integrità,
- Disponibilità.
Per soddisfare i severi requisiti delle varie leggi e della protezione dei dati, le aziende devono implementare le più solide misure tecniche e organizzative per prevenire le violazioni della protezione dei dati e i cyberattacchi.
Le differenze risiedono nella motivazione
Mentre l'attuazione delle misure di protezione dei dati segue per lo più i requisiti di legge, l'attuazione della sicurezza delle informazioni nelle aziende non è così fortemente regolamentata. Esistono vari standard e specifiche, ma non vi è alcun obbligo in materia di sicurezza delle informazioni, come l'obbligo previsto dalle leggi sulla protezione dei dati di nominare un rappresentante al di sopra di una certa dimensione. Le differenze risiedono quindi nella motivazione. Mentre la sicurezza delle informazioni dovrebbe essere attuata nell'interesse di tutte le aziende, l'attuazione dei requisiti di protezione dei dati è regolata dalla legge e, almeno nel settore privato, è garantita da misure sanzionatorie.
Conflitti tra le due aree
Possono sorgere conflitti, soprattutto quando si considera l'archiviazione di dati personali. Ad esempio, questo conflitto sorge quando conserviamo i backup dei database dei nostri clienti per garantire l'obiettivo di protezione della disponibilità. In questo modo, però, agiamo potenzialmente contro i principi della protezione dei dati. Cosa succede se un cliente presenta una richiesta di cancellazione dei dati e noi dobbiamo cancellare tutti i dati personali? Un caso difficile nella pratica è la pulizia delle generazioni di backup proprio per queste richieste di dati. Dal punto di vista della sicurezza, vogliamo conservare i backup in caso di emergenza; dal punto di vista della protezione dei dati, dobbiamo cancellare parti dei dati e adempiere ai nostri obblighi nei confronti degli interessati. Un altro esempio sono i file di log. Monitorando i registri delle connessioni, possiamo verificare quali utenti hanno compiuto determinate azioni. In questo modo, garantiamo l'integrità e possiamo dimostrare quando qualcosa va storto. Dal punto di vista della protezione dei dati, tuttavia, l'archiviazione dei dati è per il momento vietata, a meno che non si riceva il consenso o vi sia una base legale.
In sintesi, si può affermare che la protezione dei dati e la sicurezza delle informazioni sono argomenti che dovrebbero essere considerati in modo olistico. Tuttavia, esiste un potenziale conflitto dovuto ai diversi obiettivi di queste aree. Noi di Increase Your Skills ci siamo prefissi di formare le persone in entrambi i settori nel miglior modo possibile, garantendo così un livello efficace di sicurezza e anche di protezione dei dati.