EU GDPR: Vulnerability Assessment utile per adeguarsi

Condurre una Vulnerability Assessment risulta una pratica fondamentale per documentare in maniera inequivocabile l’importanza che viene riconosciuta alla sicurezza e al mantenimento di livelli adeguati di protezione.
Che cosa è una vulnerability assessmentOvviamente il GDPR non cita esplicitamente nessun prodotto o servizio, come del resto non elenca specifici requisiti di sicurezza, ma ribadisce in più punti la necessità di mettere in campo tutte quelle azioni volte a garantire la sicurezza che normalmente si considerano efficaci per essere in regola.
Benché alle aziende piaccia pochissimo l’incertezza, esse infatti preferirebbero una check-list da smarcare, un Regolamento europeo deve prescindere dal mercato e dalla tecnologia in voga al momento, per stabilire dei principi capaci di garantire la sicurezza dei dati in modo duraturo e continuativo senza apparire obsoleti.

Così, proprio in quest’ottica, la Vulnerability Assessment risulta una componente fondamentale per dimostrare che le problematiche poste dal trattamento e dalla protezione dei dati sono state prese in giusta considerazione dall’azienda. La Vulnerability Assessment infatti non è altro che uno di quegli strumenti che un’azienda ha interesse ad utilizzare per mantenere in efficienza i sistemi che raccolgono, archiviano e gestiscono dati personali.
Così la volontà di mantenersi a norma con il GDPR spinge le aziende e le organizzazioni che trattano dati personali di cittadini europei a mettere in atto misure adeguate per garantirne la sicurezza e la riservatezza. Inoltre, il GDPR non abroga direttamente altre leggi o provvedimenti in materia di protezione dei dati, se non del tutto incompatibili, ma, in mancanza di appositi interventi legislativi, vi si aggiunge in parallelo.
Certamente la compliance con SOX, HIPAA, PCI DSS, OWASP Top 10 e ISO 27001 può essere di aiuto, ma il GDPR ha le sue peculiarità, in particolare per quello che riguarda la reportistica. Ecco perché un servizio di Vulnerability Assessment è solitamente un buon punto di partenza per essere in regola con tutti i requisiti.

Gli articoli del GDPR che coinvolgono la Vulnerability Assessment

Ecco un’analisi che vuole spiegare quanto la Vulnerability Assessmentsia di aiuto nella GDPR Compliance, prendendo in riferimento i singoli articoli del Regolamento.

GDPR Vulnerability Assessment
Articolo 32 (pag. 51) Sicurezza del trattamento. “Il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:” “b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” La Vulnerability Assessment è un servizio volto ad assicurare la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento dei dati. Quando applicata ai sistemi su cui avviene il trattamento dei dati, la Vulnerability Assessment può monitorare le security policy, identificare e tracciare le vulnerabilità e soprattutto documentare le azioni correttive messe in campo.
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. La Vulnerability Assessment è la tecnologia che permette di testare, valutare e documentare non solo il livello di sicurezza applicato, ma anche l’effettivo ripristino della sicurezza
Articolo 39 (pag. 56) – Compiti del responsabile della protezione dei dati – 1. Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti: …b) sorvegliare l’osservanza del presente regolamento. La Vulnerabilità Assessment offre la possibilità di produrre una reportistica capace di dimostrare che sono state implementare misure di sicurezza adeguate e che sono state effettuate tutte le azioni del caso per mitigare le vulnerabilità
Articolo 57 (pag. 68) – Compiti [delle Autorità di controllo] – … sul proprio territorio ogni autorità di controllo: … h) svolge indagini sull’applicazione del presente regolamento… La Vulnerability Assessment produce report dettagliati sugli assett, sulle loro vulnerabilità e sul ripristino della sicurezza. Fornisce un dettagliato racconto degli assett digitali impiegati nel trattamento dei dati, offrendo un log dettagliato per indagini future.
Articolo 30 – Registri delle attività di trattamento – “Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la sua responsabilità”

Articolo 35 – Valutazione di impatto sulla protezione dei dati – “7. La valutazione contiene almeno: c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; e d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione”.

I risultati delle scansioni VA possono essere utilizzati per contribuire alla redazione dei Registri delle attività di trattamento e delle Valutazioni di impatto sulla protezione dei dati. I contributi includeranno le informazioni sulle vulnerabilità e sulle attività previste per l’eventuale ripristino della conformità.

Usare la Vulnerability Assessment per preparare la GDPR Compliance

Preparandosi per essere conformi al GDPR e alle sue regole, le aziende e le organizzazioni devono osservare una serie di azioni minime di controllo per evitare sanzioni ma soprattutto per non perdere la fiducia dei loro clienti.

La Vulnerability Assessment offre la possibilità di implementare alcune di queste azioni, quali:

  • Uno sguardo all’ambiente IT per scoprire punti ciechi o zone in ombra su cui non si ha pieno controllo
  • Continui aggiornamenti sia del controllo sulle vulnerabilità sia, e soprattutto, delle azioni di remediation
  • L’individuazione delle priorità sugli assett a rischio
  • Un affidabile supporto alla redazione della reportistica per la GDPR Compliance
  • Integrazione con i sistemi di “security information and event management”

È evidente che per essere in regola con il GDPR ogni azienda debba avere per prima cosa una visione completa di tutti gli asset informatici che concorrono nelle attività di trattamento dei dati. Visione tutt’altro che scontata nella realtà dei fatti, poiché nelle aziende di una certa dimensione esistono sempre numerosi punti ciechi o zone d’ombra difficili da individuare o a cui non si pensa. La Vulnerabilità Assessment ricerca in maniera obbiettiva le minacce e le vulnerabilità anche negli ambiti a cui non si pensa o in cui non si crede possano annidarsi problemi, per poi fornire tutti gli strumenti opportuni e necessari per ripristinare il corretto livello di sicurezza.

 

By continuing to use the site, you agree to the use of cookies. more information

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close