Cosa facciamoGDPRSicurezza informatica

CorsoDPO – Architettura IT e sicurezza informatica

Le lezioni di questo fine settimana sono state tenute dagli ingegneri Giulio Destri e Cosimo Cumella e vertevano su Architettura IT e sicurezza dei dati.

Si entra in argomenti più ingegneristici e con un po’ di senso di colpa mi accorgo di aver preso pochi appunti.

Lezione di Giulio Destri

Conosco Giulio Destri da qualche anno ma non avevo mai assistito ad una sua lezione.
Devo dire che ho riconosciuto molti degli insegnamenti di Claudio Maffei.
Giulio aveva il compito di fare da cerniera fra gli aspetti giuridici e l’introduzione a quelli più squisitamente tecnici.
Compito sicuramente non facile vista l’ampiezza dell’argomento che doveva trattare e l’eterogeneità del pubblico.

Il mio bigino non esaustivo

Tralascio gli aspetti tecnici che hanno spaziato dall’architettura client-server alla crittografia, passando per l’evoluzione dei sistemi di gestione dei dati.
Mi limito solo a una schematizzazione veloce e riassuntiva (prendendo solo spunto da quanto detto da Destri):

  • attualmente le architetture IT sono un insieme complesso di server con funzioni specifiche, unità di memorizzazione sia interna che esterna (NAS, SAN e Cloud), di client (siano essi pc o dispositivi mobili) e apparati di rete;
  • ogni nodo di questa architettura va controllato e gestito;
  • i dati dell’organizzazione, non solo quelli personali, sono conservati non solo in file ma in un insieme di basi di dati più o meno strutturate (DBMS) che hanno caratteristiche peculiari;

E’ fondamentale conoscere dove si trovano i dati e in che forma nell’architettura IT dell’organizzazione per poterli proteggere al meglio.

La cifratura è un processo complesso che si è decisamente evoluto nel tempo.
E’ necessario valutare con attenzione con che algoritmo cifrare e cosa cifrare.
L’operazione di cifratura è infatti dispendiosa dal punto di vista computazionale e potrebbe pregiudicare, se usata in modo troppo esteso e indiscriminato, portare alla limitazione della disponibilità delle informazioni.

 

Finito il mio bigino riprendo a descrivere quanto detto da Destri che ha anche accennato ai framework ITIL, COBIT e TOGAF e alle loro correlazioni.

Ritengo molto importante quanto più volte ribadito da Destri, anche alla luce delle richieste presenti nell’articolo 32 del GDPR: è fondamentale non solo creare le procedure, ma anche testarle, verificarle e valutarle.

Destri ha inoltre ribadido un altro concetto fondamentale: nei contratti IT è necessario valutare con attenzione il Service Level Agreement (SLA).

Lezione di Cosimo Cumella

L’intevento di Cumella verteva soprattutto su come viene declinata la sicurezza all’interno del GDPR.

Questa sembra limitata all’articolo 32; in realtà è molto presente nei considerando, si vedano i considerando 39, 49, 78, 81 e 83.

Pochi altri spunti che ritengo interessanti.

Oltre al registro dei trattamenti il Garante potrebbe richiedere una mappa di dislocazione geografica dei dati che può essere espressa in un linguaggio standardizzato che potrebbe essere l’UML.

A proposito del registro dei trattamenti, Cumella ha evidenziato che i dati riportati nell’articolo 30 possono anche essere arricchiti per dare un quadro più completo del trattamento in atto.
Probabilmente nel giro di pochi mesi i Garanti forniranno dei modelli per la compilazione del registro dei trattamenti.

Conclusioni

Per i tecnici pochi spunti interessanti anche se penso che i colleghi avvocati che condividono con noi questo percorso avranno parecchi argomenti da approfondire 😉