Cosa facciamoGDPRSicurezza informaticaWe do

CorsoDPO – Normative tecniche internazionali di sicurezza – Nome famiglia ISO 27001 e UNI 19011 – lezione 2

Con gli interventi sulle norme della famiglia ISO UNI IEC 27001 e sulla norma UNI 19011 si conclude il mini ciclo sulle normative internazionali di sicurezza tenuto dal collega Cenni (il report della lezione precedente è qui).

Anche in questo caso, essendo un argomento che conosco bene, mi concentro solo su alcuni aspetti che ritengo importanti.
Il parallelismo fra le norme della famiglia ISO 27001 e il GDPR è maracato.
Non a caso ritengo (e lo ritiene anche il comitato scientifico del corso) che sia molto importante considerarle per una corretta implementazione del nuovo regolamento.

ISO 27001

Partiamo da una considerazione più volte sottolineata da Cenni che mi trova perfettamente concorde: non è possibile implementare un sistema di gestione senza il coinvolgimento diretto dell’alta direzione.

Cenni ha più volte detto: “Se non c’è almeno un rappresentante del CdA durante l’audit, l’audit non prosegue nemmeno”.

IS0 27002

La norma è una linea guida che viene usata per controlli/audit ma diventa anche un ottimo spunto per la fase progettuale (privacy by design).

Anche in questo caso Cenni sottolinea più volte che al cambiamento del contesto deve cambiare essere riverificata l’analisi dei rischi.

Un’altra sottolineatura importante è quella che tutti i controlli effettuati devono essere ripetibili e verbalizzati.

La check list di un audit basata sulla ISO 27002 deve essere preparata prima dell’audit stesso.

ISO 19011

Anche questa norma, specifica per la conduzione degli audit può essere molto utile nell0 svolgimento delle attività del DPO.
Anche se specifica degli audit per i sistemi di gestione può essere il punto di riferimento degli audit condotti dal DPO o, aggiungo io, per gli audit da svolgere presso il fornitore.

Altra considerazione importante è sulla dimensione del campione da sottoporre ad intervista: un buon campione deve essere di almeno il 5% della popolazione.
Sarebbe però ottimale una dimesione del campione pari al 15-20%.

Conclusioni

L’esperienza di auditor di Cenni si vede e traspare dai tanti consigli pratici e dagli esempi che svariano dalla produzione della mortadella all’Apollo 13.

Raccolgo quindi ancora un paio di considerazioni.
L’istruzione tecnica deve essere preparata a mente fredda e prima che l’avverarsi di un evento rischioso accada (vedi Apollo 13) e non deve essere necessariamente scritta ma capita e applicata.

La seconda è la frase che lascio a conclusione di questo mini ciclo: siamo degli ottimi auditor/DPO se alla fine del processo di controllao contempliamo un piano di miglioramento.

Promo corsi

Per chi volesse approfondire parlerò di ISO 27001 nel corso presso lo Studio di Ingegneria Informatica Forense del collega Michiele Vitiello il 10 aprile.

Per la compliance al GDPR applicato al GDPR terrò un corso presso AQM il 17 aprile.