Security & Privacy

ISO 27001 e D. LGS. 196/03

Sei in: Home > Divisioni > Divisione Consulenza > Security & Privacy

SECURITY & PRIVACY

La corretta gestione delle informazioni è un aspetto cruciale per ogni organizzazione e la tutela delle informazioni riservate implica doveri specifici. Le informazioni sono una risorsa essenziale per la gestione del proprio business, esse devono essere considerate al pari di veri e propri asset.
Le informazioni sono sottoposte a molte minacce: errori nei sistemi, furti, uso improprio, accesso non autorizzato, virus, ecc.
Gli impatti di una violazione della sicurezza delle informazioni possono essere molto significativi: danni economici, danni d’immagine, ecc
L’accesso non autorizzato a informazioni chiave o al capitale di conoscenza oppure la perdita di dati sensibili possono avere un impatto fortemente negativo per le aziende, ad esempio l’interruzione delle operazioni, la perdita di un vantaggio strategico, la vulnerabilità alle frodi e il danno di reputazione.
La maturità di un’Azienda in termini di sicurezza si misura non tanto nel livello tecnologico delle misure adottate quanto piuttosto nella sua capacità di gestire con efficienza questo sistema.

ISO 27001
La ISO 27001:2005 è uno standard internazionale che ha l’obiettivo di guidare le organizzazioni alla corretta costruzione di un Sistema di Gestione della Sicurezza delle Informazioni. Certificare il Sistema di Gestione della Sicurezza delle Informazioni significa dimostrare ai clienti che le informazioni in proprio possesso sono adeguatamente protette a prescindere dal metodo di archiviazione, cartaceo o elettronico, o dal know-how di ogni singolo individuo.
L’impostazione dello standard ISO 27001 è coerente con quella del Sistema di Gestione per la Qualità ISO 9001, per l’Ambiente ISO 14001, la Sicurezza OHSAS 18001, ed il processo di Risk Management.
Gesta, 365 giorni l’anno, offre supporto alle aziende che intendono applicare tale modello articolando l’attività come segue:

    • Realizzare un’accurata analisi dei rischi relativi al patrimonio informativo aziendale
    • Stabilire la politica del SGSI, gli obiettivi, i processi e le procedure pertinenti per gestire i rischi e migliorare la sicurezza delle informazioni al fine di produrre risultati conformi alle politiche e agli obiettivi generali dell’organizzazione
    • Attuare e rendere operativa la politica, i controlli, i processi e le procedure necessari al sistema
    • Procedere, ad un adeguato periodo di rodaggio del Sistema, realizzando le opportune azioni di audit per accertarsi del grado di implementazione raggiunto
    • Ottenere la Certificazione del SGSI conforme alla norma UNI CEI ISO/IEC 27001:2006

D. LGS. 196/03 e s. m. e i.
La legislazione sulla Privacy in Italia è attualmente contenuta nella Costituzione (articoli 15 e 21), nel Codice penale (Capo III – Sezione IV) e nel Decreto Legislativo 30 giugno 2003, n. 196, intitolato Codice in materia di protezione dei dati personali e noto anche come Testo Unico sulla Privacy.
Il diritto assoluto di ciascuno sui propri dati è esplicitamente riconosciuto dall’art. 1 del Testo Unico, in cui si afferma: “Chiunque ha diritto alla protezione dei dati personali che lo riguardano”. Tale diritto appartiene alla categoria dei diritti della personalità. Il diritto sui propri dati è differente dal diritto alla riservatezza, in quanto non riguarda solamente informazioni inerenti la propria vita privata, ma si estende in generale a qualunque informazione relativa ad una persona, anche se non coperta da riserbo.
Con l’entrata in vigore del D. Lgs. 196/2003 e s. m. e i. è obbligatorio essere in regola con la normativa sulla Privacy per tutti coloro che trattano dati personali di clienti, cittadini, dipendenti, fornitori, utenti, pazienti, colleghi, soci, associati ecc. e quindi per aziende, professionisti, cooperative, associazioni, P.A., scuole, comuni, ospedali, enti pubblici ecc. A livello pratico significa che chi tratta i dati, per evitare ogni responsabilità, deve dimostrare di aver adottato “tutte le misure idonee ad evitare il danno”.
Gesta, 365 giorni l’anno, offre assistenza nell’espletamento di alcuni obblighi fra cui:

    • Inventariare i dati personali, analizzare i locali e i rischi legati ad attrezzature hardware e software (computer e banche dati)
    • Adottare le misure di sicurezza obbligatorie (fisiche, logiche ed organizzative)
    • Adeguarsi agli obblighi di informativa, consenso, notifica
    • Nominare le figure del responsabile/i del trattamento, degli incaricati e dei responsabili in outsourcing
    • Informare clienti e fornitori
    • Predisporre un Documento Programmatico sulla Sicurezza (DPSS) e aggiornare lo stesso entro il 31 marzo di ogni anno (art. 34 e Allegato B, punto 19)
    • Adottare idonee misure di sicurezza che garantiscano l’integrità dei dati e il loro trattamento per scopi leciti
    • Trattare i dati secondo principi ispirati alla correttezza, liceità e trasparenza.
    • In caso di violazione accertata, sono previste sanzioni di tipo amministrativo (multe fino a 124.000 Euro) e la reclusione (fino a 3 anni), l’esclusione dalle gare di appalto e risarcimenti danni

logo