Progettazione di sistemi informatici GDPR compliant
Infrastruttura e sistemi tecnologici GDPR, progettazione e realizzazione infrastrutture informatiche capaci di proteggere i dati e prevenire i rischi aziendali.
La progettazione di piattaforme informatiche costituisce l’elemento cardine per supportare la crescita di ogni organizzazione, sia pubblica che privata. Lavorare per progetti consente di suddividere in fasi garantendo le caratteristiche di funzionalità, sicurezza, disponibilità.
Quanto è importante oggi difendersi da eventuali rischi aziendali in relazione al mondo informatico?
Come MDM intende migliorare e proteggere il business dei propri partner/clienti:
Progettazione e realizzazione infrastrutture e sistemi tecnologici GDPR: lavorando per progetti divisi in fasi trasparenti, analisi, disegno, implementazione garantendo le funzionalità di sicurezza e disponibilità richieste.
Information Security: Definizione di sistemi gestione della sicurezza informazioni (SGSI o ISMS) nel Rispetto della norma ISO/27001:2013
IT Service Management:
Sistemi di Gestione dei Servizi IT in conformità con ISO/IEC20000:2018
Come identificare i rischi
Security Assessment: Individuazione dei rischi tecnologici, fisici, organizzativi valutando le conseguenze che eventi avversi/indesiderabili potrebbero comportare.
Risk Management/Business Continuity/Disaster Recovery: Identificazione dei rischi per la struttura cliente e loro mitigazione. Garantire all’azienda la possibilità di continuare ad esercitare il proprio business in caso di eventi catastrofici/blocco dei sistemi o dei processi elaborativi, processi organizzativi e fornitura di misure tecnologiche atte al ripristino dei sistemi.
Incident management: gestione delle emergenze relative ad incidenti informatici, violazione ai sistemi di sicurezza informatica, penetrazione da parte di attaccanti informatici (solo alcuni esempi)
Ecco dove potete trovare degli approfondimenti sulle certificazione sopra citate:
Il GDPR (General Data Protection Regulation) è una normativa europea, ufficialmente regolamento (UE) n° 2016/679. Regolamento europeo che si pone l'obiettivo di rafforzare la protezione dei dati personali dei cittadini europei e di conseguenza i metodi di gestione di questi dati da parte delle istituzioni.
Chi si deve adeguare al GDPR?
Tutte le aziende e le istituzioni che trattano i dati personali dei cittadini degli stati che fanno parte dell'Unione Europea
Che cosa comporta il NON adeguamento
In caso di mancato adeguamento le sanzioni possono arrivare fino a 20 milioni oppure fino al 4% del fatturato dell’anno precedente se si rimane in ambito civile, ma si può sfociare anche nel penale.
Chi può segnalare il tuo inadeguamento?
Qualsiasi cliente, fornitore, dipendente, utente che riceve una comuicazione non conforme da parte dell'azienda oppure una procedura sbagliata al suo interno.
Data Protection Auditing: la verifica della sicurezza delle informazioni e dei dati
Risk assessment
All’interno di una strategia di valutazione e gestione del rischio di un’azienda, il Risk Assessment diventa un punto fondamentale, perchè è proprio in questa fase che si definisce l’entità del progetto che poi si dovrà fare per adeguare l’azienda, e proteggerla da eventi esterni. Innanzitutto specifichiamo cosa s’intende per “assessment”, termine generico con il quale si vuole indicare una fase di analisi o valutazione per un determinato aspetto.
Quindi in questo caso, il termine viene utilizzato per individuare e analizzare i rischi aziendali e capire così, quali saranno le priorità e le aree di intervento definendo le strategie e i piani d’azione.
Ecco in quali fasi principali si può comporre partendo dalla situazione attuale dell’impresa:
1. Auditing sistemi informativi dell’azienda.
2. Auditing processi e procedure aziendali per controllare se sono conformi ai nuovi regolamenti.
3. Controlli specifici su come i dati (interni ed esterni all’organizzazione) vengono raccolti, utilizzati e archiviati.
4. Controllo se esistono procedure per ogni aspetto aziendale:
Reparto IT
Human Resources
Financial
Sales e Marketing
Operations
Come un “Risk Assessment” può essere articolato:
1. Individuazione aree aziendali e i processi operativi e non.
2. Identificazione dei rischi potenziali e le minacce a cui l’azienda può andare incontro senza un’adeguata strategia.
3. Valutazione conclusiva dei rischi aziendali assegnando loro dei punteggi in base all’impatto che potrebbero avere sull’azienda.
Come tutelarsi in materia di trattamento dei dati personali?
Definizione delle policy aziendali
All’interno di ogni azienda, per tutelarsi da eventuali crisi aziendali dovute ad attacchi informatici, oppure per adeguarsi alle nuove normative, è necessario definire le policy aziendali, ossia delle procedure scritte che tutti i dipendenti devono eseguire per svolgere determinate attività.
La definizione delle policy aziendali può essere sia di natura tecnica che di natura organizzativa.
Alcuni esempi di definizione di policy all’interno di un’impresa sono:
Aggiornamento del sistema di gestione e protezione dei dati
Proposte di un codice di condotta.
Esempi di domande a cui noi possiamo dare una risposta in materia di trattamento di dati
Chi è il titolare del trattamento e i responsabili del trattamento dei dati in azienda? essi sono in grado di poter mettere in atto misure organizzative e tecnologiche che garantiscano un livello di sicurezza adeguato?
Esiste un registro dei trattamenti?
Ogni quanto tempo viene aggiornato?
Auditing periodico di compliance al regolamento UE 2016/679
SEI VERAMENTE «DATA BREACH CRISIS READY»?
Quali sono i diversi tipi di crisi (violazione dei dati, attacco mediatico, boicottaggio, ecc.) che possono accadere nella nostra azienda?
Per ogni tipo di crisi, chi sarà il portavoce? E se quella persona non è disponibile? Chi sarà il portavoce di backup?
I nostri portavoce sono addestrati a parlare con i media/influencer?
Quali diversi dipartimenti interni ed esterni dovranno lavorare insieme per risolvere ogni crisi identificata?
Chi è il referente per ciascuno di questi dipartimenti in caso di crisi?
Quali sono i nostri messaggi e le dichiarazioni che possiamo preparare in anticipo per ogni tipo di crisi?
Chi verrebbe colpito da quel tipo di crisi? Con chi abbiamo bisogno di comunicare?
Qual’è la nostra deadline ideale per le attività di comunicazione?
Brochures
Progettazione di sistemi informatici GDPR compliant
Infrastruttura e sistemi tecnologici GDPR, progettazione e realizzazione infrastrutture informatiche capaci di proteggere i dati e prevenire i rischi aziendali.
La progettazione di piattaforme informatiche costituisce l’elemento cardine per supportare la crescita di ogni organizzazione, sia pubblica che privata. Lavorare per progetti consente di suddividere in fasi garantendo le caratteristiche di funzionalità, sicurezza, disponibilità.
Quanto è importante oggi difendersi da eventuali rischi aziendali in relazione al mondo informatico?
Come MDM intende migliorare e proteggere il business dei propri partner/clienti:
Come identificare i rischi
- Security Assessment: Individuazione dei rischi tecnologici, fisici, organizzativi valutando le conseguenze che eventi avversi/indesiderabili potrebbero comportare.
- Risk Management/Business Continuity/Disaster Recovery: Identificazione dei rischi per la struttura cliente e loro mitigazione. Garantire all’azienda la possibilità di continuare ad esercitare il proprio business in caso di eventi catastrofici/blocco dei sistemi o dei processi elaborativi, processi organizzativi e fornitura di misure tecnologiche atte al ripristino dei sistemi.
- Incident management: gestione delle emergenze relative ad incidenti informatici, violazione ai sistemi di sicurezza informatica, penetrazione da parte di attaccanti informatici (solo alcuni esempi)
Ecco dove potete trovare degli approfondimenti sulle certificazione sopra citate:GDPR (General Data Protection Regulation)
Che cos'è il GDPR?
Il GDPR (General Data Protection Regulation) è una normativa europea, ufficialmente regolamento (UE) n° 2016/679. Regolamento europeo che si pone l'obiettivo di rafforzare la protezione dei dati personali dei cittadini europei e di conseguenza i metodi di gestione di questi dati da parte delle istituzioni.
Chi si deve adeguare al GDPR?
Tutte le aziende e le istituzioni che trattano i dati personali dei cittadini degli stati che fanno parte dell'Unione Europea
Che cosa comporta il NON adeguamento
In caso di mancato adeguamento le sanzioni possono arrivare fino a 20 milioni oppure fino al 4% del fatturato dell’anno precedente se si rimane in ambito civile, ma si può sfociare anche nel penale.
Chi può segnalare il tuo inadeguamento?
Qualsiasi cliente, fornitore, dipendente, utente che riceve una comuicazione non conforme da parte dell'azienda oppure una procedura sbagliata al suo interno.
Data Protection Auditing: la verifica della sicurezza delle informazioni e dei dati
Risk assessment
1. Auditing sistemi informativi dell’azienda.
2. Auditing processi e procedure aziendali per controllare se sono conformi ai nuovi regolamenti.
3. Controlli specifici su come i dati (interni ed esterni all’organizzazione) vengono raccolti, utilizzati e archiviati.
4. Controllo se esistono procedure per ogni aspetto aziendale:
Come tutelarsi in materia di trattamento dei dati personali?
Definizione delle policy aziendali
All’interno di ogni azienda, per tutelarsi da eventuali crisi aziendali dovute ad attacchi informatici, oppure per adeguarsi alle nuove normative, è necessario definire le policy aziendali, ossia delle procedure scritte che tutti i dipendenti devono eseguire per svolgere determinate attività.
La definizione delle policy aziendali può essere sia di natura tecnica che di natura organizzativa.
Alcuni esempi di definizione di policy all’interno di un’impresa sono:
Esempi di domande a cui noi possiamo dare una risposta in materia di trattamento di dati
Auditing periodico di compliance al regolamento UE 2016/679
SEI VERAMENTE «DATA BREACH CRISIS READY»?
Sei in regola con il GDPR?