• Chi Siamo

    Chi Siamo

    La G.E.N.I. S.r.l. è una società con sede a Palermo formata da professionisti, qualificati dal CEPAS, FITA CONFINDUSTRIA, ANGQ, BSI, EARA, RiNA Industry, AICQ.
  • I nostri clienti

    I nostri clienti

    I nostri clienti si collocano nel settore del commercio, della produzione e dei servizi, oltre che tra gli Enti della Pubblica Amministrazione
  • Risorse Aziendali

    Risorse Aziendali

    Con la G.E.N.I. Srl collaborano Ingegneri Gestionali, Ingegnere Ambientale, Ingegnere Meccanico, Ingegnere Elettronico, Ragioniere Commercialista, Revisore Contabile, Agente e Rappresentante di Commercio, Tecnico competente in Rilevazioni Ambientali.
  • 1
  • 2
  • 3

GDPR e recupero della disponibilità del dato: l’approccio business continuity

Un aspetto spesso sottovalutato riguardo al trattamento delle informazioni è la disponibilità del dato. Per garantirla, non è sufficiente un back up ma è necessario definire tempi e procedure per recuperarla, predisponendo un piano per la continuità operativa onde evitare interruzioni

Un aspetto spesso sottovalutato occupandosi di dati e GDPR è quello che riguarda la disponibilità delle informazioni e i tempi per recuperarle.

Osservo con frequenza che la maggior parte degli sforzi di analisi e valutazione dei rischi sono volti alla riservatezza del dato, dando minore importanza a integrità e disponibilità con la conseguenza evidente di porre maggiore attenzione ai sistemi di protezione rispetto a quelli di continuità operativa. Il tema della disponibilità viene spesso smarcato definendo solamente il tipo di backup dei dati, che è sicuramente l’aspetto più visibile anche se porta ad un approccio superficiale.

 

La disponibilità del dato

Nel Considerando 49 del GDPR si citano le caratteristiche che il dato deve mantenere nel sistema di gestione e trattamento dello stesso. In particolare, il titolare del trattamento deve assicurare che il dato sia autentico, integro, riservato e disponibile. Tale definizione è assolutamente in linea con quanto richiesto dalla norma UNI ISO EN 27001:2018 che prevede che i sistemi di gestione per la sicurezza delle informazioni mantengano le stesse riservate, integre e disponibili. La disponibilità è spesso una caratteristica sottovalutata o, per lo meno, vista solo nella sua declinazione relativa alla cyber security.

Nella norma IS0 27000 la disponibilità (availability) è la proprietà dell’informazione di essere accessibile e usabile su richiesta di un autorizzato. Tale definizione va arricchita anche dalla dimensione temporale: un’informazione che non arriva nei tempi previsti è di fatto non accessibile e usabile e quindi non disponibile. Se, ad esempio, in ambito ospedaliero ho la necessità di recuperare dei dati sulle allergie ai farmaci di un paziente e queste arrivano troppo tardi (per indisponibilità momentanea della rete ad esempio) le conseguenze possono avere un deciso impatto sulla vita del paziente. Anche pensando a un esempio meno impegnativo l’importanza di disponibilità nei tempi corretti è fondamentale. Un’opportunità persa per la mancanza di dati (elementi per la composizione per l’offerta o dati di contatto) può avere un impatto significativo sulla vita di un’azienda. È comprensibile che non sia sufficiente definire un back up per garantire la disponibilità, ma è necessario definire anche tempi e procedure per il recupero della disponibilità del dato.

La continuità operativa

È quindi importante definire e implementare, per una corretta interpretazione del GDPR, un sistema di gestione della continuità operativa, anche se non certificato necessariamente secondo la norma UNI EN ISO 22301:14. La definizione di continuità operativa, secondo tale norma, è la capacità dell’organizzazione di continuare a fornire prodotti ed erogare servizi a livelli accettabili predefiniti a seguito di un evento destabilizzante.

Declinando la definizione ai sistemi di trattamento dei dati personali si può definire la continuità operativa come la capacità dell’organizzazione di continuare a fornire i dati personali a livelli accettabili predefiniti a seguito di un evento destabilizzante. Tale ambito ha due aspetti: la continuità operativa diretta nei confronti dell’interessato e quella dei ruoli che forniscono prodotti/servizi all’interessato. Sulla base del contesto si può porre l’accento su uno dei due aspetti anche se ritengo fondamentale considerarli entrambi.

Definizioni nell’ambito della continuità operativa

È necessario introdurre delle definizioni, che mutuo liberamente dalla ISO 22301 a cui rimando per la formulazione precisa e completa.

  • Gestione della continuità operativa: processo di gestione olistica che identifica le minacce potenziali e i loro impatti sull’organizzazione nel caso si concretizzassero. Sottolineo il termine olistica, definito nella norma. È fondamentale vedere la continuità operativa come insieme e non come serie di operazioni relative a eventi separati. Lo è ancora di più nell’ambito delle misure relative al trattamento dei dati personali dove alcune misure di protezione potrebbero essere in contrasto con le necessità della continuità operativa (ad esempio pseudonimizzazione e cifratura).
  • Massima interruzione accettabile (MAO – Maximum Acceptable Outage): il limite di tempo massimo entro il quale l’effetto degli impatti degli eventi avversi diventerebbe inaccettabile, se non recuperata l’operatività.
  • Massimo periodo di interruzione tollerabile (MTPD – Maximum Tolerable Period of Disruption): nella norma italiana la definizione è identica a quella di MAO e l’indice effettivamente è molto simile, ma nel caso del MAO si considera l’assenza del servizio, in questo caso la rottura di componenti di fornitura.

Per essere più chiaro: il MAO misura, ad esempio, quanto tempo è accettabile avere i server off line per manutenzioni programmate e/o straordinarie (come aggiornamenti), il MTPD lo stesso indice ma in caso di rottura del server o di qualche componente.

  • Obiettivo di momento di recupero (RPO – Recovery Point Objective): è il momento in cui le informazioni utilizzate da un’attività devono essere rese nuovamente disponibili.
  • Obiettivo di tempo di recupero (RTO – Recovery Time Objective): è l’obiettivo di tempo successivo a un incidente entro il quale si ritorna ad avere la disponibilità dell’informazione.

(...)

(Autore Stefano Mastella, tratto da cybergsecurity360.it)

Contatti

G.E.N.I. srl

Via Cav. di Vittorio Veneto, 45

90146 Palermo

+39 091 68894835

+39 347 5955507

info@genisrl.it

Lun-Ven: 9.30 - 18.00

Settori

Qualità

Ambiente

Sicurezza

Shipping

Agroalimentare

Certificazioni di prodotto

Adeguamenti alla normativa CE

About Us

La G.E.N.I. S.r.l. è una società con sede a Palermo formata da professionisti qualificati

La società esercita da diversi anni ed ha eseguito consulenze e progetti relative all'implementazione dei Sistemi Qualità, Ambiente, Sicurezza, progettazione Impianti Elettrici, Certificazione di Prodotti e Perizie Tecniche secondo le varie normative e leggi vigenti ( ISO 9000, ISO 14001, D.Lgs 81/08, legge 37/08 etc..)

Copyright © 2019 G.E.N.I. srl - All Rights Reserved