Come DevSecOps può rendere più maturo il vostro ISMS basato sulla ISO 27001

Prefazione

Cominciamo con un quadro un po' troppo ampio della sicurezza delle informazioni. Perché? Perché è una cosa strana. Quasi tutti la conoscono. La maggior parte delle persone ne è già venuta a contatto direttamente o indirettamente. Ci dicono quanto sia importante e quanto sarebbe grave se si verificasse un attacco informatico. Ma d'altro canto, i responsabili della sicurezza che cercano di implementare le misure di sicurezza devono spesso fare i conti con le resistenze:

  • I "ragazzi della sicurezza" bloccano o rallentano sempre i progetti più redditizi per l'azienda.
  • Gli sviluppatori e gli amministratori di sistema vedono solo il carico di lavoro aggiuntivo dovuto alla sicurezza.
  • Per molti utenti finali sembra una sorta di sport aggirare le misure di sicurezza nel modo più creativo possibile.

Come può essere pratica la sicurezza

Non vogliamo fare i guastafeste, non è sempre così grave come l'abbiamo appena descritto, ma chi lavora nella sicurezza informatica potrebbe riconoscere alcune delle storie di cui sopra da più tempo. Lamentarsi non è il motivo di questo articolo; esso spiega come sia possibile implementare la sicurezza pratica in una fase molto precoce di sviluppo del software utilizzando DevSecOps.

Allo stesso tempo, si ricollega ai sistemi di gestione della sicurezza delle informazioni (ISMS), più teorici e orientati alla conformità, che la maggior parte delle aziende ha oggi. Esistono diverse idee su come combinare i due approcci. Ci concentreremo su una relativamente nuova: OWASP DSOMM, il DevSecOps Maturity Model dell'Open Web Application Security Project.

ISO 27001: ben nota e ampiamente utilizzata

Cominciamo con la ISO 27001, lo standard di sicurezza delle informazioni su cui si basa la maggior parte degli ISMS dei nostri clienti. Mentre la ISO 27001 definisce i requisiti generali, la ISO 27002 associata fornisce un elenco dettagliato dei documenti richiesti e consigliati. Misura i controlli a partire da argomenti organizzativi come un'organizzazione per la sicurezza delle informazioni ben definita sui processi (on/offboarding, risposta agli incidenti, gestione dei fornitori), fino a requisiti dettagliati come una politica sulle password o una matrice ben definita di ruoli e responsabilità.

Cosa serve davvero

Le persone si lamentano dei requisiti e dei controlli delle norme ISO perché cambiano le loro attività quotidiane; è un livello troppo alto. Molti vorrebbero avere requisiti precisi da poter utilizzare e implementare direttamente, ma purtroppo la pura ISO 27001 / 27002 non funziona a questo livello. È necessaria una mappatura tra l'alto livello e l'implementazione pratica di basso livello per le operazioni quotidiane.

Pertanto, ci concentriamo su una nuova idea di mappatura: una parte dei requisiti elencati nella ISO 27002 è un "processo di sviluppo del sistema documentato" (sezione A.14). È qui che entrano in gioco DevSecOps e l'OWASP DevSecOps Maturity Model (DSOMM).

Perché DevSecOps ha senso per la vostra organizzazione

DevOps (combinazione di sviluppo software - "Dev"; e operazioni IT "Ops") è noto da anni anche nel settore dello sviluppo software. Il suo obiettivo è abbreviare il ciclo di vita dello sviluppo dei sistemi e fornire una consegna continua con un'elevata qualità del software. Lo sviluppo software basato su DevOps è spesso implementato nell'ambito di approcci agili come Scrum o Kanban, poiché entrambe le idee mirano allo stesso obiettivo: cicli di vita brevi e consegna continua.

DevSecOps (DevOps con sicurezza profondamente integrata - "Sec") è stato aggiunto a DevOps in un secondo momento, quando ci si è resi conto che l'implementazione della sicurezza già nelle prime fasi di sviluppo presenta diversi vantaggi. I possibili problemi di sicurezza vengono riconosciuti tempestivamente e non è necessario trovare una soluzione durante o in una fase avanzata di sviluppo. Come regola generale, più tardi si identifica un problema di sicurezza nel ciclo di vita del software, più costoso sarà risolverlo.

Identificazione dei problemi di sicurezza

Costi relativi per la correzione dei bug, in base al momento del rilevamento

Occuparsi dei bug di sicurezza già durante la fase di sviluppo (requisiti, architettura, codifica, integrazione, test dei componenti) potrebbe far risparmiare molte risorse - tempo e budget, oltre a una scarsa motivazione del team.

Tornando alle resistenze iniziali che i responsabili della sicurezza devono affrontare, DevSecOps soddisferebbe diverse parti:

  1. In primo luogo, il lato commerciale
    1. non riceve (o almeno meno) "blocchi" tardivi dalla sicurezza
    2. ottiene costi inferiori e progetti più puntuali e in linea con il budget grazie alla correzione precoce dei bug.
  2. In secondo luogo, gli sviluppatori e gli amministratori di sistema
    1. devono affrontare un minor numero di problemi di sicurezza durante i test e l'implementazione, il che potrebbe far risparmiare molto tempo.
    2. si istruiscono automaticamente a farlo nello stesso modo e in modo più sicuro nei progetti futuri, poiché il processo complessivo è stato più semplice e meno frustrante.

Come appena descritto, eseguire lo sviluppo del software con l'approccio DevSecOps presenta molti vantaggi. Il problema è come utilizzare questo approccio piuttosto pratico e orientato allo sviluppo come input per un ISMS basato sulla ISO 27001, ad esempio:

  • come conservare i segreti,
  • come consegnare i parametri riservati, o
  • come fare un inventario dei manufatti in esecuzione e così via.

Questo approccio non gestisce questi argomenti a un livello così dettagliato. L'input è necessario per documentare e dimostrare ciò che viene fatto per raggiungere i controlli specifici della ISO 27002. Chiunque abbia partecipato a un audit basato sulla ISO 27001 sa quanto siano importanti queste informazioni e quanto la maggior parte degli auditor si concentri sulla SoA (Statement of Applicability). La SoA documenta esattamente questi collegamenti tra un controllo ISO 27002 e la misura tecnica o organizzativa che un'azienda ha implementato per affrontarlo.

Combinarli: l'approccio OWASP DSOMM

Anche il team del progetto OWASP DSOMM ha riconosciuto questa esigenza. Recentemente è stata aggiunta una mappatura degli argomenti DSOMM ai controlli ISO 27002. Alcuni dei nostri clienti che lavorano in DevSecOps utilizzano già questa mappatura. Il responsabile ISMS può mappare direttamente le misure eseguite durante il DevSecOps ai corrispondenti controlli ISO 27002 elencati nel SoA. La maggior parte delle mappature DSOMM si riferisce a A.14 (processo di sviluppo del sistema documentato) e alcune a controlli come A.12 (operazioni, backup, monitoraggio, ecc.), quindi la copertura è già relativamente ampia.

Pertanto, l'utilizzo della nuova mappatura DSOMM-ISO27701 potrebbe essere un ponte tra l'ISMS di alto livello e il processo di sviluppo del software di basso livello. Consigliamo vivamente di discutere questo argomento tra i responsabili dei prodotti e dei rischi dei team di sviluppo e i responsabili della sicurezza delle informazioni (CISO). È un passo avanti verso un software più maturo e sicuro. Allo stesso tempo, anche un passo avanti verso un ISMS maturo.

Conclusione

Vi occupate di sviluppo di software nella vostra azienda, sia per uso personale che come prodotto per altri? Vi interessa la sicurezza delle informazioni, non solo a livello teorico ma anche pratico? Allora dovreste assolutamente dare un'occhiata più da vicino a DevSecOps in generale, soprattutto se i vostri team di sviluppo lavorano già in modo agile. Noi di CISO AG vi aiutiamo ad automatizzare le attività di sicurezza principali e a implementarle nel vostro flusso di lavoro DevOps.

Scegliere un CISO virtuale o un CISO come servizio?

Che cos'è il vCISO?

Il vCISO (virtual information security officer) è un nuovo tipo di dirigente di sicurezza di livello C che ha l'obiettivo di aiutare le aziende a migliorare i loro programmi di cybersecurity e a raggiungere la conformità. Si tratta di un ruolo destinato a prevenire o difendere dalla criminalità informatica e dalle violazioni di dati critici, dato che il numero di tali attacchi continua ad aumentare. Le minacce alla sicurezza informatica esistono in ogni angolo del grande mondo e i criminali informatici stanno già escogitando nuovi modi per attaccare le aziende. Ad esempio, l'ultima vulnerabilità critica di Log4J viene sfruttata in libertà, proprio mentre leggete questo articolo. Ecco perché è più importante che mai proteggere la vostra azienda da queste minacce, ma è più facile a dirsi che a farsi.

Un vCISO (Virtual Chief Information Security Officer) è un leader della sicurezza di livello C che collabora con i team di gestione, IT e sicurezza per sviluppare una strategia per eliminare eventuali violazioni dei dati o tentativi di intrusione. Un vCISO è un professionista esterno esperto che fornisce assistenza continua in molte aree della cybersecurity, tra cui la valutazione e la strategia del rischio, il supporto tecnico, la formazione interna, la ristrutturazione dell'organizzazione e molte altre.

È un lavoro difficile, ma qualcuno deve farlo. È facile che la sicurezza delle informazioni passi in secondo piano nella frenesia della gestione di un'azienda. Un attacco informatico potrebbe costare milioni alla vostra azienda, con conseguenti danni alla reputazione, multe da parte del governo e, in alcuni casi, persino cause legali da parte dei clienti.

Lavorare con un Virtual Chief Information Security Officer (vCISO) significa avere un esperto al proprio fianco per aiutarvi a costruire ed eseguire un programma di cybersecurity per combattere i cyberattacchi a tutti i livelli.

"Un vCISO di alto livello sa come trasmettere le proprie conoscenze ed esperienze in modo efficace, sviluppando al contempo una cultura positiva per la sicurezza all'interno dell'organizzazione. La formazione è fondamentale, a tutti i livelli, e la valorizzazione dei talenti esistenti spesso fornisce i risultati più rapidi". - ha dichiarato Cathal Judge, fondatore di CISO AG.

Un CISO a tempo pieno o un vCISO? Quale scegliete?

Secondo l'ultimo studio di Grand View Research Inc. il mercato globale della sicurezza informatica dovrebbe raggiungere 167,12 miliardi di dollari entro il 2025 . L'aumento delle violazioni dei dati, l'evoluzione dell'infrastruttura IT e la tendenza all'esternalizzazione della sicurezza IT sono i tre fattori che stanno determinando questa crescita.

La verità è che i cyberattacchi hanno colpito aziende di tutte le dimensioni. Tuttavia, molte aziende non dispongono delle risorse necessarie per affrontare efficacemente tali minacce. Più grandi sono le vostre dimensioni in termini di fatturato, dipendenti o clienti, più è probabile che siate un bersaglio degli hacker.

Avete bisogno di un esperto di sicurezza per mantenere i loro sistemi sicuri e protetti, ma non disponete di un professionista interno per farlo.

La necessità di talenti qualificati di livello C nel campo della sicurezza, ma il numero insufficiente di persone qualificate per coprire tutti i posti di lavoro, sta rendendo i CISO interni una delle posizioni più richieste nel mercato dei talenti della cybersecurity.

Risolvere la carenza di CISO

I Chief Information Security Officer (CISO) qualificati ed esperti sono costosi e difficili da trovare. Con l'aumento della domanda di CISO, sempre più organizzazioni cercano di assumerli, ma può essere difficile trovare la persona giusta. I candidati CISO di alto livello scarseggiano, il che significa che c'è una forte concorrenza per i migliori.

Ci sono molte opinioni contrastanti quando si parla di CISO e vCISO. Un CISO a tempo pieno è più costoso ma più attivo. Tuttavia, un vCISO consente ai membri del team di sicurezza di accrescere le proprie competenze e può essere più economico a breve termine per le aziende.

Il valore di un vCISO per l'organizzazione

E se la vostra azienda potesse ottenere l'assistenza di cybersecurity di cui ha bisogno quando ne ha bisogno? Dovreste gestire la sicurezza informatica internamente o tramite un fornitore esterno? Un CISO virtuale on-demand (vCISO) è un esperto di sicurezza all'avanguardia che lavora con voi man mano che la vostra azienda cresce e le vostre esigenze di sicurezza cambiano.

E quando ne trovate uno, spesso è troppo costoso. E se la vostra azienda potesse ottenere l'assistenza di un esperto di livello mondiale in materia di cybersecurity quando ne ha bisogno? È qui che entra in gioco un vCISO.

Ciò significa che le organizzazioni che hanno bisogno di ricoprire questo ruolo critico potrebbero doversi rivolgere a un CISO virtuale (vCISO) on-demand. In questo modo è possibile concentrarsi sulle attività aziendali mentre il vCISO si occupa delle esigenze di sicurezza delle informazioni.

4 vantaggi dell'assunzione di un CISO virtuale

1. Efficienza dei costi

Il mercato attuale dei Chief Information Security Officer è competitivo e la domanda di candidati qualificati supera l'offerta. Se state cercando di assumere un CISO a tempo pieno, potreste rimanere sorpresi dal costo. Si stima che un CISO ben valutato e a tempo pieno possa ottenere stipendi a sei cifre e rimanere nel ruolo solo per pochi anni. Invece di assumere qualcuno a questo prezzo, potete assumere un vCISO, che costa il 30-40% in meno. Un vCISO può iniziare a lavorare immediatamente e richiede costi di onboarding significativamente inferiori rispetto a un'assunzione a tempo pieno: non sono necessari benefit o buste paga.

I Chief Information Security Officer virtuali sono professionisti esperti e altamente qualificati che di solito possono iniziare a lavorare immediatamente e richiedono costi di onboarding significativamente inferiori rispetto a quelli di un'assunzione a tempo pieno, senza benefit o buste paga. Un CISO virtuale offre un'opzione molto più conveniente per la vostra azienda: costa una frazione del costo dell'assunzione di un CISO a tempo pieno ed elimina il rischio associato alla formazione di un nuovo dipendente.

2. La flessibilità dei servizi vCISO

Le grandi aziende di tutto il mondo utilizzano i servizi di vCISO per esternalizzare le loro esigenze di cybersecurity e conformità, perché confidano di ottenere risultati di alta qualità senza dover investire direttamente nei talenti. I rapporti con il nostro team sono costruiti sulla fiducia e gestiti in remoto, consentendo loro di ridurre le spese generali senza essere frenati da impegni finanziari a lungo termine o da colli di bottiglia per le assunzioni.

3. Ampiezza e profondità delle competenze di vCISO

Poiché il vCISO è spesso all'avanguardia nell'innovazione e si adatta continuamente a standard di sicurezza nuovi e in evoluzione, sarà in grado di fornire alla vostra organizzazione la migliore tecnologia attuale. Essendo indipendente, un vCISO può fungere da agente di cambiamento nella vostra azienda. Assumere un vCISO è un ottimo modo per assicurarsi di avere accesso al maggior numero possibile di risorse, compresi esperti del settore con competenze più specifiche. Questi esperti possono agire come un'estensione quando è necessario, fornendo una guida completa alla sicurezza della vostra organizzazione e dandovi le migliori possibilità di prevenire o recuperare dagli attacchi informatici.

4. L'indipendenza

I vCISO sono unici e condividono le competenze di un dirigente di livello C e le conoscenze di un esperto di sicurezza. In quanto consulenti di sicurezza esterni, i vCISO sono un ingrediente essenziale per il successo della vostra sicurezza informatica. Poiché un vCISO non fa parte dell'azienda, non ha pregiudizi e sarà in grado di fornire una nuova prospettiva sulle esigenze di sicurezza dell'organizzazione.

Si tratta di una serie di occhi indipendenti sul vostro team e sul vostro ambiente aziendale, il che significa che possono trovare vulnerabilità e punti deboli prima che lo facciano gli aggressori, consentendovi di migliorare la vostra posizione di sicurezza informatica prima che si verifichino incidenti. Inoltre, si adoperano per risolvere eventuali problemi esistenti di cui il team potrebbe non essere a conoscenza, bloccando potenzialmente costose violazioni.

Un CISO virtuale vi fornirà una consulenza strategica e una visione esperta, poiché proviene dall'esterno dell'organizzazione e ha molta esperienza nel gestire le minacce alla sicurezza, quindi non è bloccato dal "come abbiamo sempre fatto". Si tratta di esperti professionisti che non sono gravati da politiche o agende d'ufficio: devono fare il lavoro bene e al primo colpo. Un vCISO può essere utile a chiunque voglia risparmiare tempo e denaro sulle proprie capacità di cybersecurity.

Ruolo e responsabilità del vCISO

Il vCISO funge da collegamento tra i reparti aziendali e tecnologici. Le responsabilità di un vCISO sono diverse e comprendono la promozione della formazione sulla sicurezza delle informazioni all'interno dell'azienda, la raccomandazione di best practice per prevenire gli incidenti di sicurezza e la protezione dalle minacce esterne e l'esame dei sistemi e dei processi interni per creare piani attuabili che si basino sui punti di forza dei sistemi esistenti, migliorando al contempo le debolezze della cybersecurity.

Un vCISO non solo è in grado di progettare e costruire un quadro di sicurezza completo per un'azienda, ma può anche redigere e applicare politiche e procedure appropriate. Con un occhio di riguardo alla conformità e alla sicurezza, può garantire che tutto funzioni senza intoppi, fungendo al contempo da risorsa di riferimento per il team di gestione.

In poche parole, il vCISO sarà responsabile di un'ampia gamma di aspetti della cybersecurity. Un vCISO può aiutarvi a prepararvi a soddisfare i requisiti di conformità normativa e gli standard di cybersecurity come HIPAA, PCI DSS, ISO 27001, ISO 9001, NIST SP 800-53, NIST SP 800-171 e altri.

  • Identificazione degli asset critici per l'azienda per l'analisi del rischio
  • Sviluppare la strategia di cybersecurity dell'organizzazione
  • Creazione di un piano e di un programma di cybersecurity (a medio e breve termine)
  • Creare un programma di governance, rischio e conformità (GRC)
  • Mantenere le operazioni di sicurezza generali
  • Valutazione delle persone, compresa la gestione del personale, degli appaltatori e dei fornitori.
  • Creazione ed esecuzione di una strategia di formazione sulla cybersecurity e la conformità del personale
  • Politiche, linee guida e standard di sicurezza
  • Conformità HIPAA o PCI
  • Valutazione del rischio del fornitore
  • Politica e applicazione del BYOD (Bring-Your-Own-Device)
  • Strategia di sicurezza per l'approvvigionamento
  • Piano di risposta agli incidenti e bonifica degli incidenti
  • Conformità normativa
  • Implementazione di un programma di sensibilizzazione alla sicurezza.

CISO come servizio

CISO-as-a-Service è un modello di coinvolgimento di esperti che centralizza la gestione della cybersecurity e facilita la collaborazione tra i team IT e di cybersecurity interni. Rende più semplice per le aziende la conformità a GDPR, HIPAA e PCI-DSS.

CISO-as-a-Service porta le aziende e i programmi di cybersecurity a un livello superiore. Consente alle aziende di rafforzare il proprio programma di cybersecurity e di gestire la conformità alle normative. Si tratta di un componente essenziale su cui ogni organizzazione dovrebbe investire: consentirà una comunicazione chiara e più efficiente tra la C-suite e il reparto IT, permettendo ai leader di avere fiducia nella protezione della cybersecurity.

Il servizio CISO-as-a-Service elimina tutto il lavoro, il dolore e il mal di testa legati alla creazione di un programma di cybersecurity di alta qualità per la vostra azienda. Si tratta di un investimento essenziale e critico per l'azienda, che consente di valutare e rafforzare l'efficacia del proprio programma di cybersecurity e di soddisfare le richieste di conformità alle normative in continua evoluzione da parte degli enti governativi di tutto il mondo.

CISO virtuale o CISO come servizio offerto da CISO AG

Le vostre esigenze di sicurezza sono complesse, ma lavorare con un team esperto di cybersecurity è semplice. Quando collaborate con CISO AG, facciamo il lavoro pesante per il vostro team con un impegno CISO-as-a-Service. CISO AG offre un approccio olistico e focalizzato sul cliente alla sicurezza informatica, in modo che possiate dedicare le vostre energie al vostro core business.

Sia il vCISO che il CISO-as-a-Service vi danno accesso ad anni di esperienza. Il nostro team di esperti in vari settori della cybersecurity vi aiuterà a identificare le vostre risorse informative critiche, sia on-premise che nel cloud, a creare un sistema di difesa informatica solido e coerente e a raggiungere la conformità alle normative di settore in tutto il mondo.

CISO AG amplia il vostro team, il che significa che lavoriamo costantemente per mantenervi completamente protetti. Sebbene le nostre tariffe siano molto convenienti, non risparmiamo sulla qualità. I nostri clienti vengono prima di tutto: saremo presenti 24 ore su 24 per proteggervi da minacce informatiche di ogni tipo.

Se desiderate saperne di più su come il nostro pacchetto vCISO o il servizio CISO-as-a-Service possono essere utili alla vostra azienda, non esitate a contattarci all'indirizzo: info@cisoag.com oggi stesso.

I 10 principali vantaggi del DPO come servizio e del DPO virtuale

Siete in regola con le normative GDPR?

Il Regolamento generale sulla protezione dei dati (GDPR) impone a tutte le organizzazioni di rispettare specifiche norme sulla protezione dei dati e sulla privacy. Le organizzazioni che soddisfano i requisiti dell'Information Commissioners Office (ICO) devono assumere un responsabile della protezione dei dati. Tutte le organizzazioni devono avere un DPO che sia pienamente responsabile della definizione e della gestione dei controlli sulle informazioni sensibili.

La natura aggressiva del crimine informatico in continua evoluzione rappresenta una seria minaccia per i cittadini, le imprese e le organizzazioni della pubblica amministrazione europee. Allo stesso tempo, la forza lavoro mobile e remota rende più difficile la conformità al GDPR.

La maggior parte delle organizzazioni elabora quantità sempre maggiori di dati a seguito della digitalizzazione. Di conseguenza, queste aziende devono adottare misure adeguate per salvaguardare i propri clienti e la propria attività, gestendo i dati in modo appropriato. La designazione di un responsabile della protezione dei dati garantisce la supervisione e la gestione dei preziosi dati aziendali.

Il Regolamento generale sulla protezione dei dati (GDPR) impone a tutte le organizzazioni di rispettare specifiche norme sulla protezione dei dati e sulla privacy. Le organizzazioni che soddisfano i requisiti dell'Information Commissioners Office (ICO) devono assumere un responsabile della protezione dei dati. Tutte le organizzazioni devono avere un DPO che sia pienamente responsabile della definizione e della gestione dei controlli sulle informazioni sensibili.

Un rischio più elevato di non conformità potrebbe comportare una sanzione pari al 4% del vostro fatturato globale o fino a 20 milioni di euro, a seconda di quale sia il valore più alto.

Giocare la carta dell'ignoranza non funzionerà quando la vostra azienda sarà stata multata per la mancata conformità al GDPR.

Se non siete esperti di GDPR, le regole del GDPR potrebbero essere difficili da capire e da rispettare. Il DPO aiuta la vostra organizzazione a conformarsi al Regolamento generale sulla protezione dei dati (GDPR) dell'Unione Europea per evitare confusione sulla conformità e ingenti perdite finanziarie.

Cosa c'è da sapere sul Responsabile della protezione dei dati

In generale, un responsabile della protezione dei dati (DPO) è un funzionario aziendale indipendente competente per il mantenimento della conformità al Regolamento generale sulla protezione dei dati dell'Unione Europea. Il DPO ha la responsabilità di condurre valutazioni interne sulla privacy e di supervisionare, controllare e fornire consulenza su tutti gli argomenti relativi al GDPR. 

Un DPO deve avere accesso diretto al top management, che può assisterlo nel prendere decisioni sul trattamento dei dati personali. I dirigenti della vostra azienda hanno un'influenza minima o nulla sulle attività, i risultati e le raccomandazioni del DPO. 

In caso di conflitto di interessi, il top management non eserciterà alcuna pressione sul DPO, così come ai responsabili IT è vietato assumere la funzione di DPO in qualsiasi circostanza. Inoltre, un dirigente aziendale coinvolto in un contenzioso o in un'azione normativa futura o in corso contro l'azienda non dovrebbe essere designato come DPO.

Una politica di sicurezza a livello aziendale deve essere ben definita, comunicata e rispettata da tutti. È essenziale tenere presente che la nomina di un DPO non significa che questa persona sia interamente responsabile della conformità alla protezione dei dati. Il ruolo del DPO è quello di supervisionare qualsiasi modifica necessaria e di assicurarsi che tutti i dipendenti conoscano la politica di protezione dei dati.

Ruolo di responsabile della protezione dei dati

Vediamo più da vicino la designazione del responsabile della protezione dei dati: le posizioni di DPO obbligatorio e volontario, l'ambito delle competenze, l'indipendenza, i conflitti di interesse, la responsabilità, ecc.

Questo ruolo è talvolta indicato come Privacy Officer o Information Officer. Sebbene i ruoli e gli obblighi per la nomina di un DPO varino da una giurisdizione all'altra, esistono alcuni requisiti standard. Di solito, il DPO non deve essere nominato dalle organizzazioni più piccole o da quelle che trattano solo quantità limitate di dati personali, anche se la nomina del DPO in questi casi può essere comunque incoraggiata.

Quando è richiesta la nomina di un DPO, spesso ci sono delle clausole che riguardano chi può essere nominato come DPO. La nomina di un responsabile della protezione dei dati è generalmente regolata da una serie di norme e regolamenti che variano da un paese all'altro. Tuttavia, i requisiti legislativi per la nomina dei DPO stanno diventando sempre più comuni in tutto il mondo e le loro responsabilità sono sempre più definite.  

Nell'UE, il GDPR prevede che il DPO sia nominato in base alle sue qualifiche professionali o alla sua vasta esperienza e che sia facilmente contattabile. Inoltre, possono essere previsti requisiti relativi alla sede del DPO. 

Una volta nominato il DPO, molte giurisdizioni richiedono che i dati di contatto del DPO siano forniti all'autorità di vigilanza locale. Inoltre, è spesso un obbligo legale fornire i dati di contatto del DPO nelle politiche sulla privacy o nelle notifiche agli interessati. 

Responsabilità del responsabile della protezione dei dati

I DPO possono anche essere incaricati di monitorare in generale la conformità al GDPR o di eseguire anteprime della loro organizzazione. Per garantire l'efficacia del DPO nell'adempimento di queste responsabilità, diverse leggi, tra cui il GDPR dell'UE, stabiliscono che il DPO deve avere un elevato grado di indipendenza. Ciò può significare, ad esempio, che un DPO non può essere penalizzato per lo svolgimento dei suoi compiti.  

È responsabilità del responsabile della protezione dei dati (DPO) fornire alle aziende linee guida sulla conformità dei dati e sulla privacy e segnalare eventuali violazioni delle normative sui dati. La posizione di DPO richiede una conoscenza avanzata del GDPR e di altre leggi pertinenti in materia di protezione dei dati, compresa la direttiva ePrivacy. Nella maggior parte dei casi, la responsabilità principale di un DPO è quella di garantire la conformità alla legislazione sulla privacy applicabile nella giurisdizione. Ciò può includere la supervisione delle richieste di dati personali, l'assistenza alla protezione dei dati, le valutazioni d'impatto, la formazione dei dipendenti sulla sicurezza e la collaborazione con le autorità di vigilanza.

Alcune leggi prevedono inoltre che il DPO debba essere in grado di comunicare con l'alta dirigenza. Altre variazioni sulle nomine dei DPO in tutto il mondo includono la possibilità che organizzazioni diverse nominino lo stesso DPO, i requisiti di conflitto di interessi, la possibilità di designare un DPO da parte di un gruppo e gli obblighi relativi alla nomina dei sostituti DPO sono simili. 

Riassunto delle qualifiche del DPO

  • Capacità di formare il personale sulla consapevolezza della protezione dei dati.
  • Fiducia in se stessi e profonda conoscenza dei processi e del settore dell'organizzazione.
  • Capacità di insegnare a grandi gruppi di persone e di chiarire concetti complessi.
  • Informazioni di base sulla legge. L'articolo 37 del GDPR definisce il responsabile della protezione dei dati (DPO) come una persona con competenze professionali e comprensione delle leggi e delle procedure in materia di protezione dei dati. 
  • Esperienza nella sicurezza informatica. Le aziende soggette al GDPR devono assumere una persona che abbia avuto a che fare con incidenti di sicurezza reali e che sia in grado di fornire consulenza sulle valutazioni del rischio di sicurezza, sulle contromisure e sulle valutazioni dell'impatto sulla protezione dei dati (DPIA). Come regola generale, un DPO dovrebbe avere esperienza in sicurezza informatica.

Esternalizzazione del DPO: DPO come servizio

L'esternalizzazione della funzione di DPO è una prima scelta ovvia per le piccole e medie imprese. Per assumere un DPO, le aziende devono trovare una persona abbastanza pratica da capire che le sue capacità nel ruolo sono meno importanti della sua capacità di negoziare soluzioni adeguate in un ambiente normativo sempre più imprevedibile. Il DPO competente ed esperto si fa strada con sicurezza nella palude.

D'altra parte, se si nomina un DPO interno, ci sarà l'opposizione di tutti i reparti con cui il DPO entrerà in contatto. L'Information Technology (IT) percepisce il GDPR come un onere superfluo per le tempistiche dei progetti, mentre le vendite e il marketing lo considerano un'interferenza irragionevole con la capacità di esecuzione efficace. La sicurezza teme che la nuova norma sia in contraddizione diretta con gli obblighi normativi esistenti. L'ufficio legale si gratta la testa per la scarsa chiarezza della legge.

Detto questo, il DPO deve essere pronto a collaborare con i vari dipartimenti funzionali. Deve avere il coraggio di parlare, difendere le proprie convinzioni e sapere quando mantenere la posizione e quando scendere a compromessi. Soprattutto, questa persona deve essere in grado di misurare l'impatto delle responsabilità di conformità dell'organizzazione sui profitti.

10 vantaggi del responsabile esterno della protezione dei dati

  1. Per essere conformi al GDPR, tutti i DPO devono essere risorse indipendenti per l'azienda.
  2. Non è necessario investire nella formazione del DPO perché ha già una solida conoscenza del GDPR sulla carta e nella pratica. 
  3. Si sconsiglia di affidare il ruolo di DPO al massimo responsabile IT o della sicurezza dell'azienda, in quanto il DPO sarà obbligato a fornire un feedback onesto sui sistemi IT e di sicurezza dell'azienda.
  4. L'esperto DPO esterno ha familiarità sia con la sostanza del GDPR che con le sue interpretazioni. È in grado di analizzare i sofisticati requisiti normativi e di fornire preziose indicazioni e raccomandazioni pratiche.
  5. Il DPO deve conoscere a fondo sia il testo che l'attuazione pratica del GDPR e di altre leggi sulla privacy, sulla cybersecurity e sulla gestione del rischio.
  6. Un DPO esterno è un esperto nel settore della protezione dei dati e della privacy, che fornisce consigli e indicazioni oggettive. Una forte comprensione dell'organizzazione e dei dati che essa gestisce gli consente di permettere ai clienti di rimanere al passo con i rischi attuali dell'organizzazione e di applicare la conformità al GDPR.
  7. È molto più semplice sostituire un consulente che un dipendente se non si è soddisfatti del servizio di DPO.
  8. Un DPO in outsourcing può avere una visione più approfondita di come altre aziende stanno implementando le soluzioni GDPR.
  9. Non ci sono conflitti di interesse con i consulenti esterni in materia di privacy.
  10. Il vantaggio nascosto della maggiore trasparenza dei dati derivante dalla conformità al GDPR è la maggiore capacità di prendere decisioni aziendali ponderate. 

DPO come servizio di CISO AG 

In alcune circostanze, il Regolamento generale sulla protezione dei dati (GDPR) impone al responsabile del trattamento o all'incaricato del trattamento di nominare un DPO (data protection officer). I requisiti del GDPR non sono sempre evidenti e facili da implementare nelle operazioni quotidiane. Il ruolo di DPO richiede inoltre un'ampia conoscenza del settore della protezione dei dati e una conoscenza approfondita del settore dell'organizzazione.

Il DPO as a Service di CISO AG è offerto alle organizzazioni di tutte le dimensioni interessate a ricevere una guida strutturata e pratica basata sulla nostra esperienza globale in materia di GDPR, privacy e protezione dei dati.

CISO AG offre il DPO come pacchetto di servizi. Ci occupiamo della funzione di DPO esterno. Il nostro team di esperti legali, di cybersicurezza, di gestione del rischio e di privacy dei dati fornisce consulenza alla vostra organizzazione e contribuisce all'implementazione e al monitoraggio continuo di tutte le posizioni di conformità. CISO AG dispone di tutte le licenze e certificazioni per la conformità al GDPR e l'implementazione della protezione dei dati.

Copriamo un'ampia gamma di conoscenze e best practice rilevanti in materia di GDPR. Vi forniremo il materiale necessario, procedure e documenti ben definiti. Ecco una sintesi delle competenze e dei risultati che CISO AG mette a disposizione.

  • Informare e consigliare sulle linee guida della legislazione sulla privacy
  • La consulenza sullo sviluppo e l'aggiornamento di procedure e politiche
  • Supporto nel completamento delle DPIA (valutazioni d'impatto sulla protezione dei dati)
  • Coordinare e fungere da punto di contatto per l'autorità di vigilanza.
  • Affidamento delle operazioni relative alla protezione dei dati, come le richieste degli interessati, le violazioni dei dati personali e altro ancora.
  • Monitorare la conformità alla normativa e seguire i controlli esistenti.

Obiettivi di conformità al GDPRe risultati del CISO AG

Linee guida per la legislazione sulla privacy

  • Informare e consigliare il responsabile del trattamento, l'incaricato del trattamento o i dipendenti su qualsiasi questione relativa al GDPR.
  • Organizzare seminari di sensibilizzazione sulla protezione dei dati e formazione dei dipendenti. 
  • Implementare i principi di protezione dei dati e i concetti centrali all'interno della vostra organizzazione.
  • PIMS. Stabilire un sistema di gestione delle informazioni personali (PIMS), in linea con la norma ISO 27701 / BS 10012.

Assistenza nella compilazione delle DPIA (valutazioni d'impatto sulla protezione dei dati)

  • Raccogliere ed esaminare la documentazione attuale.
  • Consulenza per la progettazione e la revisione di politiche e procedure.
  • Supporto alle procedure di protezione dei dati
  • Organizzare workshop con le parti interessate per rivedere le procedure e/o le politiche, identificare quelle da creare o aggiornare.
  • Partecipare a seminari personalizzati per risolvere i problemi residui e identificare i requisiti emergenti di supporto alla protezione dei dati.
  • Valutare le attuali procedure di protezione dei dati e fornire raccomandazioni per i miglioramenti.
  • fungere da punto di contatto per le autorità di vigilanza

Quadro di gestione del rischio (monitoraggio della conformità e dei controlli esistenti)

  • Organizzare incontri con gli stakeholder critici per comprendere meglio le diverse situazioni aziendali esistenti.
  • Mettere in atto procedure per un controllo regolare della conformità al regolamento sulla protezione dei dati.
  • Fornire consigli pratici basati su scenari aziendali reali e ampie esperienze.
  • Fornire strumenti, modelli, best practice, passaggi e suggerimenti per impostare e implementare la governance GDPR all'interno della vostra organizzazione.
  • Fornire consulenza e progettare soluzioni pratiche per il trasferimento di dati personali: verso paesi terzi, terze parti e cloud, ecc. Trasferimenti transfrontalieri di dati - opzioni e soluzioni. Garantire la conformità nei trasferimenti internazionali di dati.
  • Consigli sulla protezione delle risorse informative, sulla crittografia e l'anonimizzazione, sulla prevenzione delle fughe di dati, sulla minimizzazione delle vulnerabilità hardware soft e hard e sulla valutazione delle soluzioni e delle tecnologie per la privacy.
  • La DPIA (valutazione d'impatto sulla protezione dei dati) tiene conto dei seguenti fattori: necessità, tempo, procedure, collaborazione interna/esterna, flussi di lavoro, rischi legali, approvazioni e comunicazione.
  • Audit e monitoraggio regolari della privacy dei dati: e-discovery, sicurezza dei dati; cybersecurity; privacy by design; valutazione dell'impatto sulla privacy; audit sulla protezione dei dati, monitoraggio delle attività.
  • Formazione sulla privacy per i dipendenti
  • Pratiche per la gestione di richieste e reclami
  • Scenario reale basato su un caso di violazione dei dati e piano di risposta alle incidenze
  • Fornire una serie completa di documenti standard ed esempi per dimostrare la conformità al GDRP, compresi i certificati.