Regolamento UE Privacy, ecco il piano attuativo di Sogei


Fonte: ASKANEWS - 16 maggio 2017

Le misure illustrate dal presidente e AD Cristiano Cannarsa


 
 

Per adottare le nuove misure di sicurezza introdotte dal Regolamento europeo in materia di protezione dei dati personali, Sogei, partner tecnologico del Ministero dell'Economia e delle Finanze, "ha definito, già da tempo, un piano attuativo in risposta alle prescrizioni innovative". È quanto ha detto l'ingegner Cristiano Cannarsa, presidente e amministratore delegato di Sogei, intervenuto oggi a Roma presso lo Spazio Europa nel corso dell'evento "Save the Data".
"Il piano attuativo di Sogei", ha spiegato il manager, "è basato sui cardini del Regolamento e riguarda, principalmente, l'integrazione in tutti i processi aziendali dei requisiti di sicurezza e privacy previsti dalla normativa e dai relativi adempimenti."

Per farsi trovare pronto alla data fissata per la completa entrata in vigore delle nuove norme, ovvero maggio del 2018, il partner tecnologico del MEF, ha aggiunto Cannarsa, "ha definito uno strumento di multicompliance, che raccoglie i requisiti di sicurezza e privacy in un unico framework, estensibile anche in vista di nuove norme o regolamenti. Tale framework unificato consente di eliminare la ridondanza che deriva da molteplici standard di sicurezza, da normative e da regolamenti specifici e permette di ottimizzare i tempi e le risorse necessarie per le analisi e i conseguenti interventi in materia di privacy e sicurezza".

Questo framework, ha rilevato il presidente e AD di Sogei, "rappresenta anche il supporto per l'inserimento dei principi di security e privacy by design e by default nel ciclo di vita dello sviluppo software, già dalle prime fasi di analisi dei requisiti dei servizi". Per i servizi che consentono un trattamento di dati con possibile rischio per i diritti e le libertà delle persone, ha sottolineato ancora Cannarsa, "Sogei sta definendo un metodo di analisi e valutazione degli impatti, ispirato ai principi riconosciuti a livello internazionale, proiettato già verso un modello di certificazione dei trattamenti. L'attuazione di tale piano operativo comporta, pertanto, l'aggiornamento e il rafforzamento dell'attuale processo di information governance, su cui sono basati sviluppo ed erogazione dei servizi IT."

Entrando nello specifico, il manager ha spiegato che "considerando la criticità delle banche dati e dei servizi gestiti", per "proteggere le informazioni gestite e assicurare il pieno e puntuale rispetto delle misure di sicurezza, secondo quanto prescritto dalla normativa, Sogei ha definito un modello organizzativo caratterizzato da una struttura funzionale dedicata al governo ed alla gestione della sicurezza, a diretto riporto del Vertice Aziendale e presidiata da un Chief Security Officer (CSO), delegato per l'attuazione degli adempimenti privacy (Delegato Privacy), che orchestra, in un'ottica integrata, tutti gli attori coinvolti negli aspetti di tutela e salvaguardia del patrimonio informativo e degli asset aziendali. Tale modello organizzativo si basa su un Sistema di Governo della Sicurezza che analizza costantemente l'andamento dei rischi inerenti la sicurezza delle informazioni mediante il coinvolgimento diretto dei business owner e del Vertice Aziendale, definisce le priorità di investimento in ambito sicurezza e assicura l'allineamento continuo del programma di sicurezza con gli obiettivi strategici aziendali, ottimizzando la gestione delle risorse richieste e monitorando sistematicamente l'efficacia delle misure adottate, al fine di favorire un processo di miglioramento continuo della sicurezza".

Attraverso tale centro di governo unitario, Sogei mira così a "controllare l'intera filiera della sicurezza e garantire la protezione dell'organizzazione e dei servizi erogati da molteplici punti di vista: la sicurezza delle informazioni, la sicurezza fisica, la cybersecurity, la sicurezza delle informazioni classificate."

A tale proposito, ha approfondito Cannarsa, "allo stato attuale Sogei ha adottato diversi sistemi di gestione, che operano in stretta correlazione per la sicurezza complessiva del sistema informativo del MEF, fisica e logica: Sistema di Gestione della Sicurezza delle Informazioni (SGSI), basato sui principi della ISO/IEC 27001 che integra le attività complessivamente svolte per la protezione del patrimonio informativo e per la protezione dei dati personali; Sistema di Gestione della Privacy (SGP), basato sulle prescrizioni normative e i provvedimenti del Garante della Protezione dei dati personali; Sistema per la Gestione delle Informazioni Classificate (SGIC), basato sulle direttive del Dipartimento delle informazioni per la sicurezza (DIS), che presta la massima attenzione alla gestione di beni, servizi, informazioni e documenti classificati, la cui diffusione non controllata potrebbe recare danno non solo all'efficienza del Sistema Informativo del Ministero dell'Economia e delle Finanze, ma anche alla sicurezza e all'integrità dello Stato"; sistema di gestione degli incidenti di cybersecurity, tramite Computer Emergency Response Team (CERT) e Security Operation Center (SOC) che operano secondo le raccomandazioni del CERT-PA dell'Agenzia per l'Italia Digitale (AgID); Sistema di Gestione della Sicurezza Fisica (SGSF)" che assicura la protezione fisica delle sedi societarie e dei beni in esse contenuti, mediante impianti e servizi di vigilanza, in linea con le aspettative delle parti interessate.

In particolare la definizione e l'adozione di un Sistema di Gestione Privacy, ha detto ancora il presidente e ad del partner tecnologico del MEF, "consente di attuare le misure di sicurezza e di privacy prescritte dal Regolamento, in un'ottica di semplificazione, efficacia ed efficienza dell'organizzazione, per tutto quanto condotto da Sogei in qualità di titolare e di responsabile del trattamento. Il SGP garantisce una chiara e corretta ripartizione, tra circa 1600 incaricati e 350 amministratori di sistema designati, degli obblighi e delle responsabilità per la gestione dei trattamenti di dati personali e degli adempimenti previsti, sotto il controllo del titolare del trattamento e del Delegato Privacy. La gestione delle designazioni degli incaricati e degli amministratori di sistema è supportata da un modello di information governance privacy-oriented, che conta circa 450 Servizi ICT ripartiti in 60 ambiti tecnologici". In tale contesto Sogei sta anche "analizzando e valutando il ruolo del Data Protection Officer, individuando la giusta figura e definendo i relativi processi e le procedure da applicare".

In linea generale, ha concluso il manager "il funzionamento di tali sistemi è regolato da approcci e strutture comuni, che assicurano metodiche e prassi di intervento omogenee, a prescindere dallo specifico ambito di protezione a cui si applicano. In questo ambito Sogei sta valutando l'integrazione globale dei sistemi di gestione e la definizione di un percorso di certificazione unico, con pianificazione di interventi formativi specifici".


(Fonte: Cyber Affairs)