Mappatura GDPR e ISO 27001: L'ISO 27001 è sufficiente per la conformità al GDPR?

Il GDPR e l'ISO 27001 sono due importanti standard di conformità che hanno molto in comune. Entrambi mirano a rafforzare la data security e a mitigare il rischio di data breaches, e entrambi richiedono alle organizzazioni di garantire la riservatezza, l'integrità e la disponibilità dei dati sensibili. L'ISO 27001 è uno degli standard di buone pratiche più dettagliati e, infatti, l'articolo 24 del GDPR specifica che l'adesione a codici di condotta e certificazioni approvate, come l'ISO 27001, può essere utilizzata come elemento per dimostrare la conformità. Non sorprende che spesso senta domande come: “Sono completamente conforme al GDPR se sono già certificato secondo l'ISO 27001?”

Tuttavia, il GPDR ha un ambito molto più ampio e una comprensione più fondamentale della sicurezza e della privacy dei dati. In questo post del blog, risponderò a diverse domande frequenti riguardo ISO 27001 e GDPR, così potrete comprendere meglio le somiglianze e le differenze tra questi standard e decidere come potreste utilizzare il framework ISO 27001 per superare gli audit di GDPR compliance:

• Cos'è il GDPR?
• Cos'è ISO 27001?
• Quali sono le somiglianze tra ISO 27001 e GDPR?
• La conformità alla ISO 27001 garantisce la conformità al GDPR?

Cos'è il GDPR?

The General Data Protection Regulation (GDPR) is a compliance standard that aims to strengthen data protection; it applies to all organizations — inside or outside the EU — that store or process the personal data of EU residents. The standard will come into force on May 25, 2018, and it is already changing the way companies handle data protection. The GDPR broadens the rights of individuals with respect to their personal data, mandates new approaches (e.g., data protection by design and by default) and involves large penalties for violations.

I requisiti più critici del GDPR includono:

1. Ambito più ampio dei dati che richiedono protezione

Il GDPR protegge un ampio insieme di dati, che include non solo informazioni personali come nomi, ID e numeri di previdenza sociale, ma anche dati medici, dati biometrici, opinioni politiche e altro ancora (Articoli 5–11).

2. È richiesto un consenso esplicito per l'utilizzo dei dati

L'articolo 6 del GDPR richiede alle organizzazioni di ottenere il consenso esplicito per la raccolta e l'uso dei dati degli individui. Per soddisfare questo requisito, le organizzazioni devono conservare prove documentate che il consenso è stato dato e dimostrare che tutte le richieste di consenso sono chiare e concise.

3. Diritti estesi dei soggetti dei dati

Il capitolo 3 fornisce un lungo elenco di regole per aiutare le persone a ottenere un maggiore controllo sui propri dati. I residenti dell'UE avranno il diritto di ottenere informazioni su se i loro dati personali sono in fase di elaborazione (Articolo 15), trasferire facilmente i loro dati tra diversi fornitori di servizi (Articolo 20) e opporsi all'elaborazione dei loro dati (Articolo 21). Uno dei requisiti più significativi del GDPR è il “diritto all'oblio” (Articolo 17), che consente agli individui di costringere le aziende a cancellare i loro dati da tutti i sistemi. Il GDPR è probabilmente l'unico standard di conformità che conferisce potere nelle mani dei consumatori e pone i loro interessi al di sopra degli interessi delle organizzazioni, e le aziende che si stanno preparando per il GDPR vedono già la differenza:

Kyle Reyes, Amministratore dei Sistemi di Infrastruttura, Midland Information Resources

4. Multe ingenti per la non conformità

Fines for compliance failures are 2–4% of the company’s annual worldwide turnover or €10-20 million, whichever is higher. The most serious violations include accidental destruction, loss, change or transmission of personal data, as well as failure to demonstrate explicit consent for data processing (Articles 83–84).

5. Regole rigorose per la notifica di violazione dei dati

Secondo l'Articolo 33, i responsabili del trattamento dei dati devono segnalare le violazioni dei dati alle autorità di controllo entro 72 ore dalla scoperta. Se un'azienda non lo fa, deve fornire motivi validi per il ritardo. Questo è significativamente meno tempo rispetto a quanto richiesto da qualsiasi standard di conformità statunitense (come HIPAA o SOX).

Cos'è ISO 27001?

ISO 27001 (formalmente conosciuto come ISO/IEC 27001:2013) è uno standard internazionale sulla sicurezza delle informazioni che fornisce requisiti per l'implementazione, il mantenimento e il miglioramento di un sistema di gestione della sicurezza delle informazioni (ISMS). Un ISMS è un quadro di politiche e procedure che include i controlli legali, tecnici e fisici coinvolti nei processi di IT risk management di un'azienda. I fattori che influenzano l'implementazione dell'ISMS includono gli obiettivi dell'organizzazione, i requisiti di sicurezza, le dimensioni e la struttura.

Seguire le migliori pratiche ISO 27001 aiuta le organizzazioni ad affrontare i rischi per la sicurezza, proteggere i dati sensibili e identificare l'ambito e i limiti dei loro programmi di sicurezza. La norma si applica a un'ampia gamma di organizzazioni, come imprese, gruppi governativi, istituti accademici e organizzazioni no profit.

I requisiti più critici di ISO 27001 includono:

1. Gestione degli asset

Le organizzazioni sono tenute a raggiungere e mantenere una protezione adeguata degli asset organizzativi, il che significa che devono identificare i propri asset e documentare le regole per l'uso accettabile delle informazioni (Controlli A.8). Inoltre, tutte le informazioni devono essere classificate in termini di valore, requisiti legali, sensibilità e criticità per l'organizzazione.

2. Sicurezza operativa

Questo ampio insieme di controlli delinea le procedure operative di base e le responsabilità, come la separazione degli ambienti di sviluppo, test e operativi; la gestione dei cambiamenti; e la documentazione delle procedure operative (A.12).

3. Controllo degli accessi

Questa famiglia di controlli (A.9) fornisce linee guida per controllare l'uso dei dati all'interno dell'organizzazione e prevenire l'accesso non autorizzato ai sistemi operativi, ai servizi di rete, alle strutture di elaborazione delle informazioni e così via. Ciò comporta regole per la gestione degli accessi degli utenti, la gestione dei diritti di accesso privilegiato, le responsabilità degli utenti e il controllo degli accessi a sistemi e applicazioni.

4. Gestione degli incidenti di sicurezza delle informazioni

La famiglia di controlli A.16 delinea le regole per la segnalazione di eventi e debolezze della sicurezza IT, la gestione degli incidenti di sicurezza IT e il miglioramento di questi processi. Le organizzazioni devono garantire che gli incidenti di sicurezza siano comunicati in modo che consenta una risposta tempestiva ed efficace.

5. Sicurezza delle risorse umane

La famiglia di controllo A.7 richiede alle organizzazioni di assicurarsi che dipendenti e appaltatori siano consapevoli e adempiano alle loro responsabilità in materia di sicurezza delle informazioni. Le organizzazioni devono fornire ai membri del personale una formazione sulla consapevolezza e prendere provvedimenti disciplinari formali contro i dipendenti che commettono una violazione della sicurezza delle informazioni.

6. Continuità operativa

Questo insieme di controlli (A.17) delinea gli aspetti della sicurezza delle informazioni della gestione della continuità aziendale. Le organizzazioni devono determinare i requisiti per la continuità della gestione della sicurezza delle informazioni in situazioni avverse, documentare e mantenere i controlli di sicurezza per garantire il livello richiesto di continuità e verificare regolarmente questi controlli.

Mappatura ISO 27001 al GDPR: Quali sono le somiglianze?

Ci sono molte aree in cui ISO 27001 e il GDPR si sovrappongono. La maggior parte di esse sono legate alla sicurezza delle informazioni: ISO 27001 specifica regole simili per la protezione dei dati come quelle delineate negli articoli 5, 24, 25, 28, 30 e 32 del GDPR. Ecco solo alcuni punti che corrispondono in entrambi gli standard:

Confidenzialità, disponibilità e integrità dei dati

L'articolo 5 del GPDR specifica i principi generali per l'elaborazione dei dati, come la protezione contro "l'elaborazione non autorizzata o illecita, la perdita accidentale, la distruzione o il danno." Linee guida più dettagliate sono fornite nell'articolo 32, che stabilisce che le organizzazioni sono tenute a implementare, gestire e mantenere misure tecniche e organizzative adeguate per garantire la sicurezza dei dati, come la crittografia, la resilienza dei sistemi e dei servizi di elaborazione, la capacità di ripristinare la disponibilità dei dati personali in modo tempestivo e altro ancora.

Analogamente, diversi controlli nella ISO 27001 sono volti ad aiutare le organizzazioni a garantire la riservatezza, la disponibilità e l'integrità dei dati. A partire dall'Articolo 4, la ISO 27001 richiede alle organizzazioni di identificare problemi interni ed esterni che potrebbero impattare sui loro programmi di sicurezza. L'Articolo 6 richiede loro di determinare gli obiettivi di sicurezza IT e creare un programma di sicurezza che li aiuti a raggiungere tali obiettivi. L'Articolo 8 stabilisce gli standard per il mantenimento continuo del programma di sicurezza e richiede alle organizzazioni di documentare il loro programma di sicurezza per dimostrare la conformità normativa.

Valutazione dei rischi

Sia l'ISO 27001 che il GDPR richiedono un approccio basato sul rischio per la sicurezza dei dati. L'articolo 35 del GDPR obbliga le aziende a eseguire valutazioni d'impatto sulla protezione dei dati per valutare e identificare i rischi per i dati degli individui. Questa valutazione del rischio GDPR è obbligatoria prima di intraprendere l'elaborazione di dati ad alto rischio, come il monitoraggio sistematico di dati estremamente sensibili.

La norma ISO 27001 raccomanda inoltre alle organizzazioni di effettuare una valutazione dei rischi approfondita per identificare minacce e vulnerabilità che potrebbero influenzare i loro beni (Articolo 6.1.2) e di selezionare misure di sicurezza delle informazioni adeguate in base ai risultati di tale valutazione dei rischi (Articolo 6.1.3).

Gestione dei fornitori

L'articolo 8 della ISO 27001 richiede alle organizzazioni di identificare quali azioni di elaborazione sono esternalizzate e assicurarsi di essere in grado di mantenere tali azioni sotto controllo. L'articolo A.15 fornisce indicazioni specifiche sulle relazioni con i fornitori e richiede alle organizzazioni di monitorare e rivedere la fornitura del servizio da parte dei fornitori.

Questioni simili sono trattate nell'articolo 28 del GDPR, che richiede ai controllori dei dati di assicurare termini contrattuali e garanzie dai processori, creando un “accordo di elaborazione dei dati”.

Notifica di violazione

Secondo gli articoli 33-34 del GDPR, le aziende devono notificare alle autorità entro 72 ore dalla scoperta di una violazione dei dati personali. Anche i soggetti dei dati devono essere notificati senza indebito ritardo, ma solo se i dati presentano un "alto rischio per i diritti e la libertà dei soggetti dei dati".

L'articolo A.16 della ISO 27001, che tratta i controlli per la gestione degli incidenti di sicurezza delle informazioni, non specifica un lasso di tempo esatto per la notifica di violazione dei dati, ma afferma che le organizzazioni devono segnalare gli incidenti di sicurezza prontamente e comunicare questi eventi in modo che si possa prendere “un'azione correttiva tempestiva”.

Protezione dei dati per progettazione e per impostazione predefinita

L'articolo 25 del GDPR afferma che le aziende devono implementare misure tecniche e organizzative durante la fase di progettazione di tutti i progetti in modo da garantire la privacy dei dati fin dall'inizio ("protezione dei dati fin dalla progettazione"). Inoltre, le organizzazioni dovrebbero proteggere la privacy dei dati per impostazione predefinita e assicurarsi che vengano utilizzate solo le informazioni necessarie per ogni specifico scopo del trattamento ("protezione dei dati per impostazione predefinita").

Nella norma ISO 27001, requisiti simili sono descritti nelle Clausole 4 e 6. La Clausola 4 richiede alle organizzazioni di comprendere l'ambito e il contesto dei dati che raccolgono ed elaborano, mentre la Clausola 6 raccomanda di eseguire regolari valutazioni del rischio di sicurezza per garantire l'efficacia del loro programma di gestione della sicurezza.

Tenuta dei registri

L'articolo 30 del GDPR richiede alle organizzazioni di mantenere un registro delle loro attività di trattamento, incluse le categorie di dati, lo scopo del trattamento e una descrizione generale delle relative misure di sicurezza tecniche e organizzative.

Analogamente, la norma ISO 27001 afferma che le organizzazioni devono documentare i loro processi di sicurezza, così come i risultati delle loro valutazioni del rischio di sicurezza e del trattamento del rischio (Clausola 8). Secondo il Controllo A.8, gli asset informativi devono essere inventariati e classificati, ai proprietari degli asset devono essere assegnati e devono essere definite le procedure per l'uso accettabile dei dati.

La conformità alla ISO 27001 garantisce la conformità al GDPR?

Come puoi vedere, la certificazione con ISO 27001 può semplificare il processo di ottenimento della conformità al GDPR compliance. Tuttavia, ci sono diverse differenze tra queste normative. Il GDPR è uno standard globale che fornisce una visione strategica di come le organizzazioni debbano garantire la privacy dei dati. L'ISO 27001 è un insieme di migliori pratiche con un focus specifico sulla sicurezza delle informazioni; offre consigli pratici su come proteggere le informazioni e ridurre le minacce informatiche. A differenza del GDPR, non copre direttamente le seguenti questioni associate alla privacy dei dati, che sono descritte nel Capitolo 3 del GDPR (Data Subject Rights):

• Consenso — I responsabili del trattamento devono dimostrare che i soggetti dei dati hanno acconsentito al trattamento dei loro dati personali (Articoli 7 e 8). La richiesta di consenso deve essere presentata in una forma facilmente accessibile, con lo scopo del trattamento dei dati allegato. I soggetti dei dati hanno anche il diritto di revocare il loro consenso in qualsiasi momento.
• Portabilità dei dati — Gli individui hanno il diritto di ottenere e riutilizzare i propri dati personali per i propri scopi attraverso diversi servizi, nonché di trasmettere tali dati a un altro responsabile senza ostacoli all'usabilità (Articolo 20).
• Il diritto all'oblio — Gli individui hanno il diritto di far cancellare i propri dati personali o di fermarne la diffusione senza indugi (Articolo 17).
• Il diritto alla limitazione del trattamento — Gli individui hanno il diritto di limitare il modo in cui un'organizzazione utilizza i loro dati personali se i dati sono stati trattati illegalmente o l'individuo contesta l'accuratezza dei dati (Articolo 18).
• Diritto di opposizione — I soggetti dei dati hanno il diritto di opporsi al trattamento dei dati per fini di marketing diretto, esecuzione di compiti legali o scopi di ricerca e statistica (Articolo 21).
• Trasferimenti internazionali di dati personali — Le organizzazioni devono garantire che i trasferimenti internazionali di dati siano effettuati in conformità con le regole approvate dalla Commissione Europea (Articolo 46).

In poche parole

Come possiamo vedere, il GDPR si concentra sulla privacy dei dati e sulla protezione delle informazioni personali; richiede alle organizzazioni di impegnarsi maggiormente nell'ottenere un consenso esplicito per la raccolta dei dati e assicurarsi che tutti i dati siano trattati legalmente. Tuttavia, manca di dettagli tecnici su come mantenere un livello appropriato di sicurezza dei dati o mitigare minacce interne ed esterne. A questo proposito, la norma ISO 27001 è utile: fornisce indicazioni pratiche su come sviluppare politiche chiare e complete per minimizzare i rischi di sicurezza che potrebbero portare a incidenti di sicurezza.

Anche se conformarsi alla ISO 27001 non garantisce la conformità al GDPR, è un passo prezioso. Le organizzazioni dovrebbero considerare di perseguire la certificazione ISO 27001 per assicurarsi che le loro misure di sicurezza siano abbastanza robuste da proteggere i dati sensibili.