Il concetto di privacy ormai è noto. La privacy è entrata nelle aziende, negli enti pubblici, negli studi dei professionisti e si è consolidata come diritto di ciascuno di vedersi preservato da una profilazione non autorizzata. Il decreto legislativo 196/2003 ha apportato una serie di obblighi cui tutti coloro che trattano dati non a scopo personale ma relativamente ad attività, sono costretti ad adeguarsi a quanto stabilito dal legislatore. Per tanti ciò comporta dispendio di energie, di investimenti e spesso coinvolge anche la reimpostazione delle procedure di trattamento dei dati all’interno della struttura di riferimento.

La sicurezza dei dati fino a ieri era un optional: le strutture non effettuavano le copie di sicurezza sottovalutandone l’importanza, lasciavano i propri pc sprovvisti di password e ciò incrementava inarrestabilmente sia gli atti di concorrenza sleale che quelli di danneggiamento o violazione dei dati.

Oggi i dati personali di cui è titolare una struttura non devono essere considerati solo delle anagrafiche ma un patrimonio vero e proprio.

Nel millennio in cui si assiste ad un continuo progresso tecnologico, assimilare il concetto di sicurezza significa saper vivere nell’era dell’informatizzazione. Trascurare questo aspetto significa arrendersi e remare contro l’evoluzione. Ecco la chiave di lettura dell’attuale normativa che interviene in un periodo di forte trasformazione e che serve a traghettarci verso un nuovo concetto di riservatezza, dove il principio basilare è la trasparenza nel trattamento dei dati e la libertà di scegliere chi possa o meno effettuare questo trattamento

Il percorso di consulenza affronta il tema del rischio e della gestione qualitativa dei Sistemi Informativi aziendali e si snoda attraverso le seguenti fasi:

analisi dei processi: rilevazione dei processi aziendali e dei data asset
individuazione e valutazione degli scenari
valutazione dei valori di criticità dei data asset
individuazione della frequenza di accadimento delle minacce (tecnologiche, fisiche ed organizzative)
individuazione e valutazione delle vulnerabilità che possono essere sfruttate dalle minacce
definizione del profilo di rischio aziendale sui data asset
gestione del rischio (prevenzione, protezione, cessione, ritenzione) e delle azioni da intraprendere
individuazione dei controlli idonei alle scelte scaturite dal punto precedente
implementazione dei controlli (procedure, responsabilità, registrazioni, ecc.)
valutazione dell’efficacia dei controlli ed eventuali modifiche migliorative.

Gli step procedurali sono volti a sviluppare, implementare, mantenere ed ottimizzare un Sistema di gestione per la Sicurezza del sistema informativo (SGSI) dell’azienda, utilizzando il “process model” PDCA (Plan-Do-Check-Act).

La metodologia segue gli standard ISO 17799:2005 e ISO 27001:2005; in base a quest’ultimo in particolare è possibile richiedere la certificazione del sistema implementato.