L’audit sul sistema di gestione privacy in mancanza di procedure
È oramai ampiamente noto che per svolgere attività di audit è necessario disporre anzitutto di un criterio. Le evidenze raccolte tramite interviste, analisi di documenti, osservazioni e altre fonti, come ad esempio banche dati e siti web, devono essere confrontate con i criteri ovvero documenti che dettano le “regole”. Le risultanze, che emergono dalla valutazione delle risultanze a fronte dei criteri, possono portare a conformità, non conformità, opportunità di miglioramento, individuazione di nuovi rischi o, ancora, buone prassi.
(Nella foto: l'Ing.Monica Perego, docente al Corso per Data Manager, e speaker al Privacy Day Forum 2025)
I criteri sono rappresentati da normative come, ad esempio, un provvedimento del Garante, le procedure interne come quella di valutazione dei fornitori, i capitolati dei del titolare del trattamento e così via.
Un problema si presenta quando i criteri non sono nettamente definiti o addirittura mancanti ed è necessario comunque valutare l’efficacia di un processo, come previsto dal “mai abbastanza ricordato” articolo 32 1d) del GDPR, laddove espressamente richiede la valutazione dell’efficacia delle misure tecniche ed organizzative.
In questo articolo si cerca di comprendere, attraverso un esempio, la tecnica da utilizzare.
Un esempio guida - Durante un audit, il CISO illustra all’auditore il progetto di un’articolata attività one-shot destinata al personale aziendale per aumentare la consapevolezza sulle tematiche della cyber security.
L’attività consiste in formazione, simulazione di phishing, e l’organizzazione di giornate della cybersecurity con esperti e testimonial, ecc.
Si tratta di un progetto stand alone che l’organizzazione ha avviato a seguito di un evento critico che si è verificato di recente.
Come fare a valutare l’iniziativa, e più in generale come valutare l’efficacia delle misure quando non esiste un criterio definito, ovvero non sono state definite procedure mirate?
In questo caso, il modo migliore per affrontare il problema è quello di applicare il modello PDCA tramite:
- l’individuazione delle varie fasi del modello, dove la mancanza di una di queste evidenzia una potenziale criticità;
- indagando successivamente sull’efficacia della applicazione e documentazione di ogni fase.
Ritornando al caso in esame, bisogna ricercare le quattro fasi dell’azione proposta.
Quindi, inizialmente in fase di audit bisogna indagare che sia stato ben definito l’obiettivo che si pone l’azione nel suo complesso ovvero; rafforzare la consapevolezza in materia di cybersicurezza del personale. Successivamente vanno verificate, supportata dalla necessaria documentazione, la presenza delle fasi di:
PLAN – rappresenta l’insieme delle azioni adottate dall’organizzazione per prevenire situazioni critiche. Tali azioni devono essere coerenti e proporzionate al fine di eliminare le cause che le hanno generate (ad esempio, scarsa consapevolezza);
DO – attuazione conforme a quanto pianificato, con la possibilità di introdurre modifiche migliorative sulla base dell’andamento nella fase di applicazione;
CHECK – verifica dell’esito delle azioni pianificate, che deve essere coerente con l’obiettivo stabilito;
ACT – insieme di azioni adottate a seguito della valutazione dell’esito del controllo (fase precedente). Questa fase può comportare la revisione delle azioni intraprese, la proposta di nuove azioni periodiche, la rivalutazione dell’intero progetto o la sua chiusura soddisfacente, qualora gli obiettivi siano stati raggiunti.
La documentazione richiesta in audit, come evidenza, per le varie fasi potrebbe essere rappresentata da:
PLAN – piano delle azioni da effettuare per raggiungere l’obiettivo con individuati, per ogni azione, i tempi, i responsabili il budget e più in generale le risorse richieste e come sarà valutato l’esito finale;
DO – documenti a supporto dell’esecuzione come calendari, comunicazioni, registri di presenza ed inviti alle attività formative, ecc.;
CHECK – evidenze come test di valutazione quali questionari e test di valutazione dell’apprendimento, i risultati dell’attività di fishing, oltre alla loro elaborazione sotto forma di dati di sintesi sulla base dei quali effettuare la successiva attività;
ACT – relazioni che sulla base dell’esito dei controlli pone in evidenza la necessità o meno di ripianificare ulteriori azioni, anche ad intervalli o di considerare l’esperienza conclusa.
I risultati dell’esito del controllo vanno documentati sulla check-list di audit come da prassi.
In sintesi - Quindi, il modo migliore per valutare un’attività – un insieme di attività laddove non fossero presenti delle procedure che hanno valenza di criteri, è quello di individuare, durante un audit che:
- siano presenti e documentate tutte le fasi del modello PDCA;
- è stato verificato che tutte le fasi sono state portate a termine in modo soddisfacente, efficace e documentate;
- a seguito della fase del controllo sono state prese delle decisioni congruenti con l’esito dei controlli stessi.
Effettuare audit su attività prive di criteri regolatori è una situazione più comune di quanto si pensi. Spesso, queste attività rientrano nella gestione di progetti specifici che, se dimostrano di essere efficaci, si possono trasformano in processi ripetibili nel tempo.
In questi casi, si auspica l’introduzione di una procedura di supporto che assuma il ruolo di criterio di riferimento.
Conclusioni - In sintesi, un progetto che nasce in seguito a un’esigenza di contesto spesso non è supportato da una procedura; verificandone l’efficacia è molto utile applicare il modello PDCA.
Laddove questo progetto risultasse soddisfacente e si decidesse di trasformarlo in un processo, uno dei passaggi previsti è quello di documentare le varie attività e formalizzare una procedura che, a sua volta, avrebbe valore di criterio. IN tal modo si potrebbero applicare le tecniche di audit, ben note, in modo completo.
