Affinché le aziende possano prendere decisioni informate e ben orientate agli obiettivi di business, devono prima sapere quali risorse possiedono, dove sono posizionate e come vengono utilizzate.
L'adozione di un sistema di “alert” che avvisi l’utente che si sta inviando una mail a persone esterne all’organizzazione, in modo da intercettare eventuali usi impropri del campo “c.c.” è una funzione che potrebbe prevenire ed evitare molti dei data breach causati dall’errore umano in cui informazioni delicate vengono comunicate a una moltitudine di soggetti non autorizzate a conoscerle.
La ISO/IEC ha pubblicato una serie di documenti della serie ISO/IEC 27035 all’interno della famiglia ISO/IEC 27000; essi trattano della gestione degli eventi, degli incidenti e delle vulnerabilità della sicurezza delle informazioni, ampliando ed integrando i controlli relativi alla gestione degli incidenti contenuti nella ISO /IEC 27001.2022.
Le evidenze raccolte nelle attività di audit GDPR devono essere confrontate con i criteri ovvero documenti che dettano le “regole”. Un problema si presenta quando i criteri non sono nettamente definiti o addirittura mancanti ed è necessario comunque valutare l’efficacia di un processo.
Áudea, leader spagnolo nei servizi di cybersecurity, e INVEO Group, gruppo italiano specializzato in privacy governance, certificazione e consulenza in materia di data protection, annunciano la formalizzazione di una partnership volta a rafforzare e ampliare i servizi di protezione dei dati nei rispettivi territori nazionali.
Come noto, ogni trattamento di dati personali deve avvenire nel rispetto dei principi fissati all’articolo 5 del Regolamento UE 2016/679 (Gdpr), e tra questi troviamo il principio di integrità e riservatezza secondo il quale i dati personali devono essere trattati in maniera da garantire un'adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali. Il tema della sicurezza dei trattamenti è strettamente connesso con quello della information security.
La politica aziendale di una organizzazione deve focalizzarsi sulla cultura della responsabilità individuale, trovando una naturale applicazione anche nel contesto della introduzione di strumenti di AI a comunicare da quella generativa che oramai è parte integrante delle attività quotidiane.
