IL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA

La componente "intelligente" costituita dai sistemi di automazione, protezione e controllo è sempre più un elemento a cui le aziende si rivolgono con grande attenzione.

Gran parte delle infrastrutture critiche sono governate da sistemi di sicurezza e quindi un loro possibile malfunzionamento può riflettersi immediatamente sulla nostra vita di tutti i giorni.

Ma è l'informazione il bene aggiunto che dà valore all'impresa e che, ormai, è custodita su supporti informatici. In un contesto dove i rischi informatici causati dalle violazioni dei sistemi di sicurezza sono in continuo aumento, ogni organizzazione dev'essere in grado di garantire la sicurezza dei propri dati.

Per questo esistono, a carico delle imprese, precisi obblighi in materia di privacy, tra cui quello di redigere annualmente uno specifico Documento Programmatico sulla Sicurezza (DPS).

L'adozione di un documento programmatico sulla sicurezza è un obbligo previsto dalla normativa sulla protezione dei dati personali per tutti i titolari che trattano i dati personali sensibili con strumenti elettronici.
Il documento va predisposto o aggiornato annualmente entro il 31 marzo affinché se ne possa dare comunicazione nella relazione allegata al Bilancio d'esercizio.

I contenuti del documento riguardano essenzialmente:

• l'elenco dei trattamenti di dati personali
• la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati
• l'analisi dei rischi che incombono sui dati
• le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità
• la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento
• interventi formativi degli incaricati del trattamento per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano
• la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare
• l'individuazione dei criteri da adottare per la cifratura o per la separazione di dati sulla salute e vita sessuale dagli altri dati personali dell'interessato

La norma internazionale ISO 27001:2005 a questo proposito, è finalizzata alla standardizzazione delle modalità adatte a proteggere i dati e le informazioni da minacce di ogni tipo, al fine di assicurarne l'integrità, la riservatezza e la disponibilità.

Lo standard indica i requisiti di un adeguato sistema di gestione della sicurezza delle informazioni finalizzato a una corretta gestione dei dati dell'azienda.
La norma è applicabile a imprese operanti nella gran parte dei settori commerciali e industriali, come finanza e assicurazioni, telecomunicazioni, servizi, trasporti, settori governativi.

Infine, fase indispensabile per ogni pianificazione sulla sicurezza aziendale è la valutazione e gestione del rischio. Per valutazione del rischio spesso intendiamo la fase più importante nel processo di risk management e può anche essere la più difficile e soggetta ad errore.
Una volta identificati e valutati i rischi, le fasi per gestirli in modo appropriato possono essere più facili da individuare.

La gestione del rischio, invece, riguarda il processo mediante il quale si misura o si stima il rischio e successivamente si sviluppano delle strategie idonee a governarlo.

(fonte: Sicurezza aziendale)