Passa ai contenuti principali

CISO e DPO: interazione e compatibilità tra due figure strategiche nella difesa dei dati



Col recepimento della NIS2 in attuazione della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di sicurezza informatica nell'Unione, sentiremo sempre più spesso parlare della figura professionale del CISO che è l'acronimo inglese di Chief Information Security Officer. In questo articolo esaminiamo il rapporto tra questa figura attinente alla sicurezza informatica e quella del Responsabile della protezione dei dati RPD conosciuto anche con l'acronimo di DPO (Data Protection Officer) come disciplinato dal Regolamento europeo sulla protezione dei dati personali (UE) 2016/679. Diciamo subito che entrambe sono figure che operano nell'ambito della sicurezza dei dati, con ruoli distinti ma complementari. Ecco una panoramica di ciascun ruolo e delle loro possibili interazioni.

Ruolo del CISO:
Il CISO è responsabile della sicurezza delle informazioni e dei sistemi aziendali. Si occupa della gestione dei rischi legati alla sicurezza informatica, della protezione dell'infrastruttura IT e della risposta a incidenti di sicurezza. In pratica, il CISO ha il compito di proteggere l'azienda da minacce esterne e interne che potrebbero compromettere la sicurezza dei dati e dei sistemi.

Ruolo del DPO:
Il DPO è un presidio alla protezione dei dati personali, i suoi compiti sono definiti dall’art. 39 del GDPR. La sua designazione diventa sistematica nei casi specificati dall’art. 37 del GDPR. I suoi compiti sono i seguenti:
  • Sorvegliare l’osservanza del regolamento riguardo all'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di audit
  • Informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal regolamento
  • Fungere da punto di contatto per l’Autorità di controllo per questioni connesse al trattamento dei dati personali (per esempio in caso di ispezioni del Garante)
  • Fornire se richiesto un parere in merito alla valutazione d’impatto sulla protezione dei dati (DPIA)
  • Cooperare con l’Autorità di controllo.

Differenze principali tra i due ruoli:
  • Obiettivi: Il CISO è concentrato sulla sicurezza dei dati e dell’infrastruttura, mentre il DPO si focalizza sulla conformità alla normativa sui dati personali.
  • Aree di Focus: Il CISO copre un ambito più ampio di sicurezza IT (inclusi dati non personali), mentre il DPO si concentra sulla gestione e protezione dei dati personali.
  • Indipendenza: Il DPO deve essere indipendente, con il compito di monitorare l'azienda per assicurare il rispetto delle normative; il CISO, invece, fa parte del team di sicurezza.

Possibili conflitti e sovrapposizioni e come evitarli:
  • Sovrapposizione delle responsabilità: Entrambi lavorano sui dati, ma con approcci diversi. Potrebbero sorgere conflitti se il CISO vede la sicurezza come prioritaria rispetto alla privacy o viceversa. Definire chiaramente i ruoli e le responsabilità può ridurre la sovrapposizione.
  • Priorità divergenti: Il CISO potrebbe adottare misure di sicurezza che il DPO considera invasive per la privacy degli utenti, come la sorveglianza interna. Per evitare queste situazioni, è utile che CISO e DPO collaborino su policy che rispettino sia la sicurezza sia la privacy.
  • Comunicazione e collaborazione: La mancanza di comunicazione può portare a interpretazioni diverse delle normative o delle misure di sicurezza. Stabilire una linea di comunicazione chiara e programmare incontri regolari aiuta entrambi a coordinare gli sforzi.
Da tutto ciò si evince come il CISO e il DPO dovrebbero essere partner strategici, collaborando per trovare il giusto equilibrio tra sicurezza dei dati e rispetto della privacy. In questo modo, l’azienda non solo si assicura di proteggere i propri dati, ma lo fa rispettando anche le normative in vigore.

La stessa persona può rivestire entrambi i ruoli?
In teoria, il CISO e il DPO potrebbero essere la stessa persona, ma nella pratica questo è fortemente sconsigliato, soprattutto in aziende di grandi dimensioni o in settori particolarmente regolamentati. 

Motivi per separare i ruoli di CISO e DPO:

1. Indipendenza del DPO:
Il GDPR richiede che il DPO mantenga una certa indipendenza all'interno dell'organizzazione. Il DPO ha il compito di vigilare sul rispetto delle normative sulla protezione dei dati, e questo include anche il controllo delle misure di sicurezza adottate dal CISO. Se il DPO e il CISO fossero la stessa persona, l’autonomia e l’indipendenza del DPO potrebbero risultare compromesse, poiché si troverebbe a "controllare se stesso".

2. Conflitto di Interessi:
Il CISO è incaricato della sicurezza dei dati e potrebbe privilegiare strategie che garantiscano una maggiore protezione, anche se a volte a scapito della privacy degli utenti. Il DPO, invece, deve assicurarsi che qualsiasi misura adottata sia conforme alle normative e rispetti i diritti degli individui. Avere un unico responsabile per entrambi i ruoli potrebbe portare a decisioni sbilanciate o in conflitto con i requisiti del GDPR.

3. Focus e Specializzazione:
Il CISO ha competenze prevalentemente in sicurezza informatica, gestione dei rischi IT e protezione dell'infrastruttura aziendale. Il DPO, invece, è specializzato in normative sulla privacy e deve avere una conoscenza approfondita delle leggi sulla protezione dei dati, con la capacità di guidare l’organizzazione verso la conformità legale. Questi ruoli richiedono competenze e conoscenze diverse, che difficilmente possono essere pienamente gestite da una sola persona in modo efficace.

4. Esistono casi nei quali i due ruoli potrebbero essere ricoperti dalla stessa persona?
Se noi vivessimo in un mondo ideale nel quale le aziende avessero importanti fondi da destinare alla compliance aziendale le due figure il CISO e il DPO, come abbiamo visto, dovrebbero essere due persone distinte per mantenere indipendenza e specializzazione. Purtroppo la realtà è ben diversa: viviamo in un paese assai fragile dal punto di vista della sicurezza informatica come dimostrano ogni giorno i casi di cronaca, in cui le competenze in questo strategico settore scarseggiano. Nelle realtà aziendali di piccole dimensioni o con una bassa complessità dei dati, i ruoli di CISO e DPO potrebbero essere affidati alla stessa persona, purché questo non comprometta l'indipendenza del DPO e non ci siano conflitti d'interesse evidenti. Ad esempio, una piccola azienda che gestisce pochi dati personali di natura non particolare, potrebbe trovare pratico e più economico affidare entrambe le responsabilità a una sola figura ove ovviamente questa persona abbia le competenze tecniche per rivestire entrambi questi ruoli.


Etichette:

Commenti

Posta un commento

Post popolari in questo blog

Cancellazione sicura: la sanificazione dei dati informatici

La sanificazione è un punto importante del ciclo di vita del dato: quando il dato giunge al termine del suo ciclo vitale ovvero quando è diventato inutile, obsoleto o ridondante è essenziale poterlo dismettere in modo sicuro facendo in modo che non sia possibile per nessuno poterlo ricostruire in alcun modo. Formattare i dischi da smaltire non basta, è come buttare nel cassonetto un libro strappando solo la pagina dell'indice, il primo che passa potrebbe recuperarlo e leggerlo. I vostri dati sono tutti al loro posto pronti per essere ripristinati. Secondo un'indagine condotta da uno dei maggiori produttori mondiali di HD sulla vendita online di supporti di memorizzazione usati è stato possibile recuperare integralmente il contenuto di questi hard disk ben 7 volte su 10. Molti dati personali vengono recuperati da supporti digitali smaltiti in modo superficiale. In cosa consiste la sanificazione dei dati? Si definisce sanificazione dei dati quel processo attraverso il qua...
Posta un commento
Continua a leggere »

Chiamate vocali a prova di intercettazione con Signal

Di tanto in tanto mi capita di scorrere la lista di coloro tra  miei contatti che sono iscritti a Signal, l'applicazione voip gratuita e open source basata sulla crittografia end-to-end lanciata nel 2014 dall'organizzazione no profit Open Whisper Systems, e mi dolgo davvero di quanto pochi essi siano soprattutto se paragonati con quelli iscritti alla più popolare app di messagistica di Meta, ovvero la maggior parte di loro. Anarchico, hacker, crittografo, maestro d'ascia, skipper, Moxie Marlinspike, il fondatore del servizio Signal, è convinto che il progresso tecnologico debba andare di pari passo con la sicurezza degli utenti. Così intorno alla sua "creatura" è nata una community di persone che mettono la privacy al primo posto. Tra questi anche Edward Snowden il whistleblower ex consulente dell'NSA, l'agenzia per la sicurezza nazionale degli Stati Uniti, che nella primavera del 2013 divulgò una serie di informazioni classificate sui piani di sorveglian...
Posta un commento
Continua a leggere »