Ai fini di una completa e corretta gestione degli adempimenti imposti dal regolamento, si rende necessaria la stretta collaborazione di due figure professionali – l’esperto legale con imprinting tecnico ed il “puro” consulente tecnico specializzato in sicurezza informatica – che interagiscano sinergicamente nella messa in atto delle misure tecniche ed organizzative dirette a garantire – e soprattutto a dimostrare – la conformità del trattamento dei dati al Regolamento. Tenendo conto delle finalità del trattamento, si ravvisa quindi la necessità di organizzare la struttura dei dati aziendali secondo elevati standard di sicurezza – tenuto conto delle dimensioni dell’attività – idonei a tutelare sia la struttura aziendale che i diritti degli interessati, tra cui:
- Analisi preliminare dell’organizzazione dell’attività, elencazione dei servizi esternalizzati, elenco soggetti terzi coinvolti nel trattamento, monitoraggio e gestione adempimenti per il trasferimento dei dati all’estero, mappatura dei processi, censimento dei trattamenti dei dati personali;
- Definizione delle politiche di sicurezza e della valutazione dei rischi per ogni servizio e applicativo – mediante indicazione degli strumenti tecnologici impiegati (strumenti MDM (Mobile Data Management), sistemi DLP (Data Loss Prevention), Content Filtering, sistemi di log retention, modalità e tempi di ripristino, conservazione e cancellazione dei dati;
- Ridefinizione della struttura degli accessi ai server aziendali in base ai ruoli ed i livelli di autorizzazione di ciascun incaricato;
- Attività di monitoraggio e predisposizione di misure tecniche per la prevenzione e gestione dei fenomeni di data breach.
Attività di Testing per verificare la solidità degli strumenti di protezione da vulnerabilità sistemiche e fenomeni di attacco informatico, sia esterni che interni, mediante simulazioni di accesso a rete informatica, verifica dei LOG e delle modalità di conservazione dei dati, test antivirus/sicurezza rete (detenzione di codice maligno).