Cos’è e quali sono le attività di testing
L’analisi del rischio tecnologico comprende le attività atte a soddisfare i requisiti di valutazione del rischio informatico.
L’articolo 32, comma 1, del GDPR prevede questo tipo di analisi. Le aziende devono valutare i propri asset tecnologici e quantificare il relativo rischio.
“il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
[…]
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.”
Questo è l’estratto della normativa dove risulta evidente la necessità di adempiere a questa valutazione.
L’analisi del rischio tecnologico è essenziale anche per valutare le proprie vulnerabilità, non solo per essere compliant.
Le attività di analisi del rischio tecnologico
Le attività di testing preposte a valutare il rischio sono varie e automatizzabili. Nello specifico possiamo apprezzare l’importanza di Vulnerability Assessment e Network Scan. Queste due attività consentono all’azienda di avere a disposizione una mappatura della propria infrastruttura IT su molteplici livelli.
Il Vulnerability Assessment, infatti, permette di analizzare le vulnerabilità presenti nei siti internet / web app aziendali.
D’altro canto, il Network Scan consente di monitorare la situazione che concerne l’infrastruttura lato network. Questo significa essere consapevoli dei propri punti deboli circa workstation, server, firewall,… Oltre, ovviamente, a risultare compliant in termini legislativi.
Queste attività appena elencate sono necessarie a garantire la sicurezza della propria struttura. La stessa struttura che concorre ai trattamenti dati aziendali. I servizi di Vulnerability Assessment e Network Scan sono completamente automatizzabili e permettono di rispondere positivamente alle esigenze di compliance richieste dalla normativa.
L’articolo 32 della normativa è molto chiaro circa i requisiti da rispettare ma questa corsa alla quantificazione del rischio dovrebbe essere una priorità assoluta per le aziende, con o senza GDPR.
