GDPR e recupero della disponibilità del dato: l’approccio business continuity

27/02/2019


Un aspetto spesso sottovalutato occupandosi di dati e GDPR è quello che riguarda la disponibilità delle informazioni e i tempi per recuperarle.
Osservo con frequenza che la maggior parte degli sforzi di analisi e valutazione dei rischi sono volti alla riservatezza del dato, dando minore importanza a integrità e disponibilità con la conseguenza evidente di porre maggiore attenzione ai sistemi di protezione rispetto a quelli di continuità operativa. Il tema della disponibilità viene spesso smarcato definendo solamente il tipo di backup dei dati, che è sicuramente l’aspetto più visibile anche se porta ad un approccio superficiale.

La disponibilità del dato

Nel Considerando 49 del GDPR si citano le caratteristiche che il dato deve mantenere nel sistema di gestione e trattamento dello stesso. In particolare il titolare del trattamento deve assicurare che il dato sia autentico, integro, riservato e disponibile. Tale definizione è assolutamente in linea con quanto richiesto dalla norma UNI ISO EN 27001:2018 che prevede che i sistemi di gestione per la sicurezza delle informazioni mantengano le stesse riservate, integre e disponibili. La disponibilità è spesso una caratteristica sottovalutata o, per lo meno, vista solo nella sua declinazione relativa alla cyber security.

Nella norma IS0 27000 la disponibilità (availability) è la proprietà dell’informazione di essere accessibile e usabile su richiesta di un autorizzato. Tale definizione va arricchita anche dalla dimensione temporale: un’informazione che non arriva nei tempi previsti è di fatto non accessibile e usabile e quindi non disponibile. Se, ad esempio, in ambito ospedaliero ho la necessità di recuperare dei dati sulle allergie ai farmaci di un paziente e queste arrivano troppo tardi (per indisponibilità momentanea della rete ad esempio) le conseguenze possono avere un deciso impatto sulla vita del paziente. Anche pensando a un esempio meno impegnativo l’importanza di disponibilità nei tempi corretti è fondamentale. Un’opportunità persa per la mancanza di dati (elementi per la composizione per l’offerta o dati di contatto) può avere un impatto significativo sulla vita di un’azienda. È comprensibile che non sia sufficiente definire un back up per garantire la disponibilità, ma è necessario definire anche tempi e procedure per il recupero della disponibilità del dato.

La continuità operativa

È quindi importante definire e implementare, per una corretta interpretazione del GDPR, un sistema di gestione della continuità operativa, anche se non certificato necessariamente secondo la norma UNI EN ISO 22301:14. La definizione di continuità operativa, secondo tale norma, è la capacità dell’organizzazione di continuare a fornire prodotti ed erogare servizi a livelli accettabili predefiniti a seguito di un evento destabilizzante.
Declinando la definizione ai sistemi di trattamento dei dati personali si può definire la continuità operativa come la capacità dell’organizzazione di continuare a fornire i dati personali a livelli accettabili predefiniti a seguito di un evento destabilizzante. Tale ambito ha due aspetti: la continuità operativa diretta nei confronti dell’interessato e quella dei ruoli che forniscono prodotti/servizi all’interessato. Sulla base del contesto si può porre l’accento su uno dei due aspetti anche se ritengo fondamentale considerarli entrambi.

Definizioni nell’ambito della continuità operativa

È necessario introdurre delle definizioni, che mutuo liberamente dalla ISO 22301 a cui rimando per la formulazione precisa e completa.
  • Gestione della continuità operativa: processo di gestione olistica che identifica le minacce potenziali e i loro impatti sull’organizzazione nel caso si concretizzassero. Sottolineo il termine olistica, definito nella norma. È fondamentale vedere la continuità operativa come insieme e non come serie di operazioni relative a eventi separati. Lo è ancora di più nell’ambito delle misure relative al trattamento dei dati personali dove alcune misure di protezione potrebbero essere in contrasto con le necessità della continuità operativa (ad esempio pseudonimizzazione e cifratura).
  • Massima interruzione accettabile (MAO – Maximum Acceptable Outage): il limite di tempo massimo entro il quale l’effetto degli impatti degli eventi avversi diventerebbe inaccettabile, se non recuperata l’operatività.
  • Massimo periodo di interruzione tollerabile (MTPD – Maximum Tolerable Period of Disruption): nella norma italiana la definizione è identica a quella di MAO e l’indice effettivamente è molto simile, ma nel caso del MAO si considera l’assenza del servizio, in questo caso la rottura di componenti di fornitura.
Per essere più chiaro: il MAO misura, ad esempio, quanto tempo è accettabile avere i server off line per manutenzioni programmate e/o straordinarie (come aggiornamenti), il MTPD lo stesso indice ma in caso di rottura del server o di qualche componente.
  • Obiettivo di momento di recupero (RPO – Recovery Point Objective): è il momento in cui le informazioni utilizzate da un’attività devono essere rese nuovamente disponibili.
  • Obiettivo di tempo di recupero (RTO – Recovery Time Objective): è l’obiettivo di tempo successivo a un incidente entro il quale si ritorna ad avere la disponibilità dell’informazione.

La business continuity per il trattamento dei dati personali

Per l’implementazione è consigliato partire sempre dalla definizione corretta dei dati trattati e da una seria analisi dei rischi. L’analisi dei rischi è uno dei punti centrali sia delle norme citate (27001 e 22301) che del GDPR e deve essere ripetuta ad intervalli regolari perché sia efficace. Per una corretta formulazione dell’analisi dei rischi rimando ad altri articoli su questo sito e alla chiarissima guida ENISA, oltre alla specifica norma. Nell’ambito di tale analisi è importante definire anche gli indici definiti in precedenza (MAO, MPTD, RPO e RTO).
In tal modo si potrà approntare il piano per la continuità operativa: un insieme di procedure documentate che guidano l’organizzazione nel rispondere, recuperare, riprendere e ripristinare le attività operative a livelli ritenuti accettabili. Il piano è una parte centrale e non dev’essere visto come una mera attività burocratica.
Come già dovrebbe essere per la risposta agli eventi che riguardano integrità e riservatezza, il titolare deve assicurarsi di avere procedure per ristabilire, entro i limiti di MAO e MTPD e rispettando gli obiettivi RPO e RTO, la disponibilità del dato. Vanno perciò definite attività e azioni prioritarie e testata, tramite simulazioni ed esercitazioni, l’efficacia delle decisioni strategiche, politiche e operative che si sono definite.
La gestione della continuità operativa, come quella della sicurezza delle informazioni, è un’attività continua, basata sul ciclo PDCA (plan-do-check-act) comune a tutte le norme definite secondo l’Annex SL e aiuta l’organizzazione a migliorare la sua conformità ai dettami del GDPR.

Conclusione

I dettami delle norme relative ai sistemi di gestione della continuità operativa aiutano a fornire uno schema per implementare e migliorare l’aspetto relativo alla disponibilità del dato.
Banalizzando: non basta definire la presenza di un back up dei dati, ma è necessario definire la consistenza del back up e entro quanto tempo i dati saranno recuperati e resi disponibili senza che l’organizzazione o l’interessato subisca conseguenze irreparabili. (Fonte: Stefano Mastella, https://www.cybersecurity360.it)