Siro Migliavacca, un esperto del settore, ci parla dei servizi di cybersecurity
TAVERNE - A colloquio con Siro Migliavacca, Managing Partner di Security Lab Advisdory SAGL, partecipata di Security Lab SAGL, gruppo di riferimento in Ticino da più di dieci anni per i servizi di cybersecurity.
Ing. Migliavacca, è in atto una corsa per l’adeguamento alla nuova legge Europea sulla protezione dei dati personali. Come acquisire le competenze necessarie per affrontare un percorso di compliance verso questa nuova norma?
«Formazione, formazione, formazione! Come accade per ogni nuova normativa, bisogna trasferire le necessarie competenze alle varie figure impegnate nel processo di adeguamento. La formazione delle persone consente di impostare e realizzare nel modo giusto il progetto di adeguamento e mantenere la sua efficacia nel tempo».
«In particolare per il GDPR, la formazione delle persone non è soltanto garanzia per la realizzazione di un adeguato sistema di gestione della sicurezza dei dati personali, ma è anche applicazione del concetto di “accountability” da parte degli amministratori della società, che dimostrano di aver operato “responsabilmente” verso la compliance al GDPR e l’obiettivo di protezione dei diritti e delle libertà degli “interessati”».
Cosa si intende per “interessati”?
«Gli interessati sono le persone fisiche delle quali le aziende e pubbliche amministrazioni detengono i dati personali. Una vera rivoluzione sociale! Si sancisce con decisione che le nostre informazioni personali devono essere protette adeguatamente e non lasciate alla mercè di coloro che possono riuscire ad accedervi sfruttando le vulnerabilità delle infrastrutture informatiche dove vengono conservate, né di coloro che fanno “mercificazione” delle informazioni, come ormai è evidente a tutti».
Che tipologia di formazione è necessario organizzare in azienda?
«Direi che ci sono diversi livelli di formazione, in funzione dei livelli di coinvolgimento dei collaboratori nel progetto di adeguamento e della complessità del progetto stesso».
Può fare qualche esempio?
Ci sono tre livelli di formazione principali :
1. Formazione strutturata di alto profilo, che necessita di diverse giornate, dove vengono trattate varie tematiche: dai contenuti specifici della normativa stessa, ai vari aspetti di governance, agli aspetti legali e di forensica, alle contromisure tecnologiche necessarie. Questa tipologia di formazione è indicata per i professionisti del settore, che sono poi chiamati a trasferire questo valore ai manager delle aziende che avranno incarichi dirigenziali nel progetto di adeguamento al GDPR e nel processo di gestione della sicurezza dei dati. L’applicazione del GDPR necessita di un sistema di gestione della sicurezza e, quindi, di un processo che prevede la continua misurazione della efficacia delle misure applicate e il relativo miglioramento, nel classico ciclo di Deming PLAN-DO-CHECK-ACT.
2. Formazione introduttiva, di una-due giornate, finalizzata a dare una visione d’insieme della normativa e della metodologia per affrontare il processo di compliance. Questa tipologia di formazione è indispensabile per chi in azienda deve coordinare il progetto, anche se aiutato da consulenti esterni. È l’infarinatura di base per affrontare la materia con serenità.
3. Formazione di consapevolezza, finalizzata ad informare ed istruire gli “addetti autorizzati ai trattamenti”, ossia le persone che, autorizzate dal titolare o dal responsabile del trattamento, hanno accesso a vario titolo o gestiscono i dati personali degli interessati. Solitamente sono interventi di 1 ora o un’ora e mezzo a piccoli gruppi di collaboratori. Ricordo anche che la formazione degli addetti autorizzati è un obbligo della normativa.
Ci sono in previsione iniziative di formazionee in Ticino su questo tema ?
«Assolutamente sì. Ci tengo a segnalare due iniziative imminenti sul territorio, nelle quali siamo coinvolti in prima persona. Il corso “Introduzione al GDPR e cenni sulla nuova LPD”, organizzato da Security Lab Advisdory SAGL, che si terrà il 19 Settembre, ripetizione della sessione del 7 Giugno che ha avuto un grande successo di partecipazione. Il corso di un giorno è organizzato in collaborazione con l’associazione ATED, con l’intento di fornire alle aziende un “kit” minimo di competenze per affrontare serenamente il tema (maggiori informazioni QUI). Questa giornata sarà tenuta da me, Managing Partner di Security Lab Advisory SAGL, dall’Ing. Alberto Piamonte, consulente d’impresa, esperto di governance, analisi e gestione dei rischi, GDPR e certificazioni di conformità e dall’Avv. Rocco Talleri, partner dello studio legale Talleri Law di Lugano, con un intervento di Mirko Lunardon della società Manthea, che illustrerà gli impatti del GDPR sul sito web aziendale.
Questo corso risponde alle esigenze di “Formazione introduttiva” di cui sopra al punto 2.
Segnalo anche il Corso per Data Manager, percorso di formazione di 48 ore, suddiviso in tre moduli di 16 ore, organizzato da ATED ICT Ticino in collaborazione con Security Lab Advisory e con il coinvolgimento del Servizio informatica forense SUPSI, coordinato dal prof. Alessandro Trivilini. Una partnership strategica in perfetto stile P-P-P, con forte imprinting interdisciplinare, attiva anche nell’organizzazione e nella promozione di eventi legati al mondo dell’informatica e della sicurezza. Maggiori informazioni QUI
Il corso si articola tra Settembre e Dicembre con 12 sessioni settimanali serali e risponde alle esigenze di Formazione strutturata di alto profilo di cui sopra al punto 1.
Per quanto riguarda la Formazione di Consapevolezza per gli addetti autorizzati al trattamento, di cui sopra al punto 3, proponiamo un mini corso, che eroghiamo solitamente al termine del progetto di adeguamento al GDPR realizzato assieme alle nostre aziende clienti.
Per maggiori informazioni potete contattare Siro Migliavacca, Managing Partner di Security Lab Advisory SAGL:
Tel +41 76 395 59 41
siro.migliavacca@sec-lab.com
www.sec-lab.com