La competenza nelle discipline tecnologiche è fondamentale, per carpire l’essenza stessa della information security e dominarne le complessità.
Abbiamo spesso asserito – anche in contesti pubblici e ricevendo talvolta dissensi dagli “addetti ai lavori” – che, oggi più di ieri, la protezione dei dati personali necessiti di competenze multidisciplinari, e non solo informatiche o tecnologiche.
A differenza del passato, attualmente ogni trattamento di dati viene effettuato da uno o più strumenti digitali; siano essi tablet, server web, database aziendale, sistemi in cloud. Inoltre l’informazione deve essere resa disponibile, laddove necessita, sfruttando le reti di comunicazione.
Quindi occorre proteggere l’informazione, non solo quando risiede nei sistemi aziendali, ma anche durante il suo passaggio nelle varie tipologie di reti costituenti Internet.
Uno dei concetti alla base della dataprotection, ed introdotti dalla “normativa privacy” recente, è la gestione del rischio; la valutazione dei rischi e – successivamente – la loro gestione, intesa come misure da adottare per ridurre il rischio al minimo, sono esclusivo appannaggio di soggetti che hanno una solida formazione tecnologica ed informatica.
L’art. 32 GDPR – sicurezza del trattamento è uno dei più stringati, tra tutti quelli del Regolamento; eppure, a nostro parere, scritto proprio allo scopo di poter essere riempito di moltissimi ed importantissimi contenuti.
Riteniamo che occorra avere una competenza e preparazione non comuni per definire gli specifici contenuti della specifica organizzazione.