Rilevano le misure di natura tecnica misure volte a tutelare in maniera diretta e specifica il sistema informativo. Si tratta, in altre parole, della cassaforte dove le informazioni vengono mantenute. Vi sono numerose misure di carattere tecnico che operano su diversi livelli di protezione.

• le misure di sicurezza fisica: cancelli, sistemi di sorveglianza, archivi fisici, ecc.
• i sistemi informatici di protezione: firewall, antivirus, antispam, ecc.
• i sistemi di tracciamento e autenticazione: password, tracciamento dei log, credenziali, ecc.
• le misure che agiscono sulle informazioni: crittografia, pseudonimizzazione e anonimizzazione
• le misure di conservazione: sistemi di back up, datacenter, cloud

In secondo luogo, il rischio può essere limitato anche attraverso misure organizzative. L’organizzazione deve stabilire le regole di accesso e gestione del sistema informativo, così come tutte le necessarie procedure da applicarsi in tutte le situazioni che possono configurarsi. Le misure di carattere organizzativo hanno un duplice scopo. Da un lato offrono maggior tutela al sistema informativo dell’organizzazione in quanto permettono di identificare chiaramente i responsabili e i relativi compiti. Dall’altro, la creazione di sistema di organizzazione delle informazioni permette di migliorare l’efficienza dell’organizzazione, evitando così che ciascuno abbia accesso e utilizzi solo le informazioni effettivamente utili.

L’ultimo livello di protezione è garantito dalle misure contrattuali. Un’organizzazione deve sapere quali obblighi e responsabilità imporre a quali soggetti e come agire in caso di violazione.