Protezione dei dati personali: un obbligo per tutte le organizzazioni
Il 15 dicembre è entrata in vigore la direttiva per adempiere alle misure tecniche e amministrative previste dal Garante per la Privacy, che riguardano nello specifico il controllo degli accessi e il ruolo degli amministratori di sistema. L'adeguamento alla nuova normativa è così diventato obbligatorio.
Il 15 Dicembre è entrata in vigore la direttiva che obbliga le imprese di adempiere alle misure previste dal Garante per la Privacy. Le aziende, private e pubbliche, hanno l'obbligo di dotarsi di adeguati sistemi informatici in grado di controllare gli accessi e verificare le attività nella gestione dei dati personali da parte degli amministratori di sistema, reti e database. Lo scorso 24 dicembre 2008 è stata pubblicata sulla Gazzetta Ufficiale N. 300 la normativa emanata dal Garante per la protezione dei dati personali del 27 Novembre 2008. Secondo il provvedimento, tutti i i titolari dei trattamenti effettuati mediante strumenti elettronici devono prestare la massima attenzione ai rischi e alle criticità implicite nell'affidamento degli incarichi di amministratore di sistema.
Un amministratore di sistema può accedere, intenzionalmente o non, in modo privilegiato a risorse del sistema informativo e a dati personali cui non si è legittimati ad accedere rispetto ai profili di autorizzazione normalmente attribuiti. Il Garante intende promuovere l'adozione di specifiche cautele nello svolgimento delle mansioni degli amministratori di sistema, unitamente ad accorgimenti e misure, tecniche e organizzative, volti ad agevolare l'esercizio dei doveri di controllo da parte del titolare (due diligence).
Le misure e le cautele devono essere messe in atto da tutte le aziende private e da tutti i soggetti pubblici, compresi gli uffici giudiziari, le forze di polizia, i servizi di sicurezza.
Sono esclusi invece i trattamenti di dati, sia in ambito pubblico che privato, effettuati a fini amministrativo contabile, che pongono minori rischi per gli interessati.
[tit:Il perchè del provvedimento]
A seguito delle attività ispettive disposte negli ultimi anni dal Garante è emerso quanto gli amministratori informatici (sistemi, reti e database) giochino un rilevante ruolo per le aziende pubbliche e private.
Si tratta di figure fondamentali per la sicurezza delle banche dati e la corretta gestione delle reti telematiche; sono esperti chiamati a svolgere delicate funzioni che comportano la capacità di accedere a tutti i dati che transitano sulle reti aziendali e istituzionali. A essi viene affidato spesso anche il compito di vigilare sul corretto utilizzo dei sistemi informatici di un'azienda o di una pubblica amministrazione.
Per questi motivi il Garante richiama l'attenzione di enti, amministrazioni, società private sulla figura professionale dell'amministratore di sistema e ha prescritto l'adozione di specifiche misure tecniche e organizzative che agevolino la verifica sulla sua attività da parte da parte di chi ha la titolarità delle banche dati e dei sistemi informatici. Le ispezioni effettuate dall'Autorità hanno anche evidenziato la carenza di opportuni sistemi informatici di controllo in grado di registrare gli accessi, verificare le attività ed elencare gli amministratori definiti e le loro caratteristiche. Esiste in diversi casi una scarsa consapevolezza del ruolo svolto dagli amministratori di sistema. I gravi casi verificatisi negli ultimi anni hanno evidenziato una preoccupante sottovalutazione dei rischi che possono derivare quando l'attività di questi esperti sia svolta senza il necessario controllo.
[ttit:Le misure da rispettare]
Quali le misure da mettere in atto previste dalla normativa? Registrazione degli accessi, Verifica della attività, Elenco degli amministratori di sistema e loro caratteristiche, sono le principali misure a cui adempiere.
Vediamole nel dettaglio:
Registrazione degli accessi. Le aziende devono dotarsi di sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste. Le registrazioni devono anche comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.
Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti.
Elenco degli amministratori di sistema. Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico della sicurezza, oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante. Dovranno infine essere valutate con attenzione esperienza, capacità e affidabilità della persona chiamata a ricoprire il ruolo di amministratore di sistema, che deve essere in grado di garantire il pieno rispetto della normativa in materia di protezione dei dati personali, compreso il profilo della sicurezza.
[tit:Cosa fare in pratica]
CA, produttore di primo livello di soluzioni di Identity & Access Management, che compongono una vera e propria piattaforma per raggiungere gli obiettivi di conformità, ha redatto una sorta di decalogo che inquadra gli obiettivi, i requisiti e gli ambiti tecnologici di conformità a cui attenersi.Un insieme di passi pragmatici da seguire per "essere in regola" con la normativa. Il percorso suggerito in relazione all'Identity Compliance prevede i seguenti passi principali:Catalogare le risorse (file, dataset, database, …), che contengono dati personali e ricadono quindi come ambito del provvedimento.
Catalogare le abilitazioni (gruppi, ruoli, …), che conferiscono l'accesso alle risorse ambito del provvedimento con privilegi amministrativi.
Determinare gli utenti quali utenti sono collegati direttamente o indirettamente a tali abilitazioni e dispongono quindi di privilegi amministrativi.
Documentare e aggiornare l'elenco aggiornare gli utenti che dispongono di privilegi amministrativi dettagliando analiticamente gli ambiti di accesso.
Per ciò che concerne la parte di Compliance più "operazionale", CA indica di muoversi in questo modo:
- Tracciare l'identità personale degli amministratori che accedono ai sistemi ambito del provvedimento;
- Registrare gli accessi effettuati con privilegi amministrativi ai sistemi ambito del provvedimento;
- Archiviare gli eventi raccolti in modo da garantirne adeguatamente l'integrità;
- Interrogare gli eventi raccolti e produrre periodicamente report finalizzati a verificare che gli accessi amministrativi effettuati siano conformi alle raccomandazioni prescritte dalla normativa vigente;
- Storicizzare gli eventi in modo adeguatoagli scopi prescritti della normativa vigente.
Di fatto regole pratiche che trovano massima applicabilità mediante l'utilizzo della piattaforma CA.
Un amministratore di sistema può accedere, intenzionalmente o non, in modo privilegiato a risorse del sistema informativo e a dati personali cui non si è legittimati ad accedere rispetto ai profili di autorizzazione normalmente attribuiti. Il Garante intende promuovere l'adozione di specifiche cautele nello svolgimento delle mansioni degli amministratori di sistema, unitamente ad accorgimenti e misure, tecniche e organizzative, volti ad agevolare l'esercizio dei doveri di controllo da parte del titolare (due diligence).
Le misure e le cautele devono essere messe in atto da tutte le aziende private e da tutti i soggetti pubblici, compresi gli uffici giudiziari, le forze di polizia, i servizi di sicurezza.
Sono esclusi invece i trattamenti di dati, sia in ambito pubblico che privato, effettuati a fini amministrativo contabile, che pongono minori rischi per gli interessati.
[tit:Il perchè del provvedimento]
A seguito delle attività ispettive disposte negli ultimi anni dal Garante è emerso quanto gli amministratori informatici (sistemi, reti e database) giochino un rilevante ruolo per le aziende pubbliche e private.
Si tratta di figure fondamentali per la sicurezza delle banche dati e la corretta gestione delle reti telematiche; sono esperti chiamati a svolgere delicate funzioni che comportano la capacità di accedere a tutti i dati che transitano sulle reti aziendali e istituzionali. A essi viene affidato spesso anche il compito di vigilare sul corretto utilizzo dei sistemi informatici di un'azienda o di una pubblica amministrazione.
Per questi motivi il Garante richiama l'attenzione di enti, amministrazioni, società private sulla figura professionale dell'amministratore di sistema e ha prescritto l'adozione di specifiche misure tecniche e organizzative che agevolino la verifica sulla sua attività da parte da parte di chi ha la titolarità delle banche dati e dei sistemi informatici. Le ispezioni effettuate dall'Autorità hanno anche evidenziato la carenza di opportuni sistemi informatici di controllo in grado di registrare gli accessi, verificare le attività ed elencare gli amministratori definiti e le loro caratteristiche. Esiste in diversi casi una scarsa consapevolezza del ruolo svolto dagli amministratori di sistema. I gravi casi verificatisi negli ultimi anni hanno evidenziato una preoccupante sottovalutazione dei rischi che possono derivare quando l'attività di questi esperti sia svolta senza il necessario controllo.
[ttit:Le misure da rispettare]
Quali le misure da mettere in atto previste dalla normativa? Registrazione degli accessi, Verifica della attività, Elenco degli amministratori di sistema e loro caratteristiche, sono le principali misure a cui adempiere.
Vediamole nel dettaglio:
Registrazione degli accessi. Le aziende devono dotarsi di sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste. Le registrazioni devono anche comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.
Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti.
Elenco degli amministratori di sistema. Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico della sicurezza, oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante. Dovranno infine essere valutate con attenzione esperienza, capacità e affidabilità della persona chiamata a ricoprire il ruolo di amministratore di sistema, che deve essere in grado di garantire il pieno rispetto della normativa in materia di protezione dei dati personali, compreso il profilo della sicurezza.
[tit:Cosa fare in pratica]
CA, produttore di primo livello di soluzioni di Identity & Access Management, che compongono una vera e propria piattaforma per raggiungere gli obiettivi di conformità, ha redatto una sorta di decalogo che inquadra gli obiettivi, i requisiti e gli ambiti tecnologici di conformità a cui attenersi.Un insieme di passi pragmatici da seguire per "essere in regola" con la normativa. Il percorso suggerito in relazione all'Identity Compliance prevede i seguenti passi principali:Catalogare le risorse (file, dataset, database, …), che contengono dati personali e ricadono quindi come ambito del provvedimento.
Catalogare le abilitazioni (gruppi, ruoli, …), che conferiscono l'accesso alle risorse ambito del provvedimento con privilegi amministrativi.
Determinare gli utenti quali utenti sono collegati direttamente o indirettamente a tali abilitazioni e dispongono quindi di privilegi amministrativi.
Documentare e aggiornare l'elenco aggiornare gli utenti che dispongono di privilegi amministrativi dettagliando analiticamente gli ambiti di accesso.
Per ciò che concerne la parte di Compliance più "operazionale", CA indica di muoversi in questo modo:
- Tracciare l'identità personale degli amministratori che accedono ai sistemi ambito del provvedimento;
- Registrare gli accessi effettuati con privilegi amministrativi ai sistemi ambito del provvedimento;
- Archiviare gli eventi raccolti in modo da garantirne adeguatamente l'integrità;
- Interrogare gli eventi raccolti e produrre periodicamente report finalizzati a verificare che gli accessi amministrativi effettuati siano conformi alle raccomandazioni prescritte dalla normativa vigente;
- Storicizzare gli eventi in modo adeguatoagli scopi prescritti della normativa vigente.
Di fatto regole pratiche che trovano massima applicabilità mediante l'utilizzo della piattaforma CA.
Notizie correlate
Speciali Tutti gli speciali
Calendario Tutto
Mag 07
Huawei Italy Enterprise Roadshow 2024 - Roma
Mag 08
Road to NIS2 - Padova
Mag 09
IDC Future of Digital Infrastructure Forum 2024
Mag 09
Huawei Italy Enterprise Roadshow 2024 - Caserta
Mag 14
Huawei Italy Enterprise Roadshow 2024 - Aci Castello
Mag 16
Road to NIS2 - Roma
Mag 23
AWS Summit 2024 - Milano
Mag 30
Be Connected Day
Mag 30
Fortinet Security Day - Milano
Magazine Tutti i numeri
G11 Media Networks
ImpresaCity e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del
11/10/2007- Iscrizione ROC n. 15698
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
