Sicurezza dei dati e tutela della
privacy per il lavoro “digitale”.
Relatore: Dr. Roberto Reggiani
Consulente in aziende e PA, per
la progettazione di sistemi di
qualità e di sicurezza delle
informazioni.
Lead Auditor ISO 9001
1
Le opportunità del “lavoro digitale”
Le
moderne
tecnologie
offrono
alle
organizzazioni strumenti e mezzi di decisiva
rilevanza per la loro gestione.
Le nuove tecnologie possono sensibilmente
migliorare le performances dei processi interni
di un’organizzazione e
addirittura aprire
nuovi scenari sia per le aziende
(vetrine digitali, e-commerce, piattaforme
digitali di acquisto)
che per le PA (contatto in tempo reale con i
cittadini, aste on line, PEC).
Organizzare la sicurezza dei dati
2
Quanto ci siamo dentro !
Molte di queste innovazioni ci affiancano da
tempo nelle nostre attività quotidiane,
aiutandoci
a
reperire
tempestivamente
informazioni o raggiungere utenti/clienti con
maggiore rapidità e completezza
(Internet – email, applicazioni WEB).
Altre sono in procinto di pervadere i nostri
uffici per ridurre drasticamente i tempi di
lavorazione
delle
pratiche,
aumentare
l’efficienza e la trasparenza
(sistemi di work flow , posta certificata,
digitalizzazione dei documenti, SPCoop).
Organizzare la sicurezza dei dati
3
Quali i rischi ?
Le innovazioni, si sa, modificano lo status quo
di una struttura e devono pertanto essere
assimilate a livello organizzativo.
Le tecnologie del resto sono solo strumenti
che possono migliorare o anche determinare
processi lavorativi, ma non definiscono come
tali processi devono essere attuati e
controllati né che impatti abbiano su un bene
sempre più prezioso per le organizzazioni:
Le informazioni
Organizzare la sicurezza dei dati
4
I disastri possibili
che accadrebbe se …
Si perdessero (rottura dischi, corruzione) i
dati con cui quotidianamente lavoriamo ?
O qualcuno accedesse ai nostri archivi e
trafugasse o corrompesse questi dati ?
O si bloccassero i sistemi di gestione delle
nostre applicazioni (server, reti, pc, ecc.) ?
….
Organizzare la sicurezza dei dati
5
Le conseguenze immediate
probabilmente subiremmo una serie di danni:
 Economici diretti (stop vendite on line,
negazione di servizi ai cittadini)
Di efficienza (blocco o forte riduzione dei
processi interni di lavoro)
Di immagine: una giornata di fermo può
rendere inutili gli investimenti fatti per
proiettare
all’esterno
l’immagine
di
un’organizzazione moderna e sicura.
Organizzare la sicurezza dei dati
6
Le conseguenze legali
e forse qualcosa d’altro:
 E se i dati
trafugati riguardassero
persone fisiche protette dalla privacy ?
E
se i dati
danneggiati/trafugati
appartenessero ai miei clienti (dati
contabili, progetti, dati riguardanti i
cittadini) ?
 E se il “servizio negato” fosse considerato
essenziale per alcune categorie di cittadini
(tributi, sanità, scadenze di procedure) ?
Organizzare la sicurezza dei dati
7
Le contromisure
Alcune attenzioni non mancano mai:
 Sistemi di backup dei dati
 Sistemi di protezione (firewall, antivirus)
 Regole
per l’utilizzo
informatiche e l’accesso.
delle
risorse
 Disposizioni riguardanti la privacy.
Ma sono sufficienti ?
NO !
Organizzare la sicurezza dei dati
8
Le minacce sono tante
eventi, generati da atti accidentali o anche dolosi, che possono provocare danni diretti o indiretti agli asset
Esempi di eventi negativi a cui siamo esposti.
Furto da parte di esterni non autorizzati
Furto da parte di personale autorizzato all'accesso
Incendio, Allagamento, Catastrofe naturale
Atto Vandalico
Danneggiamento fisico (di dati digitali e non)
Cadute di tensione, Prolungate mancanze di corrente
Danneggiamento logico (di dati digitali e non)
Intrusione non autorizzata nei propri sistemi
Malfunzionamento hardware
Malfunzionamento apparati di rete
Malfunzionamento software
Non disponibilità connessione a Internet
Organizzare la sicurezza dei dati
9
… e anche le debolezze dei sistemi
i punti deboli del sistema dell’organizzazione, sfruttabili dalle minacce per concretizzarsi in eventi negativi
Le minacce sfuttano le seguenti vulnerabilità.
Asset
Asset
Asset
Asset
Asset
Asset
Asset
Asset
Asset
Asset
fisicamente accessibile da non autorizzati
logicamente accessibile da non autorizzati
utilizzato anche da personale non aziendale
da manutenere o aggioronare spesso
con prestazioni critiche
non ridondato (hw); non "backuppato" (dati)
allocato in locali seminterrati
non protetto da gruppo di continuità
non dotato di un sistema di continuità > di 1H
soggetto a spostamenti frequenti
Organizzare la sicurezza dei dati
10
Identificazione degli asset
Possiamo definire un asset nel modo seguente:
Una risorsa dell’organizzazione
(documenti, basi dati, componenti
hardware e reti, programmi software,
strutture logistiche), che incida sulla
sicurezza delle informazioni.
Organizzare la sicurezza dei dati
11
Le contromisure
La sicurezza al 100% non esiste.
Esistono invece metodi per gestire i rischi,
cioè eventi che hanno una qualche probabilità
di accadimento e un certo impatto negativo.
Le metodologie devono:
 definire gli strumenti e gli elementi di I/O
 identificare le Debolezze e Minacce, inclusi
impatti e probabilità, per ogni Asset;
 specificare le misure di gestione del rischio;
 pianificare il Monitoraggio.
Organizzare la sicurezza dei dati
12
Consigli per individuare i rischi
Partendo dalle debolezze e minacce:.
a. Immaginiamo tutti gli eventi negativi
possibili (analisi delle esperienze passate,
confronto con realtà organizzative similari)
b. scartiamo quegli eventi che hanno una
probabilità di accadimento molto bassa
(disastri naturali ad es.) e quelli che ne
hanno una molto alta (non sono rischi,
sono eventi da gestire nel quotidiano);
c. scartiamo anche quegli eventi che non ci
arrecherebbero dei danni significativi.
Organizzare la sicurezza dei dati
13
Un test
Il nostro attuale livello di sicurezza:
Una volta individuati i rischi, su cui vale la
pena soffermarsi, chiedetevi:
La nostra metodologia ci fornisce elementi
(piani di azione, PCE & BC, suggerimenti
pratici, attenzioni da porre) per far fronte ai
rischi individuati?
E’ solo carta
o ci sono reali istruzioni
sul cosa e come farlo ?
Organizzare la sicurezza dei dati
14
Obiettivi della Sicurezza
ISO 27001 - La
sicurezza delle informazioni mira a:
 salvaguardare la riservatezza dell'informazione significa ridurre a livelli
accettabili
il
rischio
che
un'entità
possa,
volontariamente
o
involontariamente, accedere all'informazione stessa senza esserne
autorizzata;
 salvaguardare l'integrità dell'informazione significa ridurre a livelli
accettabili il rischio che possano avvenire cancellazioni o modifiche di
informazioni a seguito di interventi di entità non autorizzate o del verificarsi
di fenomeni non controllabili (come il deteriorarsi dei supporti di
memorizzazione, la degradazione dei dati trasmessi su canali rumorosi, i
guasti degli apparati, i problemi ai sistemi di distribuzione dell'energia, gli
incendi, gli allagamenti) e prevedere adeguate procedure di recupero delle
informazioni (ad esempio i piani di back-up);
 salvaguardare la disponibilità dell'informazione significa ridurre a livelli
accettabili il rischio che possa essere impedito alle entità autorizzate
l'accesso alle informazioni a seguito di interventi di altre entità non
autorizzate o del verificarsi di fenomeni non controllabili.
.
Organizzare la sicurezza dei dati
15
Misure minime di sicurezza
DLGS 196/2003: Art. 34 (Trattamenti con strumenti elettronici)
Consideriamo allora le seguenti disposizioni un aiuto:
1. Il trattamento di dati personali effettuato con strumenti elettronici e'
consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico
contenuto nell'allegato B), le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione (profilazione ndr);
d) aggiornamento periodico dell'individuazione dell'ambito del trattamento
consentito ai singoli incaricati e addetti alla gestione o alla manutenzione
degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti
di dati, ad accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della
disponibilità dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza;
h) adozione di tecniche di cifratura o di codici identificativi per determinati
trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale
effettuati da organismi sanitari.
Organizzare la sicurezza dei dati
16
Amministratore di sistema
Prov.Garante del 27 Novembre 2008 [doc. web n. 1577499]
1. Con la definizione di "amministratore di sistema" si individuano
generalmente, in ambito informatico, figure professionali finalizzate
alla gestione e alla manutenzione di un impianto di elaborazione o
di sue componenti.
Ai fini del presente provvedimento vengono però considerate tali
anche altre figure equiparabili dal punto di vista dei rischi relativi
alla protezione dei dati, quali gli amministratori di basi di dati, gli
amministratori di reti e di apparati di sicurezza e gli amministratori
di sistemi software complessi.
• possesso di particolari requisiti tecnico-organizzativi, di onorabilità,
professionali, morali o di condotta; l'operato degli amministratori di
sistema deve essere oggetto, con cadenza almeno annuale, di
un'attività di verifica da parte dei titolari del trattamento;
registrazione degli accessi logici (autenticazione informatica) …
Organizzare la sicurezza dei dati
17
Reti dati e posta elettronica
Linee guida del
internet 1/3/2007
Garante
per
posta elettronica ed
[doc. web n. 1387522]
a) Compete ai datori di lavoro assicurare la funzionalità e il corretto
impiego di tali mezzi da parte dei lavoratori, definendone le modalità
d'uso nell'organizzazione dell'attività lavorativa, tenendo conto della
disciplina in tema di diritti e relazioni sindacali;
b) spetta ad essi adottare idonee misure di sicurezza per assicurare la
disponibilità e l'integrità di sistemi informativi e di dati, anche per
prevenire utilizzi indebiti che possono essere fonte di responsabilità
[articoli 15 (danni cagionati) , 31 ss. (misure di sicurezza) , 167 (tratt. illecito dati) e 169 (sanzioni
per non adozione misure minime) del Codice ]
Grava quindi sul datore di lavoro l'onere di indicare in ogni caso,
chiaramente e in modo particolareggiato, quali siano le modalità di
utilizzo degli strumenti messi a disposizione ritenute corrette e se, in
che misura e con quali modalità vengano effettuati controlli.
Organizzare la sicurezza dei dati
18
Controllo email del dipendente
Provvedimento Garante del 2 Aprile 2008 (ispezione pc AD)
[doc. web n. 1519703]
In proposito, si rappresenta che l'art. 28 del Codice prevede espressamente che, in caso di
trattamenti effettuati da persone giuridiche, "titolare del trattamento è l'entità nel suo complesso" e
non già la singola persona fisica ancorché rappresentante legale dell'ente (nello stesso senso, le
numerose pronunce del Garante in argomento: cfr. Parere 9 dicembre 1997, in Boll. n. 2/1997, doc.
web n. 30915; v. anche Boll. n. 5/1998, doc. web n. 41794; Boll. n. 6/1998, doc. web n. 41862).
5.1: In conformità all'art. 11, comma 1, lett. a) del Codice, i dati personali oggetto di trattamento
devono essere trattati secondo liceità e correttezza. In particolare, il principio di correttezza comporta
l'obbligo, in capo al titolare del trattamento, di indicare chiaramente agli interessati le caratteristiche
essenziali del trattamento e l'eventualità che controlli da parte del datore di lavoro possano
riguardare gli strumenti di comunicazione elettronica, ivi compreso l'account di posta (in tal senso v.,
di recente, Corte europea dei diritti dell'uomo, Copland v. U.K., 3 aprile 2007, punti 42 e 44 in
particolare; v. già Corte europea dei diritti dell'uomo, Halford v. U.K., 25 giugno 1997, punto 44).
Applicato al caso di specie, tale principio impone di rendere preventivamente e chiaramente noto agli
interessati se, in che misura e con quali modalità vengono effettuati controlli in ordine all'utilizzo
degli strumenti aziendali in dotazione ai lavoratori (v. anche, le Linee guida del Garante per posta
elettronica ed internet del 1° marzo 2007, punto 3.1).
5.2: la società ha trattato effettivamente informazioni personali del reclamante con modalità
intenzionalmente non dichiarate ("i dipendenti del CED hanno ricevuto tassativa disposizione di non
comunicare l'avvenuta consegna di tutta la corrispondenza personale del Top Management").
5.2: il Codice in materia di protezione dei dati personali considera valido il consenso solo se questo è
manifestato in relazione a un trattamento "chiaramente" individuato (art. 23, comma 3).
5.4: inoltre la società ha comunicato a terzi, senza il previo consenso, i dati dell’ex. AD.
Organizzare la sicurezza dei dati
19
Le fonti normative
Decreto Legislativo 196 del 30 Giugno-2003
Il testo, chiamato anche “codice Privacy”, mira a introdurre
nuove garanzie per i cittadini, razionalizzando le norme
esistenti e semplificando gli adempimenti. Sostituisce la legge
“madre” sulla protezione dei dati, la n. 675 del 1996.
 Legge 675 31 Dicembre 1996
 Provvedimento del Garante del 27 Novembre 2008
 Leggi Italiane e Comunitarie, Provvedimenti, FAQ,
presenti sul sito del Garante, all’indirizzo:
http://www.garanteprivacy.it/garante/navig/jsp/index.jsp
Organizzare la sicurezza dei dati
20
Linee guida a cui riferirsi
 Frequently Asked Questions sul tema degli AdS
 CNIPA Quaderno 23 Marzo 2006
 ISCOM Linee guida outsorurcing
 Linee Guida presenti sul sito del CNIPA, all’indirizzo:
http://www.cnipa.gov.it/site/itIT/Attivit%c3%a0/Sicurezza_informatica/
 Il contributo di Microsoft, disponibile all’indirizzo:
http://www.microsoft.com/italy/pmi/privacy/default.mspx
Organizzare la sicurezza dei dati
21
Fine dei moduli
Grazie per l’attenzione e …
Se avete interesse inviate
i vostri commenti
sul corso al mio indirizzo di posta
[email protected]
Organizzare la sicurezza dei dati
22