Esperienze e dubbi interpretativi
sulle Misure Minime di Sicurezza
Dr. Riccardo Larese Gortigo
Consulente Sistemi Informativi ed Organizzazione Aziendale
[email protected] – Cell. 348 3235194
© R. Larese Gortigo – 2007-2008
Le misure di sicurezza
© R. Larese Gortigo – 2007-2008
Obblighi di sicurezza
• Art. 31 del Testo Unico:
I dati personali oggetto di trattamento sono custoditi e
controllati, anche in relazione alle conoscenze acquisite in
base al progresso tecnico, alla natura dei dati ed alle
specifiche caratteristiche del trattamento, in modo da
ridurre al minimo, mediante l’adozione di idonee e
preventive misure di sicurezza, i rischi di distruzione o
perdita, anche accidentale, dei dati stessi, di accesso non
autorizzato o di trattamento non consentito o non conforme
alle finalità della raccolta.
© R. Larese Gortigo – 2007-2008
Misure Minime di Sicurezza
• Art. 33 del Testo Unico:
Nel quadro dei più generali obblighi di sicurezza di cui
all’articolo 31, o previsti da speciali disposizioni, i titolari del
trattamento sono comunque tenuti ad adottare le misure
minime individuate nel presente capo o ai sensi dell’articolo
58, comma 3, volte ad assicurare un livello minimo di
protezione dei dati personali.
L’adozione delle Misure Minime di Sicurezza è obbligatorio
per tutti coloro che effettuano trattamenti di dati personali.
© R. Larese Gortigo – 2007-2008
Il Documento Programmatico sulla
Sicurezza
© R. Larese Gortigo – 2007-2008
Il Documento Programmatico
•
•
E’ obbligatorio in caso di trattamento di dati sensibili o
giudiziari mediante strumenti informatici
Il caso tipico:
1. Utilizzo di badge per la registrazione degli orari di ingresso e uscita
2. Raccolta dei dati su di un pc ed inserimento delle causali di
assenza (ad es. malattia, permesso sindacale, festività religiose)
3. Invio di un file o di un documento stampato ad un service esterno di
elaborazione paghe
•
Anche in questo caso si è nelle condizioni dell’obbligo,
perché le attività del punto 2 configurano il trattamento di
dati sensibili
© R. Larese Gortigo – 2007-2008
Il Documento Programmatico (19)
• Descrive in maniera completa tutte le misure di sicurezza
poste in essere nel caso di trattamento di dati personali
sensibili o giudiziari
• Deve essere redatto ed aggiornato annualmente entro il 31
marzo di ogni anno (19)
• Se è richiesta la relazione accompagnatoria del bilancio
di esercizio, deve esserne riferito dell’avvenuta redazione
od aggiornamento (26)
• Non deve essere inviato al Garante, ma deve essere
trattenuto presso il titolare del trattamento
• Non è richiesto che abbia data certa
© R. Larese Gortigo – 2007-2008
Contenuti del Documento Programmatico
•
•
•
•
•
•
•
•
L’elenco dei trattamenti dei dati personali (19.1)
La distribuzione dei compiti e delle responsabilità (19.2)
L’analisi dei rischi che incombono sui dati (19.3)
Le misure da adottare per garantire l’integrità e la disponibilità dei
dati e la protezione delle aree e dei locali rilevanti ai fini della loro
custodia ed accessibilità (19.4)
La descrizione dei criteri e delle modalità per il ripristino della
disponibilità dei dati (19.5)
La previsione degli interventi formativi (19.6)
La descrizione dei criteri da adottare per garantire l’adozione delle
misure minime di sicurezza dei dati affidati all’esterno della struttura
del titolare (19.7)
I criteri di cifratura o separazione dei dati sensibili o giudiziari (19.8)
© R. Larese Gortigo – 2007-2008
Il modello del Garante (Tabella 1.1)
© R. Larese Gortigo – 2007-2008
Il modello del Garante (Tabella 1.2)
© R. Larese Gortigo – 2007-2008
Il modello del Garante (Tabella 2)
Ad esempio: acquisizione
e caricamento dei
dati, consultazione,
comunicazione a terzi,
manutenzione tecnica dei
programmi, gestione
tecnica
operativa della base dati
(salvataggi, ripristini, ecc.).
© R. Larese Gortigo – 2007-2008
Il modello del Garante (Tabella 3/parte I)
© R. Larese Gortigo – 2007-2008
© R. Larese Gortigo – 2007-2008
Il modello del Garante (Tabella 4.1)
© R. Larese Gortigo – 2007-2008
Il modello del Garante (Tabella 4.2)
© R. Larese Gortigo – 2007-2008
Il modello del Garante (Tabella 5.2)
© R. Larese Gortigo – 2007-2008
Il modello del Garante (Tabella 5.1)
© R. Larese Gortigo – 2007-2008
Interventi formativi (19.6)
• Riguardano:
– Conoscenza dei rischi
– Conoscenza delle misure di sicurezza e dei comportamenti da
adottare
– Responsabilità
• Devono essere erogati:
– Al momento dell’ingresso in servizio
– In occasione di cambio di mansioni
– In occasione dell’introduzione di nuovi strumenti
• E’ necessario che siano documentati
© R. Larese Gortigo – 2007-2008
Interventi formativi (modalità possibili)
• La formazione riguarda tutti gli incaricati
– Formazione d’aula per tutti gli incaricati (anche in gruppi)
– Formazione d’aula per i responsabili, che successivamente
svolgono attività di formazione agli incaricati
– Utilizzo dei servizi di formazione on-line della società Sùnapsis
s.r.l. mediante l’accordo con Confindustria Verona
© R. Larese Gortigo – 2007-2008
Il modello del Garante (Tabella 6)
© R. Larese Gortigo – 2007-2008
Il modello del Garante (Tabella 7)
© R. Larese Gortigo – 2007-2008
Il modello del Garante (Tabella 7)
© R. Larese Gortigo – 2007-2008
Il sistema di autenticazione
© R. Larese Gortigo – 2007-2008
Autenticazione informatica
ELABORATORE
SISTEMA DI AUTENTICAZIONE
CODICE
+
PAROLA
CHIAVE
DISPOSITIVO
DI
AUTENTICANZIONE
UTENTI
© R. Larese Gortigo – 2007-2008
CARATTER.
BIOMETRICA
Uno o più sistemi di autenticazione?
• Il Disciplinare Tecnico permette di:
– Configurare uno specifico sistema di autenticazione per ciascun
trattamento
oppure, in alternativa
– Un sistema di autenticazione comune per gruppi di trattamenti
(cioè applicazioni), e quindi anche per tutti
• Il sistema di autenticazione comune è abitualmente quello
utilizzato per l’accesso iniziale alla rete
• Ovviamente, se possibile, è sempre più semplice rendere
conforme il sistema di autenticazione alla rete; altri possono
essere usati, ma non necessariamente devono essere
conformi al Disciplinare Tecnico.
© R. Larese Gortigo – 2007-2008
Uno o più sistemi di autenticazione?
• L’utilizzo di un unico sistema di autenticazione è possibile
solo se tutti gli accessi alle applicazioni ne prevedono il
superamento.
• Può essere comunque opportuno configurare
conformemente anche il sistema di autenticazione specifico
per le applicazioni più “critiche”, come ad esempio quelle
per la gestione delle risorse umane e/o di paghe e
stipendi.
© R. Larese Gortigo – 2007-2008
Utilizzo delle medesime credenziali
• Accade frequentemente – soprattutto nei reparti di
produzione – che più utenti utilizzino lo stesso pc e le
medesime credenziali:
– Se non vi è accesso a dati personali: la norma non si applica e
quindi non si pone il problema (tutto può restare così!)
– Se vi è accesso (ad es. utilizzo della posta o di parti del sistema
gestionale): è necessario rendere il sistema conforme
• Per garantire la conformità del sistema
– Creare le credenziali per ogni utente
– Utilizzare adeguatamente le credenziali…
© R. Larese Gortigo – 2007-2008
Mancanza di un controllo centralizzato
• Tutte le reti dotate di un “controller” di dominio e la gran
parte delle applicazioni permettono di configurare il sistema
di autenticazione in modo conforme
– Quando questo avviene è necessario precedere alla configurazione
• Se non è possibile configurare il sistema in modo
conforme:
– Le istruzioni agli incaricati dovranno indicare esplicitamente e
dettagliatamente le procedure da seguire
– Si rende necessaria (purtroppo) la conservazione delle parole
chiave in busta chiusa
– E’ opportuna una verifica della periodica modifica delle parole
chiave da parte del “custode”
– Deve essere comunque garantita da tutti la riservatezza delle
parole chiave
© R. Larese Gortigo – 2007-2008
Il custode delle credenziali
• Deve essere sempre formalmente nominato
• Se più persone hanno accesso al server di dominio, tutte
(anche i fornitori) vengono nominate custodi delle
credenziali
• Se necessario, conserva fisicamente le buste chiuse con le
parole chiave degli utenti
• Se il sistema è centralizzato, la custodia si riduce alla
possibilità di accesso al server di dominio
• Controlla il comportamento degli utenti, richiedendo il
rispetto dell’obbligo di riservatezza
© R. Larese Gortigo – 2007-2008
Accesso in assenza dell’incaricato
• L’azienda ha la facoltà (per validi ed urgenti motivi) di
accedere a dati e sistemi
• Non è permesso conoscere le parole chiave degli altri
utenti, e quindi:
– Se il sistema è centralizzato
• Il custode modifica temporaneamente la password sul server
• Configura l’obbligo di modifica della password all’accesso
successivo
– Se il sistema non è centralizzato
• Il custode apre la busta della password e permette l’accesso
• Al ritorno dell’incaricato, gli richiede di modificare la parola
chiave e riceve la nuova busta chiusa
• Informa e giustifica l’accesso all’incaricato
© R. Larese Gortigo – 2007-2008
Applicazioni web
• Relativo ad esempio a: utilizzo della posta da remoto,
applicazioni gestionali, immissione e controllo ordini, altri
servizi web:
– Se l’accesso non permette la gestione o la visualizzazione di dati di
terzi si è fuori dal campo di applicazione della norma
– Se è possibile accedere a dati di terzi (es: posta elettronica), il
sistema deve essere reso conforme al Disciplinare Tecnico
© R. Larese Gortigo – 2007-2008
Salvataggio dei dati e disaster
recovery
© R. Larese Gortigo – 2007-2008
Salvataggio dei dati (18)
• E’ obbligatorio il salvataggio dei dati personali (backup)
• La frequenza di salvataggio deve essere almeno
settimanale, ma è opportuno che sia quotidiana
• Devono essere protetti tutti i dati:
–
–
–
–
Sistemi gestionali o ERP
Documenti degli utenti
Posta elettronica
…
• Devono essere impartite istruzioni (scritte) di carattere
tecnico ed organizzativo per definirne le modalità di
esecuzione
© R. Larese Gortigo – 2007-2008Il salvataggio dei dati
Istruzioni tecniche (18)
•
•
•
•
Individuazione dei dispositivi
Individuazione degli archivi
Definizione delle frequenze
Definizione delle modalità (backup completo, incrementale,
differenziale)
• Definizione dei criteri di rotazione dei dispositivi
• Definizione dei criteri di archiviazione dei dispositivi
• Definizione delle procedure di verifica
© R. Larese Gortigo – 2007-2008
Istruzioni organizzative (18)
• Definizione delle responsabilità
• Definizione delle procedure in caso di incidente
• Definizione delle modalità di aggiornamento delle
procedure
© R. Larese Gortigo – 2007-2008
Sistema di “Disaster recovery” (23)
• L’obbligo si applica solamente ai dati personali di natura
sensibile o giudiziaria
• Deve essere garantito l’accesso ai dati in caso di incidente
(danneggiamento dei dati o degli strumenti) in tempi certi e
comunque non superiori a sette giorni
• Modalità possibili:
– Backup completo dell’intero sistema (ghost) per permette di
garantire l’accesso ai dati anche in caso di sostituzione
– Accordi con fornitori per tempi certi di riprestino
– Utilizzo di sistemi in “cluster”
– Duplicazione del sistema in un sito remoto
• Le modalità adottate devono essere documentate nel Dps
© R. Larese Gortigo – 2007-2008Ulteriori misure per il trattamento di dati sensibili o giudiziari
Esperienze e dubbi interpretativi
sulle Misure Minime di Sicurezza
Domande e risposte
Dr. Riccardo Larese Gortigo
[email protected]
© R. Larese Gortigo – 2007-2008
Allegato – Scadenzario obblighi
Misura
Scadenza/periodicità
Tipologia dati
Disattivazione
credenziali
Entro sei mesi dal mancato
utilizzo
Tutti
Disattivazione
credenziali
Subito, in caso di perdita della
qualità
Tutti
Sostituzione autonoma
parola chiave
Ogni sei mesi
Ogni tre mesi
Comuni
Sensibili o giud.
Verifica profili
Ogni anno
Tutti
Redazione lista
incaricati
Ogni anno
Tutti
Aggiornamento
antivirus
Ogni sei mesi ( consigliabile
max. ogni settimana)
Tutti
© R. Larese Gortigo – 2007-2008
Allegato – Scadenzario obblighi
Misura
Scadenza/periodicità
Tipologia dati
Aggiornamento
programmi
Annualmente
Ogni sei mesi
Comuni
Sensibili giud.
Backup
Settimanalmente (consigliabile
ogni giorno)
Tutti
Aggiornamento DPS
Ogni anno entro il 31 marzo
Sensibili o
giudiziari
© R. Larese Gortigo – 2007-2008