Esperienze e dubbi interpretativi sulle Misure Minime di Sicurezza Dr. Riccardo Larese Gortigo Consulente Sistemi Informativi ed Organizzazione Aziendale r.larese@assind.vi.it – Cell. 348 3235194 © R. Larese Gortigo – 2007-2008

Le misure di sicurezza © R. Larese Gortigo – 2007-2008

Obblighi di sicurezza Art. 31 del Testo Unico: I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati ed alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. © R. Larese Gortigo – 2007-2008

Misure Minime di Sicurezza Art. 33 del Testo Unico: Nel quadro dei più generali obblighi di sicurezza di cui all’articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell’articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali. L’adozione delle Misure Minime di Sicurezza è obbligatorio per tutti coloro che effettuano trattamenti di dati personali. © R. Larese Gortigo – 2007-2008

Il Documento Programmatico sulla Sicurezza © R. Larese Gortigo – 2007-2008

Il Documento Programmatico E’ obbligatorio in caso di trattamento di dati sensibili o giudiziari mediante strumenti informatici Il caso tipico: Utilizzo di badge per la registrazione degli orari di ingresso e uscita Raccolta dei dati su di un pc ed inserimento delle causali di assenza (ad es. malattia, permesso sindacale, festività religiose) Invio di un file o di un documento stampato ad un service esterno di elaborazione paghe Anche in questo caso si è nelle condizioni dell’obbligo, perché le attività del punto 2 configurano il trattamento di dati sensibili © R. Larese Gortigo – 2007-2008

Il Documento Programmatico (19) Descrive in maniera completa tutte le misure di sicurezza poste in essere nel caso di trattamento di dati personali sensibili o giudiziari Deve essere redatto ed aggiornato annualmente entro il 31 marzo di ogni anno (19) Se è richiesta la relazione accompagnatoria del bilancio di esercizio, deve esserne riferito dell’avvenuta redazione od aggiornamento (26) Non deve essere inviato al Garante, ma deve essere trattenuto presso il titolare del trattamento Non è richiesto che abbia data certa © R. Larese Gortigo – 2007-2008

Contenuti del Documento Programmatico L’elenco dei trattamenti dei dati personali (19.1) La distribuzione dei compiti e delle responsabilità (19.2) L’analisi dei rischi che incombono sui dati (19.3) Le misure da adottare per garantire l’integrità e la disponibilità dei dati e la protezione delle aree e dei locali rilevanti ai fini della loro custodia ed accessibilità (19.4) La descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati (19.5) La previsione degli interventi formativi (19.6) La descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza dei dati affidati all’esterno della struttura del titolare (19.7) I criteri di cifratura o separazione dei dati sensibili o giudiziari (19.8) © R. Larese Gortigo – 2007-2008

Il modello del Garante (Tabella 1.1) © R. Larese Gortigo – 2007-2008

Il modello del Garante (Tabella 1.2) © R. Larese Gortigo – 2007-2008

Il modello del Garante (Tabella 2) Ad esempio: acquisizione e caricamento dei dati, consultazione, comunicazione a terzi, manutenzione tecnica dei programmi, gestione tecnica operativa della base dati (salvataggi, ripristini, ecc.). © R. Larese Gortigo – 2007-2008

Il modello del Garante (Tabella 3/parte I) © R. Larese Gortigo – 2007-2008

© R. Larese Gortigo – 2007-2008

Il modello del Garante (Tabella 4.1) © R. Larese Gortigo – 2007-2008

Il modello del Garante (Tabella 4.2) © R. Larese Gortigo – 2007-2008

Il modello del Garante (Tabella 5.2) © R. Larese Gortigo – 2007-2008

Il modello del Garante (Tabella 5.1) © R. Larese Gortigo – 2007-2008

Interventi formativi (19.6) Riguardano: Conoscenza dei rischi Conoscenza delle misure di sicurezza e dei comportamenti da adottare Responsabilità Devono essere erogati: Al momento dell’ingresso in servizio In occasione di cambio di mansioni In occasione dell’introduzione di nuovi strumenti E’ necessario che siano documentati © R. Larese Gortigo – 2007-2008

Interventi formativi (modalità possibili) La formazione riguarda tutti gli incaricati Formazione d’aula per tutti gli incaricati (anche in gruppi) Formazione d’aula per i responsabili, che successivamente svolgono attività di formazione agli incaricati Utilizzo dei servizi di formazione on-line della società Sùnapsis s.r.l. mediante l’accordo con Confindustria Verona © R. Larese Gortigo – 2007-2008

Il modello del Garante (Tabella 6) © R. Larese Gortigo – 2007-2008

Il modello del Garante (Tabella 7) © R. Larese Gortigo – 2007-2008

Il modello del Garante (Tabella 7) © R. Larese Gortigo – 2007-2008

Il sistema di autenticazione © R. Larese Gortigo – 2007-2008

Autenticazione informatica ELABORATORE SISTEMA DI AUTENTICAZIONE CODICE + PAROLA CHIAVE DISPOSITIVO DI AUTEN-TICANZIONE CARATTER. BIOMETRICA UTENTI © R. Larese Gortigo – 2007-2008

Uno o più sistemi di autenticazione? Il Disciplinare Tecnico permette di: Configurare uno specifico sistema di autenticazione per ciascun trattamento oppure, in alternativa Un sistema di autenticazione comune per gruppi di trattamenti (cioè applicazioni), e quindi anche per tutti Il sistema di autenticazione comune è abitualmente quello utilizzato per l’accesso iniziale alla rete Ovviamente, se possibile, è sempre più semplice rendere conforme il sistema di autenticazione alla rete; altri possono essere usati, ma non necessariamente devono essere conformi al Disciplinare Tecnico. © R. Larese Gortigo – 2007-2008

Uno o più sistemi di autenticazione? L’utilizzo di un unico sistema di autenticazione è possibile solo se tutti gli accessi alle applicazioni ne prevedono il superamento. Può essere comunque opportuno configurare conformemente anche il sistema di autenticazione specifico per le applicazioni più “critiche”, come ad esempio quelle per la gestione delle risorse umane e/o di paghe e stipendi. © R. Larese Gortigo – 2007-2008

Utilizzo delle medesime credenziali Accade frequentemente – soprattutto nei reparti di produzione – che più utenti utilizzino lo stesso pc e le medesime credenziali: Se non vi è accesso a dati personali: la norma non si applica e quindi non si pone il problema (tutto può restare così!) Se vi è accesso (ad es. utilizzo della posta o di parti del sistema gestionale): è necessario rendere il sistema conforme Per garantire la conformità del sistema Creare le credenziali per ogni utente Utilizzare adeguatamente le credenziali… © R. Larese Gortigo – 2007-2008

Mancanza di un controllo centralizzato Tutte le reti dotate di un “controller” di dominio e la gran parte delle applicazioni permettono di configurare il sistema di autenticazione in modo conforme Quando questo avviene è necessario precedere alla configurazione Se non è possibile configurare il sistema in modo conforme: Le istruzioni agli incaricati dovranno indicare esplicitamente e dettagliatamente le procedure da seguire Si rende necessaria (purtroppo) la conservazione delle parole chiave in busta chiusa E’ opportuna una verifica della periodica modifica delle parole chiave da parte del “custode” Deve essere comunque garantita da tutti la riservatezza delle parole chiave © R. Larese Gortigo – 2007-2008

Il custode delle credenziali Deve essere sempre formalmente nominato Se più persone hanno accesso al server di dominio, tutte (anche i fornitori) vengono nominate custodi delle credenziali Se necessario, conserva fisicamente le buste chiuse con le parole chiave degli utenti Se il sistema è centralizzato, la custodia si riduce alla possibilità di accesso al server di dominio Controlla il comportamento degli utenti, richiedendo il rispetto dell’obbligo di riservatezza © R. Larese Gortigo – 2007-2008

Accesso in assenza dell’incaricato L’azienda ha la facoltà (per validi ed urgenti motivi) di accedere a dati e sistemi Non è permesso conoscere le parole chiave degli altri utenti, e quindi: Se il sistema è centralizzato Il custode modifica temporaneamente la password sul server Configura l’obbligo di modifica della password all’accesso successivo Se il sistema non è centralizzato Il custode apre la busta della password e permette l’accesso Al ritorno dell’incaricato, gli richiede di modificare la parola chiave e riceve la nuova busta chiusa Informa e giustifica l’accesso all’incaricato © R. Larese Gortigo – 2007-2008

Applicazioni web Relativo ad esempio a: utilizzo della posta da remoto, applicazioni gestionali, immissione e controllo ordini, altri servizi web: Se l’accesso non permette la gestione o la visualizzazione di dati di terzi si è fuori dal campo di applicazione della norma Se è possibile accedere a dati di terzi (es: posta elettronica), il sistema deve essere reso conforme al Disciplinare Tecnico © R. Larese Gortigo – 2007-2008

Salvataggio dei dati e disaster recovery © R. Larese Gortigo – 2007-2008

Salvataggio dei dati (18) E’ obbligatorio il salvataggio dei dati personali (backup) La frequenza di salvataggio deve essere almeno settimanale, ma è opportuno che sia quotidiana Devono essere protetti tutti i dati: Sistemi gestionali o ERP Documenti degli utenti Posta elettronica … Devono essere impartite istruzioni (scritte) di carattere tecnico ed organizzativo per definirne le modalità di esecuzione © R. Larese Gortigo – 2007-2008 Il salvataggio dei dati

Istruzioni tecniche (18) Individuazione dei dispositivi Individuazione degli archivi Definizione delle frequenze Definizione delle modalità (backup completo, incrementale, differenziale) Definizione dei criteri di rotazione dei dispositivi Definizione dei criteri di archiviazione dei dispositivi Definizione delle procedure di verifica © R. Larese Gortigo – 2007-2008

Istruzioni organizzative (18) Definizione delle responsabilità Definizione delle procedure in caso di incidente Definizione delle modalità di aggiornamento delle procedure © R. Larese Gortigo – 2007-2008

Sistema di “Disaster recovery” (23) L’obbligo si applica solamente ai dati personali di natura sensibile o giudiziaria Deve essere garantito l’accesso ai dati in caso di incidente (danneggiamento dei dati o degli strumenti) in tempi certi e comunque non superiori a sette giorni Modalità possibili: Backup completo dell’intero sistema (ghost) per permette di garantire l’accesso ai dati anche in caso di sostituzione Accordi con fornitori per tempi certi di riprestino Utilizzo di sistemi in “cluster” Duplicazione del sistema in un sito remoto Le modalità adottate devono essere documentate nel Dps © R. Larese Gortigo – 2007-2008 Ulteriori misure per il trattamento di dati sensibili o giudiziari

Dr. Riccardo Larese Gortigo r.larese@assind.vi.it Esperienze e dubbi interpretativi sulle Misure Minime di Sicurezza Domande e risposte Dr. Riccardo Larese Gortigo r.larese@assind.vi.it © R. Larese Gortigo – 2007-2008

Allegato – Scadenzario obblighi Misura Scadenza/periodicità Tipologia dati Disattivazione credenziali Entro sei mesi dal mancato utilizzo Tutti Subito, in caso di perdita della qualità Sostituzione autonoma parola chiave Ogni sei mesi Ogni tre mesi Comuni Sensibili o giud. Verifica profili Ogni anno Redazione lista incaricati Aggiornamento antivirus Ogni sei mesi ( consigliabile max. ogni settimana) © R. Larese Gortigo – 2007-2008

Allegato – Scadenzario obblighi Misura Scadenza/periodicità Tipologia dati Aggiornamento programmi Annualmente Ogni sei mesi Comuni Sensibili giud. Backup Settimanalmente (consigliabile ogni giorno) Tutti Aggiornamento DPS Ogni anno entro il 31 marzo Sensibili o giudiziari © R. Larese Gortigo – 2007-2008