Aspetti tecnici ed organizzativi per la corretta gestione dei sistemi informatici aziendali Dr. Riccardo Làrese Gortigo

Il quadro di riferimento Testo Unico sulla privacy Disciplinare Tecnico Linee guida del Garante per posta elettronica e internet

Il problema del controllo Il problema del controllo dell’utilizzo di posta elettronica e navigazione internet si pone innanzitutto come necessità di corretto equilibrio tra il diritto dell’azienda di regolamentare l’uso dei propri “assett” informatici ed il diritto degli utenti di vedere salvaguardata la propria privacy Esiste inoltre la necessità di rispettare il divieto di controllo a distanza dei lavoratori Secondo le Linee Guida il principale strumento per garantire tale equilibrio è fornire agli interessati una chiara e completa informazione

Informare gli interessati Utilizzare una modalità formale di informazione Preferibilmente predisporre un Regolamento Aziendale per l’utilizzo dei sistemi informatici Il tema dell’utilizzo dei sistemi informatici può essere affrontato nella sua integrità Si può utilizzare il modello predisposto da Confindustria Contenuti fondamentali Possibilità (o meno) di utilizzo dei sistemi per scopi diversi dalla mansione lavorativa Disciplina d’uso dei diversi strumenti Definizione delle modalità di controllo

Il rispetto delle regole Se, per un verso, il personale è tenuto al rispetto del regolamento, analogamente l’azienda è tenuta a rispettare le modalità di controllo definite e documentate Il controllo, quindi: Deve essere documentato secondo le modalità effettivamente utilizzabili dal punto di vista tecnico Le attività di controllo di volta in volta eseguite devono essere svolte secondo le modalità documentate

Modalità tecniche di gestione della posta elettronica

L’assegnazione della casella di posta L’assegnazione (ed il ritiro) della casella di posta elettronica (di proprietà dell’azienda) è una scelta incondizionata dell’azienda, in base a proprie valutazioni di necessità in base alla mansione svolta La casella di posta può essere intestata alla funzione anziché alla persona, ad esempio: Può essere opportuno che le condizioni di utilizzo della posta vengano documentate in un documento consegnato al momento del rilascio della casella

La gestione della casella di posta Si ricorda che mediante la posta elettronica vengono eseguiti trattamenti di dati personali Gli indirizzi di posta elettronica sono qualificati come dati personali Molte informazioni hanno rilevanza anche contrattuale Esiste quindi la necessità e l’obbligo di proteggere i dati mediante regolati operazioni di backup (almeno settimanale) E’ quindi opportuno che i database di posta siano archiviati su di un server protetto mediante backup piuttosto che sui dischi fissi dei pc degli utenti

L’accesso alla posta elettronica L’accesso alla posta elettronica può avvenire, in assenza dell’utente cui essa è assegnata, oltre che per motivi tecnici, per assicurare il regolare svolgimento delle attività aziendali, in caso di urgenza e perdurando l’assenza dell’interessato Ogni accesso alla casella, in assenza di giustificati motivi e da parte di persone non autorizzate, deve essere evitato

Accesso alla posta – procedure Accesso da parte del “custode delle credenziali” In forza di quanto definito dal Disciplinare Tecnico, il custode delle credenziali è la figura che, in qualsiasi caso, permette all’azienda l’accesso alle informazioni Si suggerisce comunque di documentare la richiesta di accesso Il custode, avendo accesso alle credenziali necessarie, può permettere l’accesso Devono essere comunque seguite le procedure previste L’incaricato, al rientro sul posto di lavoro, deve essere informato dell’avvenuto accesso e delle relative motivazioni

Accesso alla posta - procedure Nomina del “fiduciario” da parte dell’utente La nomina non deve originare situazioni di reciproca “copertura” Anche se non previsto dalle Linee Guida, il fiduciario deve essere comunque di gradimento dell’azienda Il fiduciario accede alla posta solo in caso di richiesta da parte dell’azienda Anche il comportamento del fiduciario deve essere disciplinato dall’azienda L’incaricato, al rientro sul posto di lavoro, deve essere informato dell’avvenuto accesso e delle relative motivazioni

Accesso alla posta – come evitarlo Assenze programmate Configurare l’inoltro automatico (a seconda dei casi da parte dell’utente o del personale tecnico) ad un altro utente della posta Permettere l’accesso alla posta (se possibile) da remoto Utilizzo remoto della casella di posta Accesso mediante “web-mail” Rilancio sul cellulare

Configurazione della posta – ulteriori suggerimenti del Garante Creare ulteriori caselle (anche in un dominio diverso) per uso personale (!) Permettere l’accesso a “web-mail” di tipo personale, anche da postazioni dedicate (Queste possibilità devono corrispondere a quanto indicato nel Regolamento!) Inserire automaticamente un “disclaimer” in tutti i messaggi in uscita dal dominio che ricordi l’utilizzo esclusivamente aziendale della casella di posta

Il controllo della navigazione in internet

Principi generali Se, per la posta, esiste il problema di regolarizzare l’accesso in caso di necessità, riguardo alla navigazione si pone la necessità di individuare le modalità per un corretto sistema di controllo Il controllo si rende altresì necessario: Per una verifica tecnica (banda disponibile) Per il controllo dei costi Per la protezione dalle intrusioni nel sistema informatico Per garantire di non essere coinvolti in eventuali problemi di tipo legate (scarico illecito di software o di altro materiale protetto da diritti di terzi, pornografia e pedopornografia, ecc.)

Principi generali Devono essere privilegiati gli strumenti che limitano la navigazione a quanto previsto, riducendo la necessità del controllo Il controllo deve essere “graduato” Gli utenti devono essere portati a conoscenza dei sistemi di controllo esistenti

Strumenti di limitazione della navigazione Utilizzo di “White list” e “Black list” Utilizzo di “Gray list” (segnalazione di siti non previsti ma non esclusi) Limitazione dei protocolli No “peer-to-peer” No scarico file di tipo particolare (ad es. MP3) Limitazione dell’accesso alle persone che lo necessitano Queste limitazioni possono essere configurate (in modo dinamico e granulare) mediante la corretta configurazione dei “firewall” più performanti

Strumenti di limitazione della navigazione Frequentemente la gestione del firewall è affidata a fornitori esterni Si ricorda che la protezione mediante firewall è una delle misure di sicurezza disciplinate dal Disciplinare Tecnico Pertanto il fornitore/gestore è tenuto a rilasciare la “dichiarazione di conformità” prevista dal punto 25 del Disciplinare E’ quindi opportuno che tale dichiarazione documenti anche le politiche di filtro del firewall in relazione a quanto previsto dalle Linee Guida Chi controlla il controllore (esterno)?

Gli strumenti di controllo I sistemi di firewall permettono un controllo consuntivo della navigazione mediante un “log” (registro) degli accessi a internet Il primo obbligo è la conservazione del log per un periodo di tempo definito e limitato, congruente con le necessità di controllo (ad es. un mese). Deve essere assicurato e verificato che non vengano conservate le informazioni dei log per durate superiori a quelle prevista

La modalità di controllo Il controllo non può essere preventivo e generalizzato Il controllo deve avvenire, in prima battuta, in forma anonima e quindi relativo all’utilizzo da parte di tutti gli utenti Controlli più approfonditi si giustificano solo nel caso in cui vengano rilevate irregolarità d’uso Lo svolgimento di controlli ulteriori deve avvenire solo da parte di personale individuato (istruzioni scritte per il trattamento) e preferibilmente in base ad una procedura documentata

La graduazione del controllo Controllo di base di tipo anonimo Vengono rilevati i siti ma non gli utenti In caso di rilevazione di navigazioni non autorizzate: 1.Segnalazione a tutti gli utenti della situazione non permessa che è stata rilevata 2.Verifica se la segnalazione è stata sufficiente a bloccare la navigazione non autorizzata: se così fosse ogni ulteriore controllo non sarebbe necessario né lecito 3.Controlli anonimi segmentati (ad es. per area funzionale) 4.Ulteriore richiamo 5.Solo se il fenomeno perdura diviene lecito un controllo non anonimo (rilevazione dell’utente) Nel caso di controllo individuale diventa quindi necessario procedere per sanzionare il comportamento non autorizzato!

La graduazione del controllo Problemi tecnici Di norma i log dei firewall sono disponibili con grande dettaglio (ora – sito – indirizzo Ip interno) E’ quindi necessario richiedere ai fornitori (o produrre autonomamente) una reportistica di sintesi di tipo anonimo per i controlli iniziali L’accesso ai log deve essere limitato alle persone autorizzare Problema della efficacia del controllo: L’indirizzo IP non permette abitualmente di identificare l’utente che ha effettuato la navigazione (soprattutto se l’uso dei sistemi di autenticazione non è disciplinato conformemente al DT!)

Informare gli utenti sui controlli Informazione agli utenti (Regolamento): Limiti tecnici alla navigazione Modalità di controllo Documentazione dei controlli Attenzione! E’ ovviamente necessario, nel caso in cui i controlli si rendano necessari, eseguire i controlli secondo le modalità dichiarate In caso di provvedimenti devono essere trattate solo le informazioni strettamente necessarie per documentare l’infrazione rilevata (cfr. provvedimenti del Garante)

Corretta configurazione di sistemi di controllo a distanza del pc

Accesso remoto al pc L’uso di strumenti di accesso e controllo remoto del pc in uso ai singoli utenti è frequente nelle aziende Sedi remote Diminuzione degli spostamenti Minori tempi di intervento Tali strumenti potrebbero però essere interpretati come utilizzabili per svolgere un illecito controllo a distanza Anche l’uso di tali strumenti deve quindi essere disciplinato secondo le normative vigenti

Accesso remoto al pc - modalità Informare preventivamente l’utente sulla esistenza degli strumenti (Regolamento) Limitare l’utilizzo dell’accesso remoto ai casi strettamente necessari Configurare gli strumenti in modo che il controllo sia possibile solo dopo l’attivazione da parte dell’utente (impedire quindi il controllo a insaputa dell’utente) Sono proibite in modo assoluto: La lettura e la registrazione dei caratteri inseriti tramite la tastiera (o dispositivi analoghi) L’analisi occulta di computer portatili affidati in uso agli utenti (Qualsiasi altro strumento di controllo nascosto – ad es. sniffer di rete)

Il Regolamento per l’utilizzo dei sistemi informatici aziendali

La necessità del Regolamento Come più volte segnalato, il Regolamento è lo strumento preferenziale che il Garante indica per disciplinare l’utilizzo di posta elettronica e navigazione Esso tuttavia può disciplinare molti altri aspetti dell’utilizzo dei sistemi informatici, come ad esempio: Archiviazione dei files Modalità di utilizzo dell’hardware (in particolare pc portatili) Utilizzo ed installazione del software (regolarità delle licenze) Utilizzo del telefono e del cellulare aziendale Esso inoltre richiama ed illustra i comportamenti richiesti per il rispetto delle misure di sicurezza stabilite dall’azienda e dal Disciplinare Tecnico

Il Regolamento Può assumere piena efficacia disciplinare, purché vengano seguite le procedure previste dalla normativa in vigore Può essere redatto sulla base del modello realizzato da Confindustria e presente sul sito E’ auspicabile che non venga “vissuto” dagli utenti come strumento impositivo, ma soprattutto come ausilio per migliorare il lavoro di tutti Pertanto è opportuno che l’azienda non si limiti a distribuirlo agli interessati, ma lo accompagni con un intervento formativo (che potrebbe assumere anche il valore di “formazione privacy”)

Richiamo sulle Misure di Sicurezza

L’autenticazione degli utenti Si ricorda l’obbligo di eseguire una regolare procedura di autenticazione prima di eseguire qualsiasi trattamento di dati personali mediante strumenti informatici La modalità classica prevede l’utilizzo di un codice individuale e di una parole chiave riservata Si rileva che la obbligatoria riservatezza della parola chiave (e le altre misure per la sua gesione) è spesso disattesa Può essere quindi opportuno valutare l’utilizzo di strumenti di autenticazione alternativi, definiti di “autenticazione forte” che tra l’altro permettono una maggiore protezione delle informazioni aziendali: Utilizzo di sistemi biometrici Utilizzo di dispositivi di autenticazione

Sistemi biometrici di autenticazione E’ stato rilevato come tali strumenti siano di difficile implementazione: Necessità di Notifica al Garante Necessità di richiesta di autorizzazione del Garante Se ne sconsiglia quindi l’utilizzo

Dispositivi di autenticazione forte Strumenti: Badge Badge con generazione di codice Caratteristiche: Costo contenuto Integrazione con i programmi di autenticazione standard abbastanza semplice Efficacia per il controllo degli accessi remoti al sistema (VPN) Elevato livello di controllo Possibile integrazione con altri controlli (ad es. accessi, rilevazione presenze) Nessuna particolare incombenza normativa

Richiamo sulle Misure Minime di Sicurezza di tipo informatico Utilizzo di procedure di autenticazione Definizione dei profili di autorizzazione Protezione integrale mediante antivirus Protezione dalle intrusioni (*) Protezione mediante backup almeno settimanale Dichiarazione di conformità da parte degli installatori di strumenti di protezione Aggiornamento annuale del Documento Programmatico (**) Misure di “disaster recovery” (*) Archiviazione protetta dei supporti (*) (*) Solo in caso di trattamento di dati di natura sensibile e giudiziaria (**) Solo nei casi previsti a seguito delle semplificazioni recentemente introdotte

Ringrazio per l’attenzione Riccardo Larese Gortigo