Normative - NTY Blog - NTY.it

Cerca




Vai ai contenuti

Menu principale:

Guida alla sicurezza dei dati ed alla privacy in azienda

Pubblicato da admin in consulenza ICT · 26/2/2014 10:41:52
Tags: SicurezzaDPSPMINormativeBackupPrivacy

Guida alla sicurezza dei dati in azienda

Come garantire la riservatezza dei dati personali in azienda: gli adempimenti prescritti in materia di sicurezza delle informazioni e dei sistemi informatici.

Sicurezza e Privacy in azienda

Riservatezza dei dati

I dati personali oggetto di trattamento devono essere custoditi in azienda in modo da ridurre al minimo i rischi di illecito accesso, distruzione o perdita attraverso idonee misure di sicurezza, ossia tutti gli accorgimenti tecnici e organizzativi messi in pratica per garantirne protezione, privacy e riservatezza.
Se il Responsabile del trattamento sceglie di utilizzare dispositivi elettronici o programmi informatici per la gestione dei dati deve prevederne l’accesso controllato tramite livelli di autorizzazione e garantire che non si attuino in azienda trattamenti contrari alle norme di legge o diversi da quelli per i quali i dati sono stati raccolti.
Nello specifico il Responsabile dovrà adottare specifici criteri e procedure dettate dall’articolo 33 del Codice Privacy, come ad esempio l’utilizzo di uno username identificativo e password per accedere ai dati, l’utilizzo di software antivirus e per il backup periodico dei dati.

Misure di sicurezza

Il trattamento dei dati personali con strumenti elettronici è consentito solo se sono adottate specifiche misure minime fra le quali si individuano:
autenticazione informatica;
adozione di procedure di gestione delle credenziali di autenticazione;
utilizzazione di un sistema di autorizzazione;
protezione degli strumenti elettronici e dei dati rispetto al trattamento illecito dei dati stessi e ad accessi non consentiti;
adozione di procedure per la custodia di copie di sicurezza;
adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

Per i dati sensibili e giudiziari sono previste ulteriori misure in aggiunta a quanto già accennato come il Documento Programmatico per la Sicurezza (c.d. DPS).
L’articolo 34 del Codice della Privacy prevede espressamente che vengano adottate procedure per la realizzazione e la custodia di copie di sicurezza e il ripristino della disponibilità dei dati e dei sistemi. In pratica il Responsabile del trattamento, tramite l’amministratore del sistema informativo, dovrà provvedere a realizzare e custodire copie di backup ossia copie di sicurezza dei dati e delle informazioni contenute su strumenti elettronici.
Solitamente le informazioni vengono archiviate su dispositivi esterni cioè non incorporati nell’unità centrale e consentono di trasferire da un computer all’altro grosse quantità di informazioni. Fra questi si possono individuare gli hard disk removibili.
La causa di perdita di dati e informazioni può dipendere da:
eventi distruttivi, naturali o artificiali;
guasti ai sistemi;
malfunzionamenti o degrado dei componenti elettronici;
incuria o disattenzione.

Il rischio di perdita di dati, comunque, è anche rappresentato da:
comportamenti sleali e fraudolenti;
virus informatici;
furto di strumenti contenenti dati.

In effetti, quando capita uno dei suddetti eventi, il backup può limitare la perdita del patrimonio di informazioni memorizzate. In tal caso occorre adottare tempestivamente ogni possibile procedura di ripristino dei dati.
Le misure minime di sicurezza obbligatorie previste dalla normativa sono:
attivazione di una procedura di backup settimanale;
predisposizione di una procedura di disaster recovery ossia di ripristino dei dati in caso di danneggiamento o perdita;
installazione di software antivirus e di sistemi firewall;
adeguamento della struttura aziendale alle normative in materia di prevenzione e sicurezza.
Se si utilizza un server per la memorizzazione dei dati è necessario che sia collegato ad un gruppo di continuità che consenta di escludere la perdita di dati a causa di sbalzi di tensione o interruzione della corrente elettrica.
I dati inseriti nei backup devono essere custoditi e protetti da accessi indesiderati mediante procedure che inibiscano la lettura dei dati in essi contenuti, magari utilizzando un’applicazione crittografica.

Firma digitale

La firma digitale consente di scambiare documenti informatici aventi validità legale poiché permette la verifica dell’identità del mittente, rende impossibile al mittente disconoscere un documento da lui firmato, rende impossibile al destinatario modificare un documento firmato da qualcun altro.
Possono dotarsi di firma digitale le persone fisiche rivolgendosi ai certificatori accreditati che garantiscono l’identità dei soggetti che utilizzano la firma digitale. I certificatori accreditati sono soggetti pubblici o privati che emettono certificati qualificati conformi alla Direttiva Europea 1999/93/CE e alla normativa nazionale in materia. L’elenco dei certificatori accreditati è disponibile nel sito di DigitPA, l’Ente Nazionale per la digitalizzazione della Pubblica Amministrazione. La verifica della firma può essere effettuata tramite diversi software resi disponibili gratuitamente.
La firma digitale è, in pratica, un sistema a chiavi crittografiche asimmetriche che viene creato mediante un dispositivo con elevate caratteristiche di sicurezza che, in genere, è una smart card. Dal punto di vista tecnico la firma digitale è una sequenza di byte in grado di associare in modo univoco un documento elettronico alla persona che l’ha generato garantendone provenienza, autenticità e integrità.

Sicurezza dei sistemi

Il Codice Privacy prevede concrete disposizioni in merito al trattamento dei dati tramite strumenti informatici. Nello specifico, l’allegato B del Codice contiene il Disciplinare Tecnico ossia una serie di modalità tecniche necessarie ad adottare concretamente le misure minime per la sicurezza dei sistemi. Tali misure dovranno essere adottate dal titolare, dal responsabile o dall’incaricato.
La normativa prevede che il trattamento dei dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autorizzazione per i quali siano, comunque, previsti specifici profili di autorizzazione in modo da limitare l’accesso ai soli dati necessari per effettuare le operazioni di trattamento. Periodicamente, e comunque con cadenza annuale, occorre verificare la sussistenza delle condizioni per la conservazione dei profili di autorizzazione.
I dati personali devono essere protetti anche dal rischio di intrusione esterna e dall’azione di programmi in grado di violare la privacy. Per questo dovranno essere predisposti idonei strumenti elettronici che siano in grado di prevenire la vulnerabilità dei sistemi e correggano eventuali difetti, quali antivirus, antispyware e firewall, da aggiornare con cadenza almeno semestrale.
Almeno una volta l’anno occorre provvedere all’aggiornamento dei sistemi in modo da correggere gli errori. Questa operazione potrà essere facilmente compiuta anche tramite il download da Internet di patch o di service pack ossia di nuove versioni dei sistemi operativi e dei vari programmi applicativi.

Gestione password

I soggetti autorizzati ad accedere ai sistemi possono farlo se dotati di credenziali di autenticazione che consistono in un codice associato all’incaricato e una parola chiave riservata e segreta, conosciuta solamente dall’incaricato ovvero con l’utilizzo di smart card individuali. Il codice associato all’incaricato ossia lo user-id o user-name, una volta utilizzato, non può essere assegnato ad altri soggetti, neppure in tempi diversi.
Gli incaricati dovranno essere sensibilizzati ad adottare le necessarie cautele per  assicurare la segretezza della parola chiave nonché la diligente custodia dei dispositivi in uso esclusivo dell’incaricato e a non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento (i sistemi, a tal fine, permettono di predisporre uno screen saver con richiesta di password).
La parola chiave deve essere composta da almeno otto caratteri ovvero, nel caso in cui lo strumento elettronico non lo permetta, in un numero di caratteri pari al massimo consentito dal sistema. Non deve contenere riferimenti riconducibili all’incaricato e deve essere modificata dall’incaricato stesso al primo utilizzo dello strumento elettronico e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili la parola chiave deve essere modificata ogni tre mesi.
Le credenziali di autenticazione non utilizzate dopo sei mesi dovranno essere disattivate.

Fonti di questo articolo:



NTY.it S.r.l.s. - P.IVA IT-12556711005 - © 2013-2018
Torna ai contenuti | Torna al menu