di Alessandro Siena Servizio assistenza e sviluppo di a.c.esse snc a.siena@acesse.it

Transcript

1

2 In corsa verso il futuro Privacy e IT Come fare? di Alessandro Siena Servizio assistenza e sviluppo di a.c.esse snc a.siena@acesse.it Il problema dell'applicazione della cosiddetta "Legge sulla Privacy", soprattutto in ambito IT è spesso molto trascurato dai manager (o dalla proprietà) che spesso si ritiene immune da possibili attacchi all'esterno o dal cattivo utilizzo degli strumenti IT da parte dei propri operatori. Ma cosa dice la legge in proposito? In principio era il Codice della Privacy (D.Lgs. 196/2003) che con i vari allegati tecnici imponeva una serie di misure che le Aziende dovevano adottare (tra cui il famoso, e da alcuni temuto, DPS). Ad oggi le cose sono un po cambiate, in particolare il DPS, salvo casi particolari, non c è più, e con la sua abolizione tutto quanto previsto in termini di sicurezza informatica sembra abbia preso la via dell oblio... In realtà non è così, gli obblighi degli adempimenti di sicurezza previsti permangono eccome. In particolare le Aziende che utilizzano strumenti informatici sarebbero tutt oggi obbligate a: - Compilare lettere di incarico apposite per tutti gli incaricati di trattamenti dati personali, e di nomina per i responsabili del trattamento - Consegnare a dipendenti e collaboratori che accedano alle risorse IT aziendali opportuni documenti informativi per quanto riguarda l uso (e l abuso) degli strumenti - Predisporre l elenco degli amministratori di sistema e delle singole funzioni ad essi attribuite - Adottare almeno le misure minime previste dall allegato B della Legge sulla Privacy con particolare attenzione verso: o L utilizzo di credenziali di accesso riservate e segrete o L installazione e l aggiornamento periodico di software antivirus e di apparati di protezione perimetrale della rete (Firewall) o La periodica esecuzione e verifica di copie di sicurezza delle banche dati (backup) - Formare il personale in maniera adeguata in riferimento a quanto indicato nei punti precedenti Da ciò ne deriva che, seppur non sia più obbligatorio, nella maggior parte dei casi, redigere il DPS, sarebbe tuttavia opportuno redigere e aggiornare un adeguata documentazione che descriva l Azienda sotto il profilo del trattamento e della tutela dei dati, certificando la corretta applicazione e il rispetto degli obblighi previsti dal legislatore. Proviamo ad analizzare quanto previsto dall Allegato B e a capire come e quanto queste misure minime impattino sulla realtà delle Aziende informatizzate. 1. Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti. Tutti gli operatori che hanno accesso ad un elaboratore (e ai programmi e dati in esso contenuti) devono identificarsi (e poter essere identificati successivamente) singolarmente; ogni utente quindi, per a.c.esse S.n.c. di Claudio e Alessandro Siena 2

3 poter utilizzare un sistema informativo, deve essere dotato delle proprie credenziali e deve essere obbligato ad utilizzarle. 2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave. 3. Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l'autenticazione. 4. Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato. I singoli incaricati hanno l obbligo di non divulgare in nessun modo le proprie credenziali di accesso (che possono anche essere multiple). Questo è molto semplice ed efficace qualora le credenziali utilizzate siano di carattere biometrico ma, purtroppo, è un fattore sottovalutato qualora si tratti di una password: troppo spesso queste infatti vengono comunicate a colleghi o lasciate scritte come promemoria nei pressi del proprio terminale. Va ricordato che, nel caso in cui un operatore diffonda in maniera volontaria o meno le proprie credenziali e queste vengano utilizzate a fini fraudolenti, l operatore stesso è responsabile in prima persona (in ambito civile ed eventualmente penale) di quanto commesso utilizzando le sue credenziali. 5. La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi. Il legislatore in questo punto si preoccupa inoltre di dare delle specifiche per creare delle password che non siano facilmente intuibili o ricreabili da terzi non autorizzati. Purtroppo però, solo alcune realtà sono in grado di verificare che queste specifiche vengano rispettate e alcuni strumenti ancora oggi sono configurabili per bypassare queste verifiche: un corretto aggiornamento di programmi e sistemi operativi potrebbe facilmente risolvere questa problematica. 6. Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi. Un po come accade per i numeri di cellulare che non possono essere riassegnati (almeno in tempi brevi) anche le credenziali degli utenti non possono essere riassegnate qualora ci fosse un subentro di qualifiche all interno della stessa organizzazione; spesso nella realtà invece accade la cosa contraria: il Cliente richiede proprio di poter accedere ai sistemi con le credenziali di chi lo ha preceduto in modo tale da poter avere la stessa visibilità sui processi che aveva il predecessore. Una corretta profilazione dell utente potrebbe dare lo stesso risultato nel completo rispetto della normativa. 7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica. 8. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all'incaricato l'accesso ai dati personali. Qualora non vengano più utilizzate e non siano già state disattivate per altri motivi le credenziali per gli operatori non aventi più diritto di accesso devono essere disattivate dopo sei mesi anche se a.c.esse S.n.c. di Claudio e Alessandro Siena 3

4 spesso in Azienda si trovano credenziali di dipendenti non più presenti da anni ancora attive e magari utilizzate. 9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento. Rispettare questo punto può essere relativamente semplice: basterebbe attivare la protezione con password degli screensaver delle postazioni. Spesso però anche questo semplice punto viene omesso in quanto può essere scomodo per l utente distogliere per pochi minuti il polso dal mouse e vedersi richieste le credenziali di accesso per sbloccare la postazione. 10. Quando l'accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l'autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l'incaricato dell'intervento effettuato. Certo è che l assenza di un operatore soprattutto se prolungata può comportare problemi per l Azienda (anche sotto il profilo della sicurezza). Per questo la normativa prevede che una copia delle credenziali degli utenti possa essere custodita in modo sicuro e riservato (non comunicata verbalmente) per poter essere usata in caso di necessità previa comunicazione al diretto interessato titolare delle credenziali in oggetto. Sistema di autorizzazione 1. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione. Un sistema di autorizzazione solitamente è un server con attiva la funzionalità di controllo e profilazione degli utenti. Grazie a sistemi di questo genere si possono gestire diversi livelli di autenticazione (anche gerarchici) per le diverse tipologie di utenti. La gestione centralizzata favorisce inoltre la manutenzione e il corretto aggiornamento delle politiche di accesso alle risorse. 2. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento. Può sembrare ovvio ma nella realtà spesso prima opera sui dati (si deve lavorare!) e poi si adottano le misure di sicurezza e protezione, senza pensare che anche questa è una parte importante del lavoro. Pensiamo solo se un utente per sbaglio dovesse cancellare un archivio prima che vengano messe in opera tutte le misure di sicurezza? Quali e quanti sarebbero i danni? (non è lavoro anche questo?) 3. Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione. a.c.esse S.n.c. di Claudio e Alessandro Siena 4

5 Altre misure di sicurezza 4. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione. La manutenzione degli strumenti hardware e software deve essere eseguita almeno annualmente. In sede di questi interventi di manutenzione/aggiornamento può anche essere redatta o variata la lista degli incaricati del trattamento dati. 5. I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale. 6. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento è almeno semestrale. Essendo il rischio di intrusione protetto dall azione di firewall perimetrali questi devono essere aggiornati almeno con cadenza semestrale (il che implica che devono necessariamente essere presenti). Tali rischi si prevengono non solo attraverso strumenti come i firewall ma, anche, attraverso il costante aggiornamento dei sistemi operativi e dei programmi (è per questo motivo che ad oggi il sistema operativo Microsoft Windows Xp non è più adeguato ad essere utilizzato per effettuare operazioni che comprendano il trattamento dei dati). 7. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale. Il backup, questo sconosciuto... Anche la perdita dei dati è considerata dal legislatore come una carenza di protezione del dato (se io posseggo i dati di qualcuno è giusto che ne prevenga anche la perdita). Spesso le aziende si dotano di software gratuiti per effettuare i backup. In tanti casi funzionano egregiamente ma lasciano sempre un margine di errore o di aleatorietà per la corretta riuscita delle copie. Oggi esistono in commercio soluzioni di disater recovery (non solo backup quindi) che hanno un costo seppur alto di gran lunga inferiore a quello che può essere il costo di un fermo macchina anche di pochi giorni (senza contare l eventuale danno della perdita dei dati) e del suo ripristino ma sempre più spesso, per risparmiare, non si vuole nemmeno affrontare l argomento e i backup quando vengono fatti vengono eseguiti in maniera artigianale e senza alcuna verifica. In conclusione la corretta applicazione di quanto previsto dal legislatore sarebbe un ottimo metodo per permettere alle Aziende di operare in sicurezza (sia da agenti esterni che interni) con strumenti moderni ed efficaci, il che porterebbe un indubbio vantaggio in termini di funzionalità e prestazioni (oggi cambiare un pc perché ha Windows XP e magari solo 10 anni è visto come un mero costo e una scocciatura evitabile perché intanto con il programma/computer nuovo faccio le stesse cose di prima ) e quindi anche un aumento della produttività e della redditività del singolo operatore. a.c.esse S.n.c. di Claudio e Alessandro Siena 5