VERSO LA REDAZIONE DEL DOCUMENTO PROGRAMMATICO DI SICUREZZA

Transcript

1 LE MISURE MINIME DI SICUREZZA INFORMATICA VERSO LA REDAZIONE DEL DOCUMENTO PROGRAMMATICO DI SICUREZZA di Marco Maglio Marketing e vendite >> Privacy

2 Le nuove misure sono molto più stringenti di quelle previste dalla vecchia normativa, in particolare nei confronti dei profili di autorizzazione, dei sistemi di autenticazione, delle procedure di ripristino dell'accesso ai dati in caso di danneggiamento degli stessi e delle regole organizzative e della formazione degli Incaricati. Un ruolo centrale nella gestione delle questioni inerenti la sicurezza informatica aziendale è svolto dal Documento Programmatico per la Sicurezza (di seguito indicato sinteticamente con l acronimo DPS). Con le nuova norme, il DPS diventa un obbligo per tutte le organizzazioni, pubbliche e private, che trattano dati sensibili con l'uso di strumenti elettronici, anche se questi ultimi non sono collegati a una rete pubblica. Il che significa che è sufficiente che dei dati sensibili risiedano su un singolo PC, anche se questo non è collegato ad alcuna rete, perché il DPS diventi obbligatorio. IL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA L'obbligo di redigere il Documento Programmatico sulla Sicurezza viene esteso a tutti in casi in cui si trattino dati sensibili o giudiziari con l'utilizzo di strumenti elettronici, anche nell'ipotesi in cui tali strumenti non siano in rete. È quindi sufficiente che tali dati siano trattati anche con un singolo elaboratore, perché si debba procedere alla redazione del documento. Viene inoltre fissato una scadenza per la redazione e l'aggiornamento, che devono essere effettuati entro il 31 marzo di ogni anno. Il punto 19 del Disciplinare tecnico prescrive che il DPS debba contenere idonee informazioni riguardo: l'elenco dei trattamenti di dati personali; la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati; l'analisi dei rischi che incombono sui dati; le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento; la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare; la formazione è programmata già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali; la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare; per i dati personali idonei a rivelare lo stato di salute e la vita sessuale, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato. Oltre ad essere un obbligo di legge, il DPS ha anche una importante funzione interna di guida alla adozione ed al miglioramento delle misure di sicurezza: è quindi opportuno concepirlo come un vero e proprio piano per la sicurezza, estendendo il suo contenuto a tutti gli aspetti legati a tale problematica, che vanno anche oltre gli elementi obbligatori prescritti dal disciplinare tecnico. Il DPS costituisce inoltre il punto di partenza per definire interventi e strategie per la sicurezza dei dati, perché permette di verificare il livello della sicurezza informatica e quindi di identificare subito le aree maggiormente a rischio. La specificità delle strutture nei diversi soggetti fanno sì che il DPS non sia un documento uguale per tutti, ma il frutto di una valutazione specifica da parte delle singole aziende, congiuntamente ai propri consulenti. Certo la stesura del Documento Programmatico sulla Sicurezza è un'attività che richiede esperienza e competenze specifiche, senza le quali si corre il rischio di ridurre l'operazione ad un'inutile attività burocratica. Pagina 1 di 4

3 L ORGANIZZAZIONE DELLA PRIVACY La prima e più urgente misura di sicurezza è legata all organizzazione dell impresa. Il processo della sicurezza richiede infatti che, prima ancora di pensare all'adozione delle misure concrete, vengano definite una serie di compiti e procedure che regolino gli aspetti organizzativi del trattamento dei dati personali effettuato dall'azienda. È quindi necessario procedere preventivamente alla definizione di ruoli, compiti e responsabilità per la gestione di tutte le fasi del trattamento dei dati personali, con particolare riferimento alla necessità di garantire la loro sicurezza e alla adozione di specifiche procedure, che vadano a completare e rafforzare le contromisure tecnologiche adottate. LA FORMAZIONE Il nuovo Codice sulla Privacy sancisce ancora una volta l'obbligatorietà di interventi formativi per gli incaricati del trattamento dei dati personali, già prevista dalla legge n.675/96, dal D.P.R. n.318/99 e dalle altre disposizioni in materia di privacy. La legge prescrive di effettuare corsi per: informare gli incaricati del trattamento sui rischi che possono compromettere la sicurezza e la privacy dei dati; descrivere le misure di sicurezza disponibili per prevenire eventi dannosi; rendere edotti gli incaricati dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività; approfondire le responsabilità che ne derivano e le modalità per aggiornarsi sulle misure minime adottate dal titolare. Questa formazione dovrebbe essere programmata già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti rilevanti rispetto al trattamento di dati personali. A questo scopo è opportuno mettere a disposizione del personale dipendente e dei collaboratori dell azienda che trattano dati personali, uno specifico programma di formazione per gli Incaricati del Trattamento dei dati personali che illustri le responsabilità legate alle proprie funzioni, i rischi che minacciano i dati, le misure di sicurezza necessarie e i provvedimenti che tutte le aziende devono adottare. Gli interventi formativi, sempre personalizzati per essere realmente coerenti con le prassi specifiche adottate in azienda, aiuteranno le diverse figure a conoscere meglio i rischi tipici nella gestione di dati personali e sensibili e le misure da adottare per ridurre i rischi e per ottenere un ragionevole livello di sicurezza e di privacy. Oltre che per gli incaricati, infatti, la formazione sui temi della sicurezza e della privacy è utile anche per i Responsabili del trattamento dei dati, per i Dirigenti e gli Amministratori dell'azienda. Per queste figure sono a disposizione sessioni formative personalizzate che si focalizzano maggiormente sulle responsabilità specifiche dei ruoli dirigenziali. IL COLLEGAMENTO TRA SICUREZZA INFORMATICA E LINEE GUIDA PER L USO DEGLI STRUMENTI INFORMATICI AZIENDALI Peraltro il tema delle misure minime di sicurezza informatica per poter essere correttamente gestito dall azienda richiede di definire preventivamente i limiti di utilizzo degli strumenti informatici da parte dei dipendenti. Da questo punto di vista gli imprenditori dovrebbero porsi una serie di domande la cui soluzione è fondamentale per una corretta gestione di questi problemi: Prima di tutto, è possibile per l azienda controllare il corretto uso da parte dei propri dipendenti del personal computer e dei relativi programmi utilizzando i sistemi di controllo a distanza che le attuali tecnologie dell informazione e comunicazione mettono a disposizione? E poi quali regole e quali tecnologie possono essere studiate per garantire al lavoratore il rispetto della sua riservatezza ed all azienda il diritto di esercitare il suo potere di controllo nell ambito della gestione del rapporto di lavoro? Pagina 2 di 4

4 Di fronte alla memoria del server, che immancabilmente registra le «tracce» lasciate dagli utenti quali dati possono essere veramente sottratti al controllo dell azienda? E che succede se tali dati non possono essere tenuti separati, da un punto di vista tecnico, da quelli che non sono necessari ai fini del controllo? Quali interessi prevalgono? Non si tratta di questioni di poco conto anche perché le risposte da fornire devono bilanciarsi con i limiti imposti dalla normativa in materia di diritti alla riservatezza e di divieto dei controlli a distanza sull attività dei dipendenti. Il rischio che tali controlli possano essere considerati illegittimi ai sensi dello statuto dei lavoratori, è alto. Ed anche di fronte all obbligo di conservare tali dati a fini di ordine pubblico, la potenzialità di tali sistemi di controllo a distanza espone ugualmente l azienda alle pesanti sanzioni penali poste dalla legge n.300/70. Una legge, questa che in quanto scritta in un periodo in cui non esisteva una situazione confrontabile con le attuali reti telematiche, rischia, soprattutto con il suo articolo 4, di frenare l accesso e lo sviluppo in azienda di ogni tecnologia dell informazione e comunicazione, oggi indispensabile anche all accrescimento professionale delle risorse umane. Appare evidente che, proprio in questo momento, in cui la legislazione non riesce a tenere il passo rispetto agli sviluppi della tecnologia, l azienda dovrà, intanto, adottare una politica aziendale trasparente, capace di comunicare con estrema chiarezza al lavoratore i limiti di utilizzo degli strumenti informatici assegnatigli per lo svolgimento delle mansioni attribuite (Internet, aziendale, ecc.). E per questo che molte aziende di grandi e medie dimensioni hanno elaborato un ipotesi di regolamento aziendale il cui scopo è, appunto di mettere a disposizione del sistema uno strumento che, opportunamente modellato sulle singole realtà aziendali, possa limitare l uso improprio di tali strumenti di lavoro, così contribuendo all abbattimento dei relativi costi aziendali. L argomento merita un approfondimento pratico al quale sarà dedicata un prossimo intervento. Pagina 3 di 4

5 GLOSSARIO Sistemi di autenticazione L'autenticazione è un processo di riconoscimento di un computer nei confronti di un server ovvero di un indirizzo di posta elettronica abbinato ai dati del titolare di questo indirizzo. Privacy Leggi e norme che regolano il trattamento dei dati personali del dipendente sul luogo di lavoro. La legge 31 dicembre 1996, n. 675 garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti, delle libertà fondamentali, nonché della dignità delle persone fisiche, con particolare riferimento alla riservatezza e alla identità personale.. Documento reperibile, assieme ad altre monografie, nella sezione Dossier del sito Documento pubblicato su licenza di Ipsoa Editore S.r.l. Copyright Ipsoa Editore S.r.l. Fonte: PMI - Il mensile della piccola e media impresa, Ipsoa Editore Pagina 4 di 4