GUIDA AZIENDALE ALLA SICUREZZA INFORMATICA

Transcript

1 GUIDA AZIENDALE ALLA SICUREZZA INFORMATICA Redatto da Ufficio in Staff Sistemi Informativi 1

2 INDICE 1 Premessa Pag. 3 2 Proteggere il PC da furti e uso illecito 3 3 Maneggiare con cura i dati contenuti negli elaboratori 3 4 Trattare confidenzialmente le Password 4 5 Accertarsi che i dati provenienti da fonti esterne non siano infetti da virus 5 6 Utilizzare solo apparecchiature autorizzate dall Azienda per connettersi alla rete e accedere ad Internet 6 7 Fare attenzione ai rischi connessi allo scambio di dati elettronici (dischetti o CD masterizzati) con terzi esterni all'azienda 6 8 Attenersi alle disposizioni contrattuali e giuridiche 7 9 Il vostro aiuto è indispensabile 8 2

3 1 PREMESSA Il codice in materia di protezione dei dati personali (Decreto Legislativo n. 196/03), impone degli obblighi di sicurezza in capo a tutti i soggetti (pubblici e privati) che trattano dati personali. L art. 31 del suddetto decreto stabilisce, infatti, che i dati personali oggetto di trattamento, devono essere custoditi e controllati, in modo da ridurre al minimo, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta. Premesso quanto sopra, l Azienda nell ottica di adempiere agli obblighi imposti da tale disciplina, nonché di rafforzare e accrescere una cultura della privacy tra tutte le persone che svolgono a qualsiasi titolo, un attività all interno dello stesso, adotta un documento contenente le regole aziendali in merito al trattamento dei dati con strumenti elettronici. 2 Proteggere il PC da furti e uso illecito Utilizzare le apparecchiature informatiche solo se autorizzati, validando il proprio accesso al computer tramite login e password personali (salvo in alcuni casi particolari ove l'accesso al pc è subordinato ad una login e password di servizio); Assicurarsi che nessuno possa accedere al PC quando non si è presenti (eccetto il personale espressamente autorizzato) e conservare sotto chiave i dischetti o i nastri di backup Spegnere il PC quando ci si assenta per un lungo periodo dalla postazione di lavoro ovvero al termine dell attività lavorativa giornaliera; se è necessario o utile che il PC rimanga accesso (in caso di breve assenza), attivare le opportune misure di sicurezza (password sullo screen saver o disconnessione dal PC). Utilizzare lo screen saver più semplice possibile tra quelli già in dotazione alla macchina (es. schermo nero). Non consentire a chiunque non sia espressamente autorizzato dal Responsabile e/o dal Sistema Informativo, di utilizzare il PC. Nel caso si abbia in dotazione un PC portatile, non lasciarlo mai incustodito. 3 Maneggiare con cura i dati del Vs. PC Tutte le informazioni devono essere trattate con cura. Le informazioni confidenziali o sensibili (dati di ricovero, visite e referti) devono inoltre essere protette contro la visione illecita. 3

4 Ritirare subito dalle stampanti i documenti che contengono informazioni confidenziali, relative allo stato di salute o ad altri dati sensibili di pazienti 3.1. Salvataggio e ripristino La realizzazione di una copia di sicurezza (backup) dei dati, è l'unico sistema che può garantire il recupero delle informazioni in caso di perdita delle stesse o di altro problema sul computer. Gli applicativi aziendali sono gestiti dai Sistemi Informativi, per le banche dati locali invece occorre: Pianificare e rispettare una "strategia di salvataggio" (almeno settimanale) in base all'importanza e alla variabilità dei vs. dati. Salvare i dati preferibilmente sul server di reparto, quando presente, oppure su un altro PC. Se viene effettuata invece una copia di sicurezza su dischetto, assicurarsi di effettuare una rotazione e una sostituzione abbastanza frequente degli stessi, in quanto si deteriorano facilmente. Conservarli poi in luogo sicuro e non accessibile ad altri non autorizzati se contengono dati riservati o sensibili. 3.2 Smaltimento dei supporti di dati Tutti i supporti (elaboratori, dischetti, stampe) contenenti dati confidenziali devono essere smaltiti in modo corretto per evitare che vengano divulgate involontariamente informazioni che riguardano l'azienda o i pazienti. Accertarsi che i documenti o i files contenenti dati riservati siano stati definitivamente cancellati o distrutti e che i supporti magnetici siano stati resi inutilizzabili mediante riformattazione o altra procedura. Non gettare i dischetti senza averli formattati o comunque aver reso irrecuperabili le informazioni relative a dati confidenziali. Prima di dismettere un PC provvedere personalmente alla rimozione di tutti i dati contenuti, o richiedere al personale del Sistema Informativo di farlo. 4 Trattare confidenzialmente le password 4.1 Cura delle password La password costituisce una misura di sicurezza efficace se usata correttamente. Le password sono utilizzate a vari livelli all'interno di un PC. In linea di massima è preferibile evitare di 4

5 inserire una password per proteggere l'accensione della macchina, per consentire l'accesso al personale autorizzato in caso d emergenza e manutenzione. E invece necessario assegnare una password riservata per: - accedere all elaboratore e alle risorse di rete; - gestire l accesso alla posta elettronica - gestire l accesso alle procedure aziendali 4.2 Caratteristiche della password In linea di principio, ogni password è personale e non deve essere comunicata ad altri, salvo ai soggetti individuati per iscritto che possono accedere ai dati o ai sistemi d elaborazione in caso di assenza dell interessato Le password "sicure" sono costituite da almeno otto caratteri di cui almeno una deve essere una cifra o un carattere speciale. Non usare strutture riconoscibili come nomi o date di nascita. Un metodo utile per ricordarla facilmente consiste nell'utilizzare le iniziali di una frase o di una filastrocca. La password deve essere modificata ogni sei mesi e ogni tre mesi nel caso il PC contenga dati sensibili Evitare di memorizzare le password di accesso in procedure automatiche (es. nelle informazioni di collegamento di cartelle condivise di Vs. colleghi) Conservare in luogo sicuro le informazioni necessarie per accedere alla rete aziendale, tutti i numeri telefonici e i codici PIN. 5 Accertarsi che i dati provenienti da fonti esterne non siano infetti da virus 5.1 Pericolosità dei virus I virus possono alterare o distruggere i dati e i programmi che utilizzano i sistemi operativi di Microsoft (Windows, anche nelle più recenti versioni). Sono sempre più diffusi su Internet, spesso in forma di programmi "utili" o di "intrattenimento". I PC aziendali sono, di norma, provvisti di un programma antivirus: se sul PC utilizzato non n è installato uno o si tratta di una versione non aggiornata rivolgersi al Sistema Informativo 5

6 Non caricare, su PC programmi di qualsiasi origine che non siano stati forniti dall'azienda per l'esecuzione della normale attività. Prima di utilizzare files, documenti, programmi, etc, contenuti su dischetti o scaricare file attraverso Internet, occorre eseguire una scansione del contenuto per accertarsi che non siano infetti da virus. 6 Utilizzare solo apparecchiature autorizzate dall Azienda per connettersi alla rete e accedere a Internet 6. 1 Internet è uno strumento essenziale per ottenere informazioni e comunicare con i colleghi di altri ospedali, con i partner, con i fornitori. L'accesso ad Internet comporta però dei rischi per la sicurezza: Utilizzare Internet solo per attività attinenti il lavoro o la produzione scientifica. E vietato collegare lo stesso PC alla rete aziendale e a Internet attraverso un modem o un router. Utilizzare esclusivamente l'installazione ufficiale dell Azienda per accedere a Internet. Non usare mai le stesse userid e password per accedere ai sistemi interni e a sistemi esterni; in caso contrario si potrebbero lasciare delle tracce utili per indicare la modalità di accesso alle informazioni aziendali. Non inviare informazioni confidenziali tramite Internet senza aver preso le opportune precauzioni (forma anonima o criptaggio dei dati clinici) Prima di scaricare (download) documenti da un sito, o attivare un collegamento diretto a un altro sito (link) accertarsi di trovarsi all'interno di un sito "sicuro", verificando la corrispondenza tra le informazioni di identificazione presenti sulla pagina e quelle presenti nell'indirizzo di collegamento (URL). 7 Fare attenzione ai rischi connessi allo scambio di dati elettronici con terzi 7.1 La posta elettronica La sicurezza in ambito costituisce un grave problema, anche considerando il fatto che i messaggi possono essere intercettati: 6

7 Usare la dovuta cautela quando s inviano messaggi . Il loro contenuto può essere considerato come presa di posizione ufficiale dell'azienda. Seguite i regolamenti vigenti Non inviare informazioni che possano violare, per il loro contenuto o per il destinatario, disposizioni di legge o linee guida aziendali, o che possano compromettere l'immagine dell'azienda. Ciò soprattutto nel caso si tratti di informazioni che possono compromettere o danneggiare una o più persone. Usare cautela nella gestione dei destinatari. Possibilmente tenere separati i destinatari interni da quelli esterni. Non utilizzare liste prestabilite se non si conoscono i destinatari. Non inviare messaggi a nome di un altra persona, eccetto quando si abbia ricevuto appropriata delega. La responsabilità personale continua a sussistere anche in caso di delega. Se si riceve un messaggio tipo catena di Sant Antonio non inoltrarlo e avvertire il Sistema Informativo. Non aprire in nessun caso gli allegati. 8 Attenersi alle disposizioni contrattuali e giuridiche 8.1 Osservanza delle disposizioni contrattuali e giuridiche Attenersi alle disposizioni circa la tutela dei dati e dei diritti d'autore (brevetti, copyright, tutela dei marchi). Queste disposizioni valgono anche per il software aziendale, che non va assolutamente intaccato o manomesso. Accertarsi che l'uso delle risorse informatiche rispetti l'immagine professionale dell'azienda, perché le autorità giudiziarie possono imporre di rendere pubbliche le informazioni, i backup e altri dati che si trovano nei nostri sistemi. 8.2 Non osservanza delle disposizioni contrattuali e giuridiche La non osservanza delle regole contenute nella presente guida può esporre a sanzioni e nei casi gravi, può portare a procedimenti penali o civili. 7

8 9 Il vostro aiuto è indispensabile 9.1 Segnalare immediatamente i casi di utilizzo non corretto o potenzialmente pericoloso delle attrezzature informatiche al Sistema Informativo o alla Direzione Sanitaria Si raccomanda di segnalare qualsiasi anomalia nel funzionamento del PC, lo smarrimento o furto di informazioni, violazioni di sicurezza constatate o presunte sia ai responsabili dell U.O. che al Sistema Informativo, in modo che possano essere prese le misure necessarie 8