I dati : patrimonio aziendale da proteggere

Transcript

1

2 Premessa Per chi lavora nell informatica da circa 30 anni, il tema della sicurezza è sempre stato un punto fondamentale nella progettazione dei sistemi informativi. Negli ultimi anni il tema della sicurezza è diventato particolarmente importante, non solo per i vari problemi legati a Internet, ma anche a causa dell entrata in vigore del DPR 318/99 che stabilisce le norme per individuare le misure minime di sicurezza per il trattamento dei dati personali come previsto dall articolo 15 della Legge sulla Privacy (675/96). L introduzione del DPR 318/99 sottopone le aziende, soprattutto quelle che dispongono di un sistema informativo, ad alcuni vincoli legislativi. L inosservanza del Decreto può comportare sanzioni amministrative, civili e penali a carico sia dell Azienda sia di colui che è delegato a rappresentarla in nome e per conto dell Azienda stessa.

3 I dati : patrimonio aziendale da proteggere La gestione della sicurezza e della privacy deve rispondere alle esigenze della salvaguardia dei dati, patrimonio aziendale da proteggere, ed alle adempienze previste dalle norme vigenti. L attuazione di un sistema di gestione e controllo e complesso e variegato essendo diverse le problematiche; si deve tener presente che: - per l Azienda i dati interessati al controllo sono indispensabili alla gestione - una eccessiva protezione indiscriminata dei dati ( password, protezioni hardware, ecc ) potrebbe rendere problematico l accesso agli stessi con conseguenze negative Pertanto nasce la necessità di mediare la sicurezza con l operabilità portando ad un livello ponderato ed accettabile i rischi di: - perdita o modifica dei dati per fatti accidentali o dolosi - accessi non autorizzati

4 Scopo del documento Riduzione al minimo dei rischi Definizione misure sicurezza Distruzione o perdita, anche accidentale, dei dati Accesso non autorizzato Trattamento dati non consentito Protezione aree e locali Assicurare integrità dei dati Sicurezza telematica e Internet Formazione personale interessato Rischi Manuale della sicurezza (o Documento programmatico sulla Sicurezza)

5 I rischi Nella tabella sottostante, sono riportati i rischi più probabili in modo da poter adottare le possibili misure idonee ad evitarli, in base alle conoscenze acquisite ed al progresso tecnico. Tipologia del rischio Attività dei dipendenti Attività di personale esterno collegato Fattori ambientali (incendi, allagamenti, ecc.) Carenze organizzative (Sottovalutazione del rischio) Scarsa conoscenza Malafede o dolo (anche grazie all avvento di Internet) Software (Applicazioni non conosciute o non testate) Virus Probabilità Bassa/Media Bassa/Media Bassa * * In crescita * Alto * : probabilità del rischio soggettivo per azienda e non quantificabile a priori

6 Processi da avviare Test Periodici Manuale della sicurezza Azioni di adeguamento Definizione politiche di sicurezza Verifica dell ambiente

7 Verifica dell ambiente Per evitare il più possibile i rischi in precedenza evidenziati, occorre in primo luogo fare un inventario relativamente ai punti seguenti : 1. Attribuzione dei ruoli (Titolare del trattamento, Responsabile del trattamento dati, Incaricati del trattamento, Custode delle password, Amministratore del sistema) 2. Eventuali dati affidati ad enti esterni per il trattamento in Outsourcing 3. Banche dati oggetto del trattamento 4. Sedi e uffici in cui vengono trattati i dati 5. Sistemi di elaborazione 6. Misure contro il rischio di distruzione o perdita dei dati 7. Misure contro il rischio di accesso non autorizzato ai dati 8. Misure contro il rischio di trattamento non consentito dei dati

8 Politiche di sicurezza : attribuzione dei ruoli Titolare del trattamento Responsabile/i del trattamento Incaricato/i del trattamento Amministratore/i di/dei sistemi Custode/i delle Password Le nomine verranno essere effettuate con lettera di incarico in base alla responsabilità e controfirmata dall interessato, a cui va anche consegnata una copia delle norme che riguardano la sicurezza del trattamento dei dati.

9 Politiche di sicurezza : trattamento dati in outsourcing Il Titolare del trattamento può decidere di affidare il trattamento dei dati totalmente o parzialmente a soggetti terzi, cioè in Outsourcing, nominandoli responsabili del trattamento. Titolare del trattamento Responsabile/i del trattamento Definizione dei luoghi ove vengono trattati i dati Definizione soggetti e tipo trattamento effettuato Il responsabile del trattamento dei dati in outsourcing deve rilasciare una dichiarazione scritta da cui risulti che sono state adottate le misure idonee per garantire la sicurezza dei dati e che non devono essere inferiori alle misure adottate per il trattamento interno.

10 Politiche di sicurezza : individuazione delle banche dati oggetto del trattamento Al Responsabile del trattamento per la sicurezza dei dati è affidato il compito di definire e mantenere aggiornato l elenco delle banche dati. Classificazione banche dati o archivi in base alle informazioni contenute indicando la tipologia Dati personali comuni Dati personali sensibili Dati personali giudiziari

11 Politiche di sicurezza : inventario delle sedi e uffici in cui vengono trattati i dati Al Responsabile del trattamento per la sicurezza dei dati è affidato il compito di mantenere aggiornato l elenco delle sedi e degli uffici in cui viene effettuato il trattamento dei dati. Inventario sedi e uffici Sedi Uffici Uffici Azienda

12 Politiche di sicurezza : inventario dei sistemi di elaborazione Al Responsabile del trattamento per la sicurezza dei dati è affidato il compito di definire e mantenere aggiornato l elenco dei sistemi di elaborazione con cui è effettuato il trattamento dei dati. Classificazione dei sistemi di elaborazione Stand-alone (Non accessibili al pubblico) In rete ma non accessibili al pubblico In rete accessibili al pubblico Per ogni sistema devono essere indicati il nome dell incaricato o degli incaricati che lo gestiscono e il Custode delle Password

13 Politiche di sicurezza : misure contro il rischio di distruzione o perdita dei dati Al Responsabile del trattamento per la sicurezza dei dati, insieme all Amministratore di sistema, è delegato il compito di definire tutte le strategie atte a salvaguardare l integrità delle Banche dati. Classificazione delle misure Criteri per l integrità dei dati Protezione da Virus Informatici Azioni dopo Infezioni da Virus Informatici Utilizzo e Riutilizzo dei supporti Conservazione dei supporti di Backup Formazione degli Incaricati Accettabile standard di sicurezza

14 Politiche di sicurezza : criteri per garantire l integrità dei dati Criteri e procedure per garantire l integrità dei dati Tipo supporto per le copie di Backup Numero copie effettuate o da effettuarsi Eventuale riutilizzo supporti per le copie di Backup e frequenza Utilizzo procedure automatizzate e schedulate per le copie (frequenza) Modalità di controllo delle copie di Backup Durata massima di conservazione dei dati nei supporti utilizzati L Incaricato del trattamento che esegue/verifica le copie Istruzioni e comandi utili per eseguire le copie di Backup

15 Politiche di sicurezza : protezione da virus informatici Al fine di preservare l integrità dei dati contro rischi di distruzione o perdita a causa di virus informatici, il Responsabile del trattamento della sicurezza dei dati, assieme all Amministratore del sistema, stabilisce le protezioni software in base all evoluzione tecnologica e definisce i criteri di protezione da virus per ogni sistema in base a : Tipo di antivirus utilizzato Frequenza di aggiornamento (più frequente possibile) Integrità e salvaguardia dei dati

16 Politiche di sicurezza : infezione da virus informatici Nel caso uno o più sistemi venissero violati da virus informatici, l Amministratore del sistema deve intervenire in modo da : Installa Antivirus Identificare l Antivirus più adatto Verificare esistenza altri sistemi infettati dallo stesso virus Isolare il sistema

17 Politiche di sicurezza : conservazione e custodia dei supporti di Backup Il Responsabile del trattamento della sicurezza dei dati è responsabile della conservazione e custodia dei supporti utilizzati nel Backup dei dati. Banca Dati Indicare il luogo di conservazione dei supporti di Backup Protetta da Agenti chimici Campi magnetici Furti Allagamenti Fonti di calore Atti vandalici Incendi

18 Politiche di sicurezza : utilizzo e riutilizzo dei supporti magnetici Il Responsabile del trattamento della sicurezza dei dati è responsabile della affidabilità dei supporti utilizzati per le copie di Backup dei dati. Nel caso decida che un supporto non debba più essere usato, deve assicurarsi che il contenuto delle copie delle Banche dati di Backup, sia cancellato oppure reso illeggibile il supporto stesso. Copie Banca Dati Evitare che terze parti vengano in possesso occasionalmente dei dati

19 Politiche di sicurezza : formazione degli Incaricati Al Responsabile del trattamento della sicurezza dei dati è delegato il compito di verificare una volta all anno (almeno) il grado di formazione del personale incaricato di effettuare periodicamente le procedure di Backup delle Banche dati di competenza. Esperienza Formazione Conoscenze Evoluzione tecnologica

20 Politiche di sicurezza : misure contro il rischio di accesso non autorizzato (norme generali) In base al DPR n. 318 è vietato a chiunque non abbia l autorizzazione del Responsabile del trattamento per la sicurezza dei dati di : Accesso non autorizzato effettuare copie su supporti magnetici o trasmissioni di dati oggetto del trattamento cancellare, distruggere, utilizzare per scopi non aziendali stampe, o qualsiasi altro materiale riguardante i dati oggetto del trattamento effettuare copie cartacee di stampe, liste e qualsiasi altro materiale riguardante i dati oggetto del trattamento consegnare a persone non autorizzate stampe, liste e qualsiasi altro materiale riguardante i dati oggetto del trattamento Non solo i dati oggetto del trattamento

21 Politiche di sicurezza : misure contro il rischio di accesso non autorizzato Definite dal Responsabile del trattamento per la sicurezza dei dati insieme all Amministratore del sistema Protezione per l accesso agli uffici in cui viene effettuato il trattamento dei dati Assegnazione dei nomi identificativi (User Id) per consentire ad ogni Incaricato del trattamento di accedere ai sistemi dove si trovano le Banche dati Assegnazione delle password Protezione dei sistemi collegati in rete pubblica al fine di evitare intercettazione di dati o intrusioni Identificazione degli elaboratori connessi alla rete pubblica

22 Politiche di sicurezza : misure contro il rischio di trattamento non consentito Al Responsabile del trattamento per la sicurezza dei dati è affidato il compito di definire e mantenere aggiornato l elenco degli Incaricati del trattamento autorizzati al trattamento dei dati personali. Assegnazione USER ID Incaricato/a del trattamento Revoca Autorizzazione Verifica annuale entro 31/12 Elenco Utenti Autorizzati

23 Politiche di sicurezza : misure contro il rischio di trattamento non consentito (Accesso ai dati) Al Responsabile del trattamento per la sicurezza dei dati è affidato il compito di definire e mantenere aggiornato l elenco dei Permessi di accesso che indica per ogni Banca dati le azioni ammesse per ogni Incaricato del trattamento. Azioni Inserimento Variazione Lettura e Stampa Cancellazione Incaricato/a del trattamento Banca Dati

24 Politiche di sicurezza : manutenzione dei sistemi di trattamento dei dati Al Responsabile del trattamento per la sicurezza dei dati, insieme all Amministratore del sistema, è affidato il compito di controllare e mantenere aggiornati gli strumenti con cui vengono trattati i dati. + Sicurezza dei dati trattati Verificare per - Rischio di distruzione o perdita dei dati Accettabile standard di sicurezza - Rischio di accessi non autorizzati

25 Politiche di sicurezza : manutenzione dei sistemi di trattamento dei dati Evoluzione tecnologica dispositivi Hw Nuove versioni, Patch, Service Pack Hardware Sistemi operativi Applicazioni utente Nuove versioni che aumentano sicurezza

26 Politiche di sicurezza : trattamento dei dati eseguito senza strumenti informatici Al Responsabile del trattamento per la sicurezza dei dati è affidato il compito di definire l elenco degli incaricati che possono accedere a tali archivi. Incaricato/a del trattamento Archivio Consultazione Dati personali Dati sensibili o giudiziari

27 Azioni di adeguamento Si intendono tutte le azioni da intraprendere per l adeguamento a quanto stabilito nelle politiche di sicurezza; in pratica indicazione di : Prodotti Hardware e Software Sicurezza informatica e ambientale Aggiornamenti Hardware e Software Formazione del personale

28 Manuale della sicurezza Verifica ambiente Politiche di sicurezza Azioni di adeguamento Manuale della sicurezza (o Documento programmatico sulla Sicurezza)

29 Test : obiettivi Responsabile del trattamento dati Coinvolgimento e formazione del personale Controlli periodici (semestrali?) In pratica, dopo aver definito il sistema della sicurezza, definite le responsabilità e le procedure da seguire, resi operativi gli strumenti necessari, ma soprattutto formato il personale coinvolto, l Azienda inizierà ad operare in base ai criteri stabiliti dal sistema di sicurezza. Sistema gestione sicurezza informatica 1. Assicurare applicazioni alle normative 2. Garantire conformità alle politiche della sicurezza 3. Protezione dati

30 Test : prima fase e a regime Controlli Sistema gestione sicurezza informatica Eventuali correzioni Prima fase: tenere sotto controllo il sistema della sicurezza in modo da verificare le caratteristiche nella realtà pratica ed apportare eventuali modifiche correttive. A regime : verranno eseguiti periodici controlli per valutare la validità delle misure apportate, la conformità delle operazioni alle regole poste dal sistema di sicurezza e la necessità di aggiornamento al sistema stesso.

31 Test : ipotesi di processo Verifica conformità al manuale della sicurezza No OK Si Verifica Politiche della sicurezza Siamo stati bravi Azioni di adeguamento Aggiornamento manuale della sicurezza

32