LA VIGILANZA SUGLI INTERMEDIARI ENTRATEL : AGGIORNAMENTI NORMATIVI E RISVOLTI PRATICI Pesaro, 26/10/2011
Procedura di controllo del rispetto delle misure di sicurezza e dell adempimento degli obblighi previsti dal D.lgs n. 196 del 2003 Controllo normale amministrazione (malware, backup, etc.) Controllo su eventi (cambio personale, cambio Asset IT) Trimestrale Documentato dal responsabile privacy Costituisce un processo IT Business
Password Policy Responsabile Gestione Password/Credenziali Utenti
Sistemi di Autenticazione Peer-to-Peer (paritetica) Rischio di usare protocolli obsoleti e non sicuri Password «nella busta di carta» Difficile gestione scadenza Difficile controllo del flusso dei dati L Admin conosce la password degli utenti Centralizzato Protocolli sicuri (Kerberos) Rinnovo password al primo login Scadenza password automatica Controllo del flusso dati Solo l utente conosce la propria password.
Rete Client-Server vs paritetica
Doppia autenticazione Niente più scadenza password Password semplice + token (es. chiavetta usb, smart card, etc.). Vedi CNS (carta nazionale dei servizi) che permette l accesso al portale Entratel)
Garanzie dai «tecnici» (non sono responsabili del trattamento!) Server, Client, Smartphone e fotocopiatrici!
Autorizzazione Privilegi di accesso ai dati Aderenza Ruolo organizzativo del personale che vi accede
Misure di sicurezza relative ai supporti tecnologici utilizzati configurazione delle stazioni di lavoro che preveda il blocco automatico delle stesse dopo un certo tempo di inattività dell operatore installazione di programmi di protezione per le stazioni di lavoro e server al fine di mitigare i rischi di accesso ai dati o la loro manomissione aggiornamento periodico del sistema operativo e del software di protezione in caso di utilizzo di reti senza fili (wireless), adozione di protocolli di sicurezza idonei a limitare il rischio che le trasmissioni dati siano intercettabili da parte di soggetti esterni non autorizzati
Wi-Fi : ABC Protocolli di sicurezza WEP (Wired Equivalent Privacy) Wi-Fi Protected Access (WPA e WPA2) Protocolli di Criptazione TKIP WPA (CCNP)
Wi-Fi & Sicurezza WPA-PSK Pre-Shared Key, la chiave è uguale per tutti La chiave non cambia mai Non ho nessun tipo di controllo (Accounting) WPA-Enterprise Sistema di autenticazione centralizzato La chiave è legata all utente Posso controllare chi accedere alla mia rete Tecnologia che si appoggia ad un server RADIUS (es. Active Directory)
Ulteriori misure di sicurezza presenza di spazi idonei ed accessibili esclusivamente a personale autorizzato per la conservazione dei documenti relativi all attività di trasmissione delle dichiarazioni fiscali e dei supporti contenenti il backup dei dati stessi (allegato B del D.lgs n. 196 del 2003);
Backup ma ancora funziona? Controllo periodico del corretto esito del backup Verifica che le banche dati del DPS siano effettivamente «backuppate» Verifica almeno annuale della procedura di ripristino Ma dove trovo uno spazio idoneo? Backup crittato
Spazio idoneo per conservare i backup (criptati) In un luogo diverso da dove è il server A casa, in una cassetta di sicurezza, a casa dell impiegata di fiducia. Online backup Sistemi di sincronizzazione dati (cloud)
L anello debole La maggior parte dei problemi relativi alla sicurezza sono causati da comportamenti umani. Formazione Processi che governano le relative procedure
LA VIGILANZA SUGLI INTERMEDIARI ENTRATEL : AGGIORNAMENTI NORMATIVI E RISVOLTI PRATICI Grazie