venerdì, Novembre 8, 2024
Articoli

CENSIMENTO SOFTWARE UTILIZZATI E DATI

E’ assolutamente obbligatorio  censire tutti i software che a vario modo interagiscono con i dati personali oggetti di tutela e naturalmente censire di conseguenza tutti i dati personali che devono essere posti in protezione.

Non facciamoci guidare dal fatto che alcuni di questi dati possano essere più scontati di altri, e  prescindiamo  dal fatto che i software per l’utilizzo siano installati sui computer/server oppure siano utilizzabili via internet per capirci è un software il collegamento all’agenzia delle Entrate, home banking, INPS, INAIL,  Camera di commercio, Associazioni di Categoria e tanti altri . Oltre questi dobbiamo sempre tenere in considerazione anche i programmi per posta elettronica (con dominio, senza dominio, PEC), software utilizzati direttamente su browser, gestionali e CRM, software per la gestione del magazzino e la fatturazione.

Di tutti i software utilizzati  vanno registrate le licenze e il loro database di riferimento perché solo cosi si potrà poi sul registro del trattamento verificare che la regola FISSA degli aggiornamenti venga correttamente eseguita.

Subito dopo occorre la  verifica delle licenze i cui motivi non ci dilunghiamo a specificare.

Ed ultimo ma solo come elemento cronologico occorre verificare il controllo di esistenza di eventuale nomina a responsabile e se manca occorre nominarlo e specificargli con esattezza la tipologia di incarico e le attività che deve compiere sui software e sui dati. Attenzione questa nomina non va fatta con leggerezza ma attraverso un serio processo di identificazione capace di cogliere tutti gli aspetti di responsabilizzazione.

Quindi per ogni software va verificata la nomina del responsabile, che spesso esiste per tipologia di lavoro ed è quindi possibile che ad un responsabile afferiscano più software e dati, attenzione non stiamo dicendo che per ogni software va creato un responsabile e la sua nomina, stiamo dicendo che ogni software che gestisce dati sottoposti alle regole del GDPR devono avere un nominativo a cui rivolgersi per qualsiasi evenienza.

Come per i software e i dati stessa prassi va utilizzata per  il censimento degli hardware utilizzati ricordandosi che questa non è una mera misura anagrafica ma una seria individuazione dei rischi informatici e cosa quindi porre in protezione, infatti con questa attività vedremo che si provvederà a:

  1. Verificare esistenza rete
  2. Descrivere una rete se necessaria
  3. Numero di pc utilizzati
  4. Configurazione dei computer
  5. Numero di stampanti
  6. Numero di modem/router
  7. Presenza o meno di wifi
  8. Presenza o meno di tornelli all’ingresso
  9. Presenza o meno di video sorveglianza

Può sembrare ai più che ci stiamo allontanando dalla gestione di un GDPR compliance ed invece proprio la rete, costruita attraverso gli hardware e fruita attraverso i software rappresenta un elemento molto critico da tenere sempre nella dovuta considerazione per la protezione dei dati. La rete infatti gestisce i dati e quindi il patrimonio aziendale di conseguenza va messa in sicurezza ben sapendo che occorre un aggiornamento continuo fisso e determinato da regole precise per  gestire il sempre più complesso panorama delle minacce.

Ed è bene chiarire subito che quando si parla di rete occorre che i controlli posti a protezione dei dati gestiti informaticamente passino attraverso i controlli e la gestione sia della sicurezza fisica, sia della sicurezza logica, ma in un articolo futuro sulla gestione dei rischi avremo modo di approfondire bene questo dopo aspetto della sicurezza.

Anche se non espressamente citato dal GDPR l’amministratore di Sistema diventa sempre più  una figura fondamentale e quasi centrale in azienda tanto che su di lui ricadono responsabilità specifiche e precise in tema  GDPR e sicurezza informatica.

E’ compito dell’amministratore di Sistema  di  monitorata la rete aziendale e i sistemi, controllare l’accesso ai dati personali per prevenire accessi non autorizzati e potenziali data-breach, e soprattutto essere di supporto nel redigere policy e permessi a livello di dominio e workgroup, installare, configurare e gestire software, hardware e dispositivi che garantiscono la sicurezza come ad esempio il firewall.

Tra le varie attività che con scrupolosa attenzione si dovranno richiedere  all’amministratore di sistema troviamo:

Gerstione dei file di di log e le operazioni di logging

  • Attivare su PC, device, Server e periferiche la gestione dei log – attività questa che permetterà una maggiore precisione nella definizione di un eventuale data breach e che nel tempo permetterà di migliorare le regole previste per la determinazione dei rischi
  • Abilitare il logging dei login effettuati nei sistemi (registrazione degli accessi). Questa attività, che per altro non è invasiva sui sistemi  permetterà di individuare con precisioni comportamenti anomali, almeno come macchina dalla quale è partito l’attacco e deve essere esteso sui protocolli SSH, FTP, console, ecc.
  • Incrementare la verbosità dei file di log per poter contare di più dettagli possibili durante le indagini
  • Utilizzare soluzioni di logging avanzato per l’analisi l’accesso ai file, così da avere un monitoraggio più pervasivo degli eventi sospetti
  • Memorizzare i file di log su supporti remoti e distribuiti, limitando l’accesso in scrittura solo a un particolare utente

DA quanto appena detto si evince chiaramente che come detto chiaramente anche dal nostro Garante l’Amministratore di Sistema è una figura professionale finalizzata alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti, da cui si evince senza ombra di dubbio che stiamo parlano di un tecnico, figura che nelle aziende è già presente e attiva per cui non si cada nell’errore di andare a cercare qualcuno per tale nomina.

Come già detto il Regolamento UE 679/2016, non prevede la figura dell’amministratore di sistema nel processo di trattazione e custodia dei dati ma si limita ad indicarla anche se non esplicitamente in alcune norme, in considerazione delle sue specifiche competenze tecniche.

In proposito quindi non essendo esplicitamente citata la figura del responsabile di sistema, occorre ricordarsi che il Titolare è tenuto ad assolvere vari obblighi per quanto attiene al principio di accountability o responsabilizzazione, ex art. 24 del Regolamento, che impone l’adozione di misure di sicurezza per garantire la conformità al Regolamento europeo a questo si aggiunga l’art. 32, che tra le misure di sicurezza tecniche prevede attività come la cifratura dei dati, la pseudonimizzazione, il backup ed il ripristino dei dati in caso inconvenienti siano essi di origine tecnica o meno oltre naturalmente alle  verifiche periodiche e da riportare nel registro del trattamento delle misure tecniche ed organizzative adottate. E’ quindi in questi articoli ed in questi passaggi che si può affermare senza tema di smentita che per tali attività e controlli è necessaria la presenza attiva di personale specializzato e competente che ci riporta di conseguenza alla figura dell’Amministratore di Sistema.

In considerazione del fatto che questi brevi articoli si basano sul concetto della non interpretabilità è opportuno dire che l’amministratore di sistema va nominato li dove la gestione informatica dei dati rappresenta un asset fondamentale per la gestione del business e del dato, ritroveremo sicuramente questa figura nelle grandi e medie aziende ed in quelle aziende che se pur piccole come dimensione hanno una struttura informatica di rilievo.