{"id":768,"date":"2022-04-14T16:12:26","date_gmt":"2022-04-14T14:12:26","guid":{"rendered":"http:\/\/viscontisoluzioni.it\/?p=768"},"modified":"2022-04-14T16:12:27","modified_gmt":"2022-04-14T14:12:27","slug":"censimento-software-utilizzati-e-dati","status":"publish","type":"post","link":"https:\/\/viscontisoluzioni.it\/index.php\/2022\/04\/14\/censimento-software-utilizzati-e-dati\/","title":{"rendered":"CENSIMENTO SOFTWARE UTILIZZATI E DATI"},"content":{"rendered":"\n

E\u2019 assolutamente obbligatorio  censire tutti i software che a vario modo interagiscono con i dati personali oggetti di tutela e naturalmente censire di conseguenza tutti i dati personali che devono essere posti in protezione.<\/strong><\/p>\n\n\n\n

Non facciamoci guidare dal fatto che alcuni di questi dati possano essere pi\u00f9 scontati di altri, e  prescindiamo  dal fatto che i software per l\u2019utilizzo siano installati sui computer\/server oppure siano utilizzabili via internet per capirci \u00e8 un software il collegamento all\u2019agenzia delle Entrate, home banking, INPS, INAIL,  Camera di commercio, Associazioni di Categoria e tanti altri . Oltre questi dobbiamo sempre tenere in considerazione anche i programmi per posta elettronica (con dominio, senza dominio, PEC), software utilizzati direttamente su browser, gestionali e CRM, software per la gestione del magazzino e la fatturazione.<\/p>\n\n\n\n

<\/a>Di tutti i software utilizzati  vanno registrate le licenze e il loro database di riferimento perch\u00e9 solo cosi si potr\u00e0 poi sul registro del trattamento verificare che la regola FISSA degli aggiornamenti venga correttamente eseguita.<\/p>\n\n\n\n

Subito dopo occorre la  verifica delle licenze i cui motivi non ci dilunghiamo a specificare.<\/p>\n\n\n\n

Ed ultimo ma solo come elemento cronologico occorre verificare il controllo di esistenza di eventuale nomina a responsabile e se manca occorre nominarlo e specificargli con esattezza la tipologia di incarico e le attivit\u00e0 che deve compiere sui software e sui dati. Attenzione questa nomina non va fatta con leggerezza ma attraverso un serio processo di identificazione capace di cogliere tutti gli aspetti di responsabilizzazione.<\/p>\n\n\n\n

Quindi per ogni software va verificata la nomina del responsabile, che spesso esiste per tipologia di lavoro ed \u00e8 quindi possibile che ad un responsabile afferiscano pi\u00f9 software e dati, attenzione non stiamo dicendo che per ogni software va creato un responsabile e la sua nomina, stiamo dicendo che ogni software che gestisce dati sottoposti alle regole del GDPR devono avere un nominativo a cui rivolgersi per qualsiasi evenienza.<\/p>\n\n\n\n

Come per i software e i dati stessa prassi va utilizzata per  il censimento degli hardware utilizzati ricordandosi che questa non \u00e8 una mera misura anagrafica ma una seria individuazione dei rischi informatici e cosa quindi porre in protezione, infatti con questa attivit\u00e0 vedremo che si provveder\u00e0 a:<\/p>\n\n\n\n

  1. Verificare esistenza rete<\/li>
  2. Descrivere una rete se necessaria<\/li>
  3. Numero di pc utilizzati<\/li>
  4. Configurazione dei computer<\/li>
  5. Numero di stampanti<\/li>
  6. Numero di modem\/router<\/li>
  7. Presenza o meno di wifi<\/li>
  8. Presenza o meno di tornelli all\u2019ingresso<\/li>
  9. Presenza o meno di video sorveglianza<\/li><\/ol>\n\n\n\n

    Pu\u00f2 sembrare ai pi\u00f9 che ci stiamo allontanando dalla gestione di un GDPR compliance ed invece proprio la rete, costruita attraverso gli hardware e fruita attraverso i software rappresenta un elemento molto critico da tenere sempre nella dovuta considerazione per la protezione dei dati. La rete infatti gestisce i dati e quindi il patrimonio aziendale di conseguenza va messa in sicurezza ben sapendo che occorre un aggiornamento continuo fisso e determinato da regole precise per  gestire il sempre pi\u00f9 complesso panorama delle minacce.<\/p>\n\n\n\n

    Ed \u00e8 bene chiarire subito che quando si parla di rete occorre che i controlli posti a protezione dei dati gestiti informaticamente passino attraverso i controlli e la gestione sia della sicurezza fisica, sia della sicurezza logica, ma in un articolo futuro sulla gestione dei rischi avremo modo di approfondire bene questo dopo aspetto della sicurezza.<\/p>\n\n\n\n

    Anche se non espressamente citato dal GDPR l\u2019amministratore di Sistema diventa sempre pi\u00f9  una figura fondamentale e quasi centrale in azienda tanto che su di lui ricadono responsabilit\u00e0 specifiche e precise in tema  GDPR e sicurezza informatica.<\/p>\n\n\n\n

    E\u2019 compito dell\u2019amministratore di Sistema  di  monitorata la rete aziendale e i sistemi, controllare l\u2019accesso ai dati personali per prevenire accessi non autorizzati e potenziali data-breach, e soprattutto essere di supporto nel redigere policy e permessi a livello di dominio e workgroup, installare, configurare e gestire software, hardware e dispositivi che garantiscono la sicurezza come ad esempio il firewall.<\/p>\n\n\n\n

    Tra le varie attivit\u00e0 che con scrupolosa attenzione si dovranno richiedere  all\u2019amministratore di sistema troviamo:<\/p>\n\n\n\n

    Gerstione dei file di di log e le operazioni di logging<\/p>\n\n\n\n

    • Attivare su PC, device, Server e periferiche la gestione dei log \u2013 attivit\u00e0 questa che permetter\u00e0 una maggiore precisione nella definizione di un eventuale data breach e che nel tempo permetter\u00e0 di migliorare le regole previste per la determinazione dei rischi<\/li>
    • Abilitare il logging dei login effettuati nei sistemi (registrazione degli accessi). Questa attivit\u00e0, che per altro non \u00e8 invasiva sui sistemi  permetter\u00e0 di individuare con precisioni comportamenti anomali, almeno come macchina dalla quale \u00e8 partito l\u2019attacco e deve essere esteso sui protocolli SSH, FTP, console, ecc.<\/li>
    • Incrementare la verbosit\u00e0 dei file di log per poter contare di pi\u00f9 dettagli possibili durante le indagini<\/li>
    • Utilizzare soluzioni di logging avanzato per l\u2019analisi l\u2019accesso ai file, cos\u00ec da avere un monitoraggio pi\u00f9 pervasivo degli eventi sospetti<\/li>
    • Memorizzare i file di log su supporti remoti e distribuiti, limitando l\u2019accesso in scrittura solo a un particolare utente<\/li><\/ul>\n\n\n\n

      DA quanto appena detto si evince chiaramente che come detto chiaramente anche dal nostro Garante l\u2019Amministratore di Sistema \u00e8 una figura professionale finalizzata alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti, da cui si evince senza ombra di dubbio che stiamo parlano di un tecnico, figura che nelle aziende \u00e8 gi\u00e0 presente e attiva per cui non si cada nell\u2019errore di andare a cercare qualcuno per tale nomina.<\/p>\n\n\n\n

      Come gi\u00e0 detto il Regolamento UE 679\/2016, non prevede la figura dell\u2019amministratore di sistema nel processo di trattazione e custodia dei dati ma si limita ad indicarla anche se non esplicitamente in alcune norme, in considerazione delle sue specifiche competenze tecniche.<\/p>\n\n\n\n

      In proposito quindi non essendo esplicitamente citata la figura del responsabile di sistema, occorre ricordarsi che il Titolare \u00e8 tenuto ad assolvere vari obblighi per quanto attiene al principio di accountability o responsabilizzazione, ex art. 24 del Regolamento, che impone l\u2019adozione di misure di sicurezza per garantire la conformit\u00e0 al Regolamento europeo a questo si aggiunga l\u2019art. 32, che tra le misure di sicurezza tecniche prevede attivit\u00e0 come la cifratura dei dati, la pseudonimizzazione, il backup ed il ripristino dei dati in caso inconvenienti siano essi di origine tecnica o meno oltre naturalmente alle  verifiche periodiche e da riportare nel registro del trattamento delle misure tecniche ed organizzative adottate. E\u2019 quindi in questi articoli ed in questi passaggi che si pu\u00f2 affermare senza tema di smentita che per tali attivit\u00e0 e controlli \u00e8 necessaria la presenza attiva di personale specializzato e competente che ci riporta di conseguenza alla figura dell\u2019Amministratore di Sistema.<\/p>\n\n\n\n

      In considerazione del fatto che questi brevi articoli si basano sul concetto della non interpretabilit\u00e0 \u00e8 opportuno dire che l\u2019amministratore di sistema va nominato li dove la gestione informatica dei dati rappresenta un asset fondamentale per la gestione del business e del dato, ritroveremo sicuramente questa figura nelle grandi e medie aziende ed in quelle aziende che se pur piccole come dimensione hanno una struttura informatica di rilievo.<\/p>\n","protected":false},"excerpt":{"rendered":"

      E\u2019 assolutamente obbligatorio  censire tutti i software che a vario modo interagiscono con i dati personali oggetti di tutela e<\/p>\n","protected":false},"author":1,"featured_media":769,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[33],"tags":[],"class_list":["post-768","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-articoli"],"_links":{"self":[{"href":"https:\/\/viscontisoluzioni.it\/index.php\/wp-json\/wp\/v2\/posts\/768","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/viscontisoluzioni.it\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/viscontisoluzioni.it\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/viscontisoluzioni.it\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/viscontisoluzioni.it\/index.php\/wp-json\/wp\/v2\/comments?post=768"}],"version-history":[{"count":1,"href":"https:\/\/viscontisoluzioni.it\/index.php\/wp-json\/wp\/v2\/posts\/768\/revisions"}],"predecessor-version":[{"id":770,"href":"https:\/\/viscontisoluzioni.it\/index.php\/wp-json\/wp\/v2\/posts\/768\/revisions\/770"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/viscontisoluzioni.it\/index.php\/wp-json\/wp\/v2\/media\/769"}],"wp:attachment":[{"href":"https:\/\/viscontisoluzioni.it\/index.php\/wp-json\/wp\/v2\/media?parent=768"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/viscontisoluzioni.it\/index.php\/wp-json\/wp\/v2\/categories?post=768"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/viscontisoluzioni.it\/index.php\/wp-json\/wp\/v2\/tags?post=768"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}