Documento Programmatico annuale sulla Sicurezza
4.Quali aspetti informatici tratta?
6.Credenziali, autenticazione, autorizzazione
7. Protezione da programmi maligni, prevenzione dalle vulnerabilità, salvataggio dei dati
8. Backup, supporti rimovibili, ripristino
9. Documento programmatico annuo sulla sicurezza
10. La certificazione delle misure minime di sicurezza
11. Misure di sicurezza idonee e responsabilità civile del titolare del trattamento
14. Protezione da programmi maligni e prevenzione delle vulnerabilità
15. Affidabilità, copie di sicurezza e ripristino dei dati
16. Soluzioni per il solo Client
Dal 1 Gennaio 2004 è in
vigore, in Italia, il Codice in materia di protezione dei dati
personali (Decreto legislativo n. 196 del 30/6/2003) che riforma
interamente la disciplina sulla privacy. Il Codice abroga e sostituisce
tutte le precedenti leggi, decreti e regolamenti in materia, riunendo in
un unico organico contesto l’intera normativa sulla privacy.
Tutte le aziende sono tenute a rispettare la nuova normativa, la cui corretta
applicazione consente, non solo di adempiere agli obblighi di legge, ma
anche di migliorare l'organizzazione aziendale, i processi di lavoro e
la qualità dei risultati.
Il Codice richiede l'adozione di diverse
misure di sicurezza per garantire che i dati trattati siano custoditi e
controllati secondo alcune misure minime di sicurezza: a titolo di esempio
possiamo citare il fatto che ogni persona che accede alla banca dati
(dall'anagrafica dei clienti ad archivi contenenti dati sensibili) deve
essere preventivamente incaricata e riconosciuta dal sistema attraverso un
identificativo associato ad una password che deve essere lunga almeno otto
caratteri, modificata all'atto del primo collegamento e non deve essere
agevolmente riconducibile al proprietario.
Altre misure minime prevedono
l'aggiornamento costante del software con le ultime "patch"
rilasciate dal produttore e il backup settimanale dei dati. Oltre alle
misure minime il Codice prevede altre misure di sicurezza più ampie
"idonee" a garantire ulteriormente la protezione dei dati e dei
sistemi. In generale il Codice prescrive di fatto la realizzazione di
un vero e proprio sistema di sicurezza che protegga i dati custoditi
all'interno dell'azienda.
Le misure di sicurezza adottate devono essere riportate in un Documento
Programmatico annuale sulla Sicurezza (DPS) la cui redazione o
aggiornamento deve essere riportata nella relazione accompagnatoria al
bilancio aziendale. Il DPS deve essere redatto entro il 31 Marzo di
ogni anno. Tutte le misure di sicurezza previste devono essere attive
entro il 30 giugno 2004. La mancata adozione delle misure minime di
sicurezza rende penalmente perseguibili gli inadempienti (ovvero chiunque
essendovi tenuto omette di adottarle), salvo l'adozione di un ravvedimento
operoso. La mancata adozione delle misure minime o di quelle idonee può
portare il soggetto cui si riferiscono i dati e che è stato danneggiato a
chiedere un risarcimento dei danni.
zimol.com può fornire una soluzione rivolta ai responsabili delle
aziende che si trovano a dover agire in fretta per adempiere agli obblighi
di legge ed evitare quindi le sanzioni penali e amministrative che gravano
sugli inadempienti.
Chiunque tratta dati personali è tenuto a rispettare gli obblighi prescritti dal Codice in materia di protezione dei dati personali. Aziende, imprese, ditte, studi professionali, banche, assicurazioni, organizzazioni ed esercenti le professioni sanitarie, ed ogni altra categoria, privata e pubblica, indipendentemente dalle loro dimensioni, sono tenute ad operare nel rispetto di precise regole che riguardano la sicurezza dei dati e dei sistemi al fine di ridurre al minimo le fonti di rischio e garantire correttezza, integrità ed aggiornamento delle informazioni.
4. Quali aspetti informatici tratta?
Tra gli interventi richiesti per la sicurezza dei dati e dei sistemi, a secondo dei casi è necessario organizzare e disciplinare l'uso di:
· sistemi di autenticazione informatica;
· credenziali di autenticazione (password, codici identificativi, carte a microprocessore, certificati digitali, ecc);
· sistema di autorizzazione informatica;
· protezione dei dati e sistemi dalle intrusioni di virus, internet worm, programmi maligni;
· aggiornamenti delle vulnerabilità individuate con patch, hot fix,service pack;
· protezione da intrusioni nei sistemi informatici;
· back up dei dati e organizzazione del ripristino;
· redazione di un aggiornato documento programmatico sulla sicurezza;
· tecniche di cifratura.
La corretta applicazione delle misure di
sicurezza consente non solo di adempiere agli obblighi di legge, ma anche
di migliorare l’organizzazione aziendale ottimizzando i processi di
lavoro ed operare nella consapevolezza che i dati trattati siano corretti,
integri, aggiornati come richiesto dal Codice all'art.11 - e
costituiscano, perciò, vere informazioni d’impresa. La stessa impresa
avrà quindi la garanzia di operare in sicurezza e in ottemperanza della
legge e potrà godere della piena fiducia della propria clientela. In tal
modo la sicurezza si trasforma da costo a investimento e vantaggio
competitivo.
Il Codice, all'art.1, introduce un nuovo e fondamentale diritto:
"chiunque ha diritto alla protezione dei dati personali che lo
riguardano".
I dati che devono essere protetti riguardano sia le persone
fisiche (tutti noi), sia le persone giuridiche (i dati riferiti ad
aziende, imprese, ditte, ecc.). La protezione dei dati personali è
garantita da idonee e preventive misure di sicurezza obbligatorie per chi
tratta i dati personali.
Le misure di sicurezza richieste dal Codice sono articolate in due gruppi:
· quelle "minime", la cui mancata adozione comporta sanzioni penali per il responsabile legale
dell'azienda e/o se designato per il responsabile del trattamento
(solitamente l’amministratore delegato o una figura di alto livello),
ma anche per chiunque essendovi tenuto omette di adottarle;
· quelle più ampie, o "idonee",decise in autonomia dal titolare
in relazione alle proprie specificità che, se non adottate, in caso di
danno dovuto a trattamenti di dati non protetti adeguatamente
concorreranno all’individuazione delle responsabilità e del
conseguente risarcimento economico.
Sono previste, inoltre, misure per titolari particolari quali i fornitori di un servizio di comunicazione
elettronica accessibile al pubblico o gli organismi e gli esercenti le professioni sanitarie.
Le misure minime di sicurezza richieste dalla legge sono tecniche,
informatiche, organizzative, logistiche e procedurali e sono tutte
orientate a ridurre i rischi che incombono sui dati personali trattati. Le
misure da adottare per la protezione dei trattamenti elettronici dei dati
sono sinteticamente elencate di seguito.
6.Credenziali,autenticazione, autorizzazione
Alla base delle nuove misure minime sono poste le modalità per
l'accesso ai dati che devono avvenire solo da parte delle persone
autorizzate ed esplicitamente incaricate; ad esse dovranno essere
assegnate o associate “credenziali di autenticazione”, cioè parole
chiave, codici identificativi, carte a microprocessore, token, certificati
digitali, o dispositivi che riconoscono le caratteristiche biometriche.
Tali credenziali dovranno consentire "l'autenticazione informatica"
delle persone incaricate del trattamento di dati. Inoltre, quando più
persone incaricate accedono ai dati, è necessario associare ad ogni
soggetto uno specifico profilo per l'accesso. Il profilo identifica dei
trattamenti di dati che possono essere svolti e costituisce "l'ambito
del trattamento consentito"; l'intero processo è definito "sistema
di autorizzazione" per l'accesso ai trattamenti consentiti e
preventivamente individuati.
La legge definisce anche i criteri con cui le
credenziali devono essere scelte; ad esempio la parola chiave usata in un
sistema di autenticazione deve essere composta da almeno otto caratteri
oppure, nel caso in cui lo strumento elettronico non lo permetta, da un
numero di caratteri pari al massimo consentito; essa non deve contenere
riferimenti agevolmente riconducibili all’incaricato e deve essere
modificata da quest'ultimo al primo utilizzo e, successivamente, almeno
ogni sei mesi. In caso di trattamento di dati sensibili e di dati
giudiziari la parola chiave dovrà essere modificata almeno ogni tre mesi.
7.Protezione da rogrammi maligni, prevenzione dalle vulnerabilità, salvataggio dei dati
Alcune misure previste dal codice sono rivolte a tutelare la sicurezza di tutte le tipologie di dati personali dalle nuove emergenti criticità:
· i dati personali devono essere
protetti contro il rischio di intrusione e dell’azione di virus,
internet worm, programmi maligni, ecc., mediante l’attivazione di
idonei strumenti elettronici, (ad esempio antivirus, firewall, ed altri
adeguati sistemi) da tenere aggiornati;
· gli strumenti elettronici – nel caso di trattamenti di dati
sensibili e giudiziari - devono essere aggiornati periodicamente con
programmi che consentono di eliminare le vulnerabilità individuate e
correggere i difetti del software individuati (patch, hot fix, service
pack);
· i dati devono essere salvati su copie di riserva almeno
settimanalmente nel rispetto di apposite disposizioni tecniche e
organizzative.
8. Backup, supporti rimovibili, ripristino
Se si trattano i cosiddetti dati sensibili o giudiziari questi dati dovranno essere protetti da ulteriori misure di sicurezza, quali:
· strumenti elettronici che evitano
gli accessi abusivi (intrusioni);
· procedure per la generazione e la custodia di copie di sicurezza dei
dati (back up);
· istruzioni organizzative e tecniche per la custodia e l’uso dei
supporti rimovibili su cui sono memorizzati i dati al fine di evitare
accessi non autorizzati e trattamenti non consentiti;
· disposizioni per riutilizzare o distruggere i supporti rimovibili sui
quali sono registrati tali dati;
· strumenti per il ripristino della disponibilità dei dati e dei
sistemi entro tempi certi e compatibili con i diritti degli interessati,
non superiori a sette giorni.
9. Documento programmatico annuo sulla sicurezza
Rilevante l'importanza assunta dal Documento Programmatico
annuo per la Sicurezza (DPS), che deve essere compilato o aggiornato entro
il 31 marzo di ogni anno e contenere, tra l'altro:
- l'analisi dei rischi che incombono sui dati
- le misure da adottare per garantire l'integrità e la disponibilità dei dati
- la previsione di idonei interventi formativi degli incaricati del
trattamento per renderli edotti dei rischi che incombono sui dati
- la descrizione dei criteri da seguire per garantire l'adozione delle
misure minime di sicurezza in caso di outsourcing dei trattamenti.
Inoltre, solo per i dati personali idonei a rivelare lo stato di salute e
la vita sessuale trattati da organismi sanitari e gli esercenti di
professioni sanitarie, devono essere indicati i criteri da adottare per la
cifratura o per la separazione di tali dati dagli altri dati personali
dell'interessato, ad esempio attraverso la disgiunzione dei dati
anagrafici da quelli riferiti alla salute.
Infine, ed è forse l'aspetto più innovativo che eleva il documento
all'attenzione dei vertici aziendali rendendoli consapevoli delle scelte
necessarie per garantire la sicurezza, vi è l'obbligo per il titolare
di riferire nella relazione accompagnatoria del bilancio d'esercizio, se
dovuta, dell'avvenuta redazione o aggiornamento del documento
programmatico sulla sicurezza
10. La certificazione delle misure minime di sicurezza
Le misure da adottare sono molte e potrebbe accadere che in
azienda si preferisca avvalersi di installatori esterni, soprattutto nei
casi in cui non si abbiano tutte le competenze necessarie.
In tali circostanze zimol.com può occuparsi di questa questione; i
titolari hanno il diritto di farsi rilasciare dall'installatore una
descrizione scritta dell'intervento effettuato che ne attesti la
conformità alle disposizioni del decreto legislativo. Il Codice, infatti,
prevede questa circostanza e prescrive che chi adotta misure minime di
sicurezza avvalendosi di soggetti esterni alla propria struttura, riceve
dall'installatore una descrizione scritta dell'intervento effettuato
che ne attesta la conformità alle disposizioni del Disciplinare tecnico
allegato al Codice.
11.Misure di sicurezza idonee e responsabilità civile del titolare del trattamento
Le misure di sicurezza "minime" sono solo una parte
degli accorgimenti obbligatori in materia di sicurezza (art. 33 del
Codice).
Infatti, come già previsto dalla legge n. 675/1996, esiste un
obbligo più generale di ridurre al minimo determinati rischi, per cui
occorre custodire e controllare i dati personali oggetto di trattamento
per contenere le probabilità che i dati siano distrutti, dispersi anche
accidentalmente, conoscibili fuori dei casi consentiti o altrimenti
trattati in modo illecito.
Ciò va fatto adottando misure idonee anche in
base al progresso tecnico, alla natura dei dati ed alla caratteristiche
del trattamento. L'inosservanza di questo obbligo rende il trattamento
illecito anche se non si determina un danno per gli interessati; viola
inoltre i loro diritti, compreso il diritto fondamentale alla protezione
dei dati personali che può essere esercitato nei confronti del titolare
del trattamento (artt. 1 e 7, comma 3, del Codice), ed espone a
responsabilità civile per danno anche non patrimoniale qualora, davanti
al giudice ordinario, non si dimostri di aver adottato tutte le misure
idonee ad evitarlo (artt. 15 e 152 del Codice). Tali misure di
sicurezza "idonee" sono individuate dal Titolare sulla base di una
analisi specifica delle proprie caratteristiche tecnologiche,
organizzative e di processo, tenuto conto delle "innovazioni
tecnologiche" e delle soluzioni di sicurezza offerte dal mercato.
Il testo integrale del Codice è disponibile sul sito del
Garante per la protezione dei dati personali, in: http://www.garanteprivacy.it.
In particolare le misure minime di sicurezza sono riportate
nell'allegato B, ottenibile sempre dallo stesso sito.
Il Codice prescrive che siano assegnate (o associate) e gestite
credenziali di autenticazione e profili di autorizzazione per ciascun
incaricato al trattamento dei dati personali. La gestione
dell'autenticazione utente e del controllo di accesso si rivela spesso
un'operazione onerosa e nel corso della quale è facile commettere errori
che possono esporre alle sanzioni previste dalla legge. Microsoft Active
Directory, incluso in Windows Server 2000-2003, centralizza la gestione
dei profili degli utenti, e gestisce sistemi di autenticazione standard,
quali Kerberos, certificati X.509 e smart card, permettendo inoltre il
controllo degli accessi sulla base dei ruoli svolti in azienda.
Gli strumenti messi a disposizione sono:
· protezione e gestione delle password (lunghezza minima, scadenza,
rinnovo, ecc.) grazie ad un'unica procedura di accesso alle risorse di rete;
· profilazione utente grazie all'impostazione di privilegi per il
controllo dell'accesso agli oggetti della directory e ai singoli elementi
dati che li costituiscono;
· gestione della sicurezza anche dei sistemi client collegati;
· sicurezza nell’accesso ad Internet attraverso il supporto per i
protocolli sicuri standard di Internet e i meccanismi di autenticazione
degli utenti quali Kerberos, PKI (Public Key Infrastructure) e LDAP (Lightweight
Directory Access Protocol);
· gestione della lista degli incaricati al trattamento dei dati in
relazione al profilo di autorizzazione ed al conseguente ambito di
trattamento consentito.
La crittografia dei dati è stata potenziata e semplificata in Windows
Server 2003 ed è inoltre possibile utilizzare criteri di restrizione per
il software onde evitare i danni e le altre azioni provocati da virus o da
altro codice pericoloso (programmi maligni). Infine va menzionato
Windows Rights Management Services (RMS), una funzionalità di sicurezza
integrata in Windows Server 2003 che opera congiuntamente con le
applicazioni client per salvaguardare le informazioni confidenziali e i
dati sensibili dell'azienda in qualsiasi circostanza, permettendo
all'utente di definire quali documenti possono essere letti, modificati,
inoltrati o stampati. Microsoft Office 2003 sfrutta appieno questa
funzionalità offerta da Windows Server 2003: per garantire la massima
sicurezza di documenti e dati condivisi negli ambienti di collaborazione,
Office 2003 integra la nuova funzionalità IRM (Information Rights
Management), una tecnologia di protezione a livello di file che impedisce
l'utilizzo non autorizzato di informazioni e documenti, estendendo Windows®
Rights Management Services alle applicazioni di Microsoft Office 2003 e a
Microsoft® Internet Explorer.
14. Protezione da programmi maligni e prevenzione delle vulnerabilità
Per la protezione da virus, worm e altri programmi maligni, zimol.com
propone Internet & Security Accelerator Server 2000 (ISA Server 2000),
un firewall multilivello di classe Enterprise, che alle classiche funzioni
di difesa perimetrale aggiunge, se usato insieme a Microsoft Exchange
Server e Internet Information Services, caratteristiche di protezione
evolute. ISA Server consente anche il controllo della navigazione Internet
degli utenti della rete aziendale.
Per la gestione degli aggiornamenti che consentono di eliminare le
vulnerabilità sono disponibile due soluzioni di tipo centralizzato:
· SUS, Software Update Services, un
servizio gratuitamente scaricabile dal sito web di Microsoft che
permette il deployment degli aggiornamenti di sicurezza del sistema
operativo client e server;
· SMS, System Management Server 2003, che oltre alle funzionalità di
SUS offre altre caratteristiche quali la gestione dell’inventario del
software installato in azienda e la gestione degli asset informatici.
15. Affidabilità,copie di sicurezza e ripristino dei dati
Una soluzione per garantire affidabilità e sicurezza delle basi di dati è Microsoft SQL Server 2000, un database relazionale affidabile, sicuro e scalabile che supporta diverse tecnologie hardware e software per la gestione dell’alta affidabilità. Microsoft SQL Server ha ottenuto la certificazione di sicurezza “C2” TCSEC (Trusted Computer System Evaluation Criteria) da parte della National Security Agency statunitense. In particolare, per gli aspetti di sicurezza SQL Server garantisce il pieno supporto dei requisiti di legge per il trattamento dei dati. Tra le funzionalità presenti vanno segnalate:
· crittografia a livello di rete: SQL
Server 2000 supporta automaticamente la crittografia dei dati e del
traffico di rete tra i sistemi client e server di una rete; questo
consente di proteggere i dati che fluiscono dagli application server
verso Microsoft SQL Server;
· crittografia del file system: SQL Server 2000 protegge i file di dati
utilizzando in modo appropriato il supporto per la crittografia del file
system integrata in Windows Server 2003; ciò consente di proteggere
anche i dati sensibili, per i quali, in alcuni casi, è prevista,
appunto, la cifratura delle informazioni.
Microsoft Exchange 2003 è la soluzione per le problematiche legate all’antispamming ed alla gestione in sicurezza della posta elettronica. In particolare mediante l’utilizzo di questo prodotto è possibile ottenere:
· accesso sicuro via Internet da Outlook;
· controllo della junk mail (mail spazzatura) con supporto in tempo
reale per blacklists ed anti spamming;
· scollegamento automatico dopo un periodo di inattività;
· filtro sulla connessione;
· centralizzazione dei servizi di ripristino delle caselle postali;
· centralizzazione dei servizi di ripristino dello storage
16. Soluzioni per il solo Client
In questa sezione sono illustrate le tecnologie disponibili
per i PC client che aiutano il rispetto della normativa per la protezione
dei dati.
I sistemi operativi della famiglia Windows 9X non prevedono sistemi di
autenticazione "nativi"; viceversa i SO successivi (Windows NT,
Windows 2000, Windows XP, Windows Server 2003) sono dotati di sistemi di
autenticazione ed autorizzazione completi che permettono non solo
l'utilizzo di user-id e password, ma anche credenziali di autenticazioni
"forti" quali token o device di riconoscimento biometrico. I
requisiti di sicurezza richiesti dal Codice per le user-id e password
possono essere completamente rispettati mediante l’utilizzo dei sistemi
operativi di ultima generazione quali Windows XP e Windows Server 2003; in
particolare si evidenzia che attraverso queste tecnologie è possibile
rispettare le prescrizioni del codice in materia di protezione dei dati:
· avere user-id univoche;
· impedire all'amministratore di sistema di conoscere le password degli utenti;
· pre-impostare una lunghezza minima della password;
· pre-impostare l'obbligo di sostituzione della password al primo uso;
· pre-impostare la modifica periodica delle password;
· pre-impostare la "disattivazione automatica" delle user-id dopo sei mesi di inattività;
· pre-impostare la protezione mediante screen-saver, anche in modalità centralizzata.
Con Windows Server 2003 è possibile l'amministrazione centralizzata ed il controllo accessi anche di client mobili (wireless) e device basati su tecnologia Windows Mobile. L'amministrazione centralizzata permette di valutare non solo le credenziali di autenticazione ed il profilo di autorizzazione del client (desktop, portatile o palmare) che si vuole collegare alla rete, ma anche la corretta configurazione dello stesso, ad esempio per quanto riguarda la versione del SO, le patch installate o la versione di sistema antivirus presente.
zimol.com è in grado di offrire il necessario supporto affinché possano essere recepite le misure di sicurezza prescritte dalla legge; rimaniamo quindi a vostra completa disposizione per ogni eventuale chiarimento al numero 0362.326734 o via mail all'indirizzo info@zimol.com.