Privacy, ultimo atto

DataStorage

E’ tempo di mettersi in regola e di custodire il back up dei propri dati sensibili al sicuro

Il nuovo Decreto Legge in materia di Protezione della Privacy prevede al suo interno l’adozione da parte delle aziende di un insieme di ‘misure minime di sicurezza’. Le modalità di adozione di queste misure devono poi essere inserite nel Documento Programmatico sulla Sicurezza, il cui termine ultimo di redazione era fissato per lo scorso 31 marzo e che ora dovrà essere allegato al bilancio annuale. Il Documento Programmatico definito, da ora in poi come DPS, deve contenere la descrizione dettagliata relativa alle modalità di adeguamento a quanto previsto dal Decreto Legge, oltre a contenere un’indicazione delle evoluzioni previste nell’implementazione delle misure di sicurezza aziendale destinate a garantire la protezione dei cosidetti ‘dati sensibili’. Ricordiamo che per dati sensibili s’intendono tutte quelle informazioni digitali e non attraverso le quali è possibile risalire alle credenze religiose, stato di salute, appartenenza a gruppi politici etc. relative al soggetto al quale i dati fanno riferimento. All’interno del DPS devono, inoltre, essere indicate le politiche di backup adottate e le strategie in uso per garantire il recupero in tempi brevi dei dati sensibili, eventualmente perduti, a causa di guasti o eventi imponderabili che avessero coinvolto i sistemi di storage aziendali. Ricordiamo, infatti, che in base alle recenti disposizioni di legge i dati sensibili devono rispondere a precisi criteri di disponibilità, riservatezza e integrità.

Backup e protezione Come ormai abbiamo ripetuto numerose volte i dati rappresentano il patrimonio aziendale e gli deve essere garantita sufficiente protezione e sicurezza. Con protezione intendiamo fondamentalmente la possibilità di poterli recuperare in qualunque momento nel caso in cui i supporti magneto-ottici ai quali sono normalmente affidati dovessero venire a mancare a causa di guasti e o eventi imponderabili. Con sicurezza ci riferiamo invece alle strategie adottate per impedire che estranei possano accedervi e impadronirsene. Particolarmente critica è la gestione dei supporti magneto-ottici utilizzati per il backup dei dati aziendali, in quanto risulterebbe particolarmente difficile impossessarsi di un server o delle sue unità disco, ma risulta molto più semplice trafugare una o più cassette contenenti tutti i dati archiviati su un server. Focalizziamo quindi per il momento la nostra attenzione sui supporti di memorizzazione, che comprendono i nastri magnetici, le cassette (cartridge), i dischi magnetici o ottici rimovibili, i CD-ROM che contengono informazioni personali. I supporti contenenti dati sensibili devono, se possibile, essere marcati con un’opportuna etichetta recante la dicitura: “Contiene dati personali sensibili secondo la legge 675/96. Rispettare quanto previsto dal trattamento”. I supporti devono quindi essere custoditi in un’area ad accesso controllato o in un ufficio che è chiuso quando non presidiato o in un armadio/cassetto chiuso a chiave. Ricordiamo che nell’ambito del DPS sono definite aree ad accesso controllato quei locali che contengono apparecchiature informatiche critiche, e archivi informatici contenenti dati personali. Queste aree devono essere all’interno di zone sotto la responsabilità dell’azienda e deve essere chiaramente identificato un “responsabile dell’area”. Il locale deve essere chiuso anche se presidiato, le chiavi sono custodite a cura del “responsabile dell’area”. L’accesso deve essere consentito solo alle persone autorizzate. L’accesso deve essere possibile solo dall’interno dell’area sotto la responsabilità dell’azienda ed eventuali uscite di sicurezza dovrebbero essere allarmate. Inoltre, il “responsabile dell’area” ad accesso controllato deve mantenere un effettivo controllo sull’area di sua responsabilità, mantenendo una lista delle persone autorizzate ad accedere. Tale lista deve essere periodicamente controllata.e i visitatori occasionali devono essere accompagnati. Ovviamente gli ingressi fuori orario devono essere controllati ed autorizzati e deve essere assicurata l’esecuzione di periodici test sull’efficacia degli allarmi. Attenzione che tutti i concetti espressi fino a questo momento sono proporzionati alle dimensioni dell’azienda, quindi nell’esempio dell’area controllata possiamo parlare sia di una cassaforte/armadio dotato di serratura nel caso di piccoli uffici, sia di una stanza apposita dotata di controlli biometrici nel caso di una grossa realtà aziendale. Conclusioni Il 31 Marzo è scaduto il termine ultiimo per la redazione del Documento Programmatico sulla Sicurezza previsto dal nuovo Decreto Legge sulla protezione della Privacy. Le aziende all’interno del documento avrebbero dovuto indicare le modalità adottate per rispettare le cosidette Misure Minime di Sicurezza, e i piani evolutivi per la protezione delle informazioni aziendali. Tra le informazioni da inserire nel DPS sono sicuramente comprese le politiche di backup e tutte le tecnologie/strategie e politiche adottate e/o previste per garantire la disponibilità, la riservatezza e l’integrità dei dati. Il documento in questione dovrebbe quindi essere allegato al bilancio aziendale e aggiornato ogni anno. Quanti hanno rispettato effettivamente il termine??? Purtroppo sembra che non sia più possibile sperare in ulteriori rinvii, quindi chi non è riuscito a mettersi in regola provveda al più presto alla redazione del Documento allegandolo comunque al bilancio, sicuramente la buona volonta rappresenterà una buona argomentazione in caso di controlli. Inoltre, a prescindere da quanto previsto dal DPS, la garanzia di disponibilità, riservatezza e l’integrità dei dati dovrebbero rappresentare un obiettivo imprescindibile per ogni azienda di qualsiasi dimensione. Un primo passo consiste nel dedicare ai supporti utilizzati per il backup dei dati un apposito spazio controllato. Vi sono, comunque, da contemplare altre attività che vedremo di approfondire nel corso dei prossimi appuntamenti.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore