Troppo tardi? Forse no

Sicurezza

Con il Decreto legge n. 266 del 9 novembre 2004 pubblicato sulla Gazzetta Ufficiale N° 264 del 10 novembre 2004 è stato disposto il rinvio al 30 giugno 2005 degli adempimenti previsti inizialmente per il 31 Dicembre 2004

Il 30 Giugno 2005 era quindi il termine ultimo entro il quale si sarebbe dovuto: · Redigere o aggiornare il DPS (Documento Programmatico sulla Sicurezza) per i soggetti che non erano obbligati a farlo · Redigere o aggiornare il DPS (Documento Programmatico sulla Sicurezza) per i soggetti che erano tenuti a farlo ·Adeguare tutti i sistemi informativi per una protezione da virus, Spam e attacchi informatici · Adottare tutte le misure minime di sicurezza previste dalla norma La creazione o l’aggiornamento del DPS (Documento Programmatico sulla Sicurezza) interessa la maggior parte delle aziende e dei professionisti. Infatti il DPS và redatto in tutti i casi in cui sono gestiti dati sensibili o giudiziari (dati relativi a paghe, contributi, ritenute, malattia, otto per mille). Con l’introduzione del nuovo codice tutti coloro che gestiscono dati personali (comuni, sensibili, giudiziari) debbono applicare obbligatoriamente le misure minime di sicurezza. La responsabilità delle misure minime, adottate, sia dall’azienda e sia dai terzi, è totalmente del titolare. La regola vale anche per l’attività di elaborazione dati (Studi Commerciali e Professionali) Le sanzioni previste, in caso di accertamento di violazioni, sono di tipo amministrativo (fino a 124.000,00 euro) e la reclusione fino a 3 anni, oltre alla esclusione da eventuali appalti. Sono previste anche sanzioni con risarcimento danni per chi non adotta misure minime. Sebbene sia stato mancato l’appuntamento indicato, che prevedeva inoltre di allegare il Documento Programmatico al bilancio annuale, non è ancora troppo tardi per adeguarsi a quanto previsto dalla legge, sperando in un ulteriore rinvio o in una proroga temporanea per i ritardatari. Indipendentemente da proroghe e rinvii l’adozione delle misure minime di sicurezza e di un Documento Programmatico consentirà di elevare il livello di sicurezza della propria azienda, attivare un piano di protezione oppure iniziare a definire delle linee guida. Misure minime di sicurezza Le misure minime di sicurezza che avrebbero dovuto essere adottate entro il termine indicato prevedono la nomina del Custode delle Password, quella dell’Amministratore di sistema, la definizione delle politiche di Back-Up e di accesso ai locali adibiti a conservazione cartacea e/o elettronica delle banche dati. Il Responsabile del trattamento dovrà quindi nominare e autorizzare per iscritto tutte le persone addette all’utilizzo degli archivi cartacei e/o elettronici. L’autorizzazione, rilasciata prima dell’inizio del trattamento, potrà essere generale o limitata ad alcuni specifici dati e programmi. Tali autorizzazioni dovranno essere verificate almeno una volta all’anno e, se necessario, modificate (es. dipendente che cambia ruolo all’interno dell’azienda). Dovrà inoltre essere redatto un apposito elenco di tutti gli incaricati che comprenderà, dove sia utilizzata una rete di computer, la User-Id che identifica il PC utilizzato da ognuno. Ad ogni incaricato dovranno essere assegnate delle password univoche e non riutilizzabili sia per entrare all’interno del programma sia per riprendere l’uso del pc dopo essersi allontanato (attivazione screen-saver con password). Tali password, che dovranno essere di almeno otto caratteri, dovranno essere conservate diligentemente da ogni incaricato e dallo stesso modificate almeno ogni sei mesi (ridotti a tre per gli incaricati al trattamento dei dati sensibili). Le password non utilizzate da almeno 6 mesi (es. maternità di un dipendente) e quelle non più utilizzate (es. ex dipendente o termine stage) devono essere disattivate. Il Responsabile del trattamento dovrà nominare anche un Custode delle Password che sarà l’unico a conoscere tutte le password, oltre naturalmente al singolo incaricato che sarà a conoscenza solo della propria e provvederà a controllare che le password siano univoche. Il responsabile così definito dovrà predisporre tante buste chiuse quanti sono gli incaricati al trattamento. Tali buste, riconoscibili all’esterno dal nome dell’incaricato, conterranno le password e dovranno essere custodite in un posto sicuro e non accessibile. Qualora la compagine degli incaricati dovesse variare, il Custode provvederà a distruggere la/le relativa/e buste ed eventualmente, se necessario, a predisporne delle nuove per i nuovi incaricati ricordandosi sempre che una parola chiave già utilizzata non può essere riassegnata ad un nuovo utente. Il procedimento fin qui descritto deve essere effettuato anche in presenza di un solo PC. Dove sia utilizzata una rete o vi siano più elaboratori, è necessario che il Responsabile nomini un Amministratore di sistema incaricato del controllo dei trattamenti effettuati elettronicamente. L’Amministratore di sistema avrà anche l’ulteriore onere, ogni sei mesi al massimo, di archiviare un documento da lui firmato e datato in cui segnalerà quanto fatto al fine dell’adeguamento e/o dell’aggiornamento dei sistemi antivirus. Provvederà, inoltre, in presenza di dati sensibili, ad adottare idonee misure per garantire il ripristino dell’accesso ai dati, in caso di danneggiamento degli stessi o degli strumenti elettronici, entro il termine previsto in sette giorni. Dove, per mancanza dei presupposti, non si renda necessaria la nomina di un amministratore di sistema, il documento relativo agli antivirus dovrà comunque essere compilato e conservato a cura di uno dei responsabili del trattamento. Dove esiste trattamento dei dati effettuato tramite elaboratore vi è inoltre l’obbligo di provvedere ad effettuare, con frequenza almeno settimanale, copie di sicurezza ed a redigere un documento che spieghi il sistema utilizzato per effettuare tali copie. Infine, Il Responsabile del trattamento dovrà nominare uno o più responsabili all’accesso dei locali adibiti a conservazione cartacea e/o elettronica delle banche dati. Dove esiste un custode notturno, questo sarà nominato responsabile dei locali specificando nel documento che l’incarico gli viene affidato per le ore di chiusura degli uffici. Documento programmatico sulla sicurezza Entro il 31 marzo di ogni anno ed in presenza di dati sensibili, il titolare del trattamento dovrà redigere un documento programmatico sulla sicurezza in cui verranno elencati tutti i provvedimenti presi e gli adeguamenti effettuati al fine della tutela sulla Privacy. Il Titolare dovrà inoltre riferire della redazione o dell’aggiornamento di tale documento nella relazione accompagnatoria al bilancio. La redazione di tale documento appare più complessa da descrivere che da realizzare. Analizzando l’apposito documento reso disponibile sul sito del Garante sarà inoltre possibile impostare una corretta politica di sicurezza di base da implementare presso la propria azienda. Concludendo quindi, l’occasione mancata potrebbe trasformarsi in quella giusta per attivare una valida politica di sicurezza all’interno della propria azienda. Lo spunto potrebbe essere fornito dall’identificazione dei responsabili previsti dalla normativa e dalla redazione del Documento Programmatico che potrebbe essere utilizzato inizialmente come manuale interno e che sarebbe già pronto per l’appuntamento dell’anno prossimo. Inoltre, vista la consuetudine alle revoche non sarebbe male farsi un giro sul sito del Garante e verificare se c’è ancora tempo per i ritardatari.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore