In materia di privacy e sicurezza

Come vi siete adeguati all’attuale regime normativo e agli obblighi di legge relativamente alla nomina degli amministratori di sistema e alla registrazione degli accessi ?

Credo che le brevi considerazioni di seguito, possano dare uno spunto per prendere decisioni in merito o a confermare quelle che avete preso fino ad oggi.

Vi ricordo che Just IT può aiutarvi a stendere procedure o a progettare e realizzare le migliori soluzioni atte a completare o migliorare i vostri strumenti per la registrazione dei log e i vostri sistemi di sicurezza e monitoraggio per rendere il vostro sistema informatico compatibile alle normative vigenti.

Alla base delle misure minime di sicurezza sono le modalità di accesso ai dati.

Questo deve avvenire esclusivamente previa autenticazione e solo da parte di persone autorizzate ed esplicitamente incaricate. Ad esse dovranno essere assegnate o associate credenziali di autenticazione.

Nel provvedimento in materia di Amministratori di Sistema, l’autorità ne ha definito il profilo, le funzioni prevalentemente svolte e le modalità di conferimento dell’incarico e di controllo del suo operato.

Per quanto riguarda quest’ultimo aspetto, la nomina di un Amministratore di Sistema deve avvenire IN FORMA SCRITTA, previa valutazione delle caratteristiche soggettive della persona da nominare sotto il profilo della esperienza, capacità, affidabilità e garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, anche per persone esterne all’azienda in caso di servizi dati in outsourcing.

Questa nomina deve essere individuale, deve contenere l’elenco analitico degli ambiti di operatività consentiti in funzione del profilo di autorizzazione assegnato, ovvero la descrizione puntuale degli stessi.

Torniamo ora al profilo e alle funzioni che caratterizzano chi deve essere considerato Amministratore di Sistema.

Secondo un sistema interpretativo condiviso dai più, si devono ritenere Amministratori di sistema quei soggetti che svolgono attività tecniche dedicate, categoria in cui rientrano il salvataggio dei dati, la gestione dei supporti di memorizzazione, l’organizzazione dei flussi di rete, la manutenzione hardware, la custodia delle credenziali e la gestione dei sistemi di autenticazione e di autorizzazione.

Inoltre, considerando alcune risposte pubblicate sul sito del garante in merito a quesiti ricorrenti, si possono trarre alcuni indirizzi interpretativi:

• dal punto di vista soggettivo, non rientrano nella definizione di amministratore di sistema , quei soggetti che intervengono solo occasionalmente su sistemi di elaborazione e software ad esempio per scopi manutentivi a fronte di guasti o malfunzionamenti
• dal punto di vista oggettivo, non rientrano nel perimetro degli adeguamenti gli accessi a livello applicativo in quanto per definizione già regolato da profili di autorizzazione riferiti ai trattamenti spettanti ad ogni singolo utente

Considerando questi due punti si possono di conseguenza considerare le operazioni di manutenzione Hardware e Software non soggette agli obblighi del provvedimento.

L’adempimento più problematico da attuare è sicuramente quello relativo alla registrazione degli accessi.

Il provvedimento specifica che per access log si intende la registrazione degli eventi generati dal sistema di autenticazione all’atto dell’accesso, tentato accesso o disconnessione dai sistemi da parte di un amministratore di sistema.

Il garante inoltre precisa che nei più diffusi sistemi operativi si dispone nativamente, o con semplici integrazioni di software apposito, di caratteristiche di mantenimento dell’integrità dei dati raccolti dai sistemi di log.

Nei casi più semplici è possibile soddisfare il requisito utilizzando la dotazione del software in uso preoccupandosi di esportare periodicamente i dati di log raccolti su supporti non riscrivibili.

Nei casi più complessi i titolari del trattamento potranno ritenere opportuna l’adozione di sistemi sofisticati basati su log server centralizzati e certificati.

La legge in materia di protezione dei dati personali sembra “accontentarsi” dell’inalterabilità dei dati di log in funzione della semplice non riscrivibilità dei supporti in cui ne si effettua la conservazione, per cui l’adozione di tale misura è sufficiente per il titolare del trattamento, ma non sembra sufficiente alle Autorità per perseguire le proprie finalità considerando che i supporto conterranno log privi di momento genetico, di formazione, di evidenza digitale necessari al controllo eventuale da parte del controllore. 

Per informazioni e richieste sull’argomento scriveteci a privacy@justit.it