 |
| Informazioni e Documenti sulla Privacy |
| Misure di Sicurezza - I Protocolli |
|
Le misure di sicurezza, se da un lato si occupano estensivamente
degli obiettivi di sicurezza da raggiungere, lasciando libertà al
titolare circa il modo di raggiungere tali finalità, dall'altro
tipizzano in maniera stringente dei protocolli, che bisogna
conoscere ed eseguire. |
|
|
|
|
| Le misure di sicurezza previste dal Testo Unico
tipizzano una serie di condotte da seguire in azienda che, a fronte
del risultato da ottenere, lasciano una certa libertà circa i modi
per raggiungere il fine. Segnaliamo quindi alcuni punti, sicuramente
non esaustivi, proprio nell'ottica che ogni organizzazione dovrà
sviluppare una propria procedura. |
| 1. Il titolare deve disporre ordini precisi affinché
gli incaricati non lascino il PC
incustodito e soggetti a possibili intrusioni. Il
titolare può, quindi, disporre una procedura che preveda la
disconnessione del PC da parte del dipendente in caso di
allontanamento o l'utilizzo di screensaver con password. |
| 2. L'articolo 16 dell'allegato recita "I dati
personali sono protetti contro il rischio di intrusione e
dell'azione di programmi di cui all'articolo 615-quinquies del
codice penale, mediante l'attivazione di idonei strumenti
elettronici da aggiornare con cadenza almeno semestrale".
Innanzitutto chiariamo che tale articolo del codice penale si
riferisce a tutte le attività di hacking connesse al furto di dati
mediante intrusione nei sistemi. Ora, a fronte dell'esigenze
dell'azienda, si possono approntare differenti protocolli, alcuni
limitati al server, altri che si estendono anche ai client. La legge
si limita a dirci che noi dobbiamo porre in essere tutte le misure
necessarie, tecnologicamente possibili ed economicamente fattibili,
ed è ovvio che tali misure varino a fronte dei dati che trattiamo,
del tipo di azienda in cui operiamo, del livello di conoscenze e
risorse tecniche a disposizione. Le minacce informatiche sono
molteplici e diversi sono i programmi per difendersi da tali
minacce. Troiani, malware, spyware, o virus possono essere
combattuti tramite antivirus, firewall, antispyware. Sicuramente
un'azienda che non opera un sistema automatico di restrizione
dell'uso di internet o che comunque concede un ampio uso della rete
ai dipendenti durante l'intervallo, ad esempio, dovrebbe dotare
tutti i PC di tutti i software di sicurezza disponibili a fronte del
livello tecnologico esistente. E' chiaro come da questo punto di
vista sia fondamentale formare i dipendenti su un aspetto molte
volte non sufficientemente problematizzato anche dai buoni
conoscitori dei normali programmi di office: la
manutenzione del pc. Il computer va
costantemente pulito attraverso le scansioni dei programmi antivirus
o antitroiani, lo svuotamento del cestino, la cancellazione dei file
temporanei: tutta una serie di attività che, oltre a garantire
l'integrità dei dati sul pc, consente di evitare antieconomici
rallentamenti o "schermate blu", crash di programmi, etc. Oggi è
possibile ritenere che l'utente medio sia sufficientemente informato
circa i pericoli di aprire allegati misteriosi su posta elettronica
contenenti virus ed è ovvio che la minaccia principale dalla rete
provenga proprio, dagli apparentemente meno insidiosi troiani.
L'articolo 16 in questione mette l'accento sull'implementazione
sostanziale della sicurezza web. Il problema non è installare
pesanti programmi in locale sui PC, ma sincerarsi che i dipendenti
effettuino la manutenzione e le scansioni con regolarità anche – e
potrebbe essere il caso di una PMI – con programmi freeware web
based (cioè programmi utilizzabili gratuitamente direttamente da
internet). |
| Se chi legge queste pagine non lavora in una grande
azienda, dove ci sono amministratori di sistema, esperti CED,
tecnici informatici, cioè tutta una serie di figure preposte alla
manutenzione dei PC, ma è un professionista od un piccolo
imprenditore, deve internalizzare questi saperi per portare avanti
la sua attività! Da questo punto di vista il consiglio è, non solo
progettare una procedura rigorosa che segua le disposizioni di
legge, ma responsabilizzare gli incaricati
circa l'uso del computer e sicuramente predisporre un
sistema di monitoraggio attraverso il quale il titolare può essere
sicuro che i dipendenti pongano in essere tutte quelle misure che
dimostrino la condotta efficiente dell'intera azienda, con
riferimento al trattamento dei dati su PC. Non basta predisporre una
procedura su carta se poi non viene seguita! |
| Ma allora cosa dobbiamo concretamente fare in
azienda? |
Installare sui PC Antivirus e Antispyware! Ad esempio
puoi utilizzare come anti-spyware
AD-Ware e
come anti-virus (online)
Housecall.
Poi ordina agli incaricati di eseguire la scansione una volta ogni
15 giorni, ad esempio, e periodicamente controlla che il protocollo
sia eseguito. Alcuni di questi programmi contengono una cronologia
delle scansioni; puoi così controllare che gli incaricati seguano le
tue indicazioni. Equipara la violazione del tuo protocollo di
sicurezza, al regolamento aziendale! È un buon incentivo per
assicurarti che i dipendenti prendano sul serio la privacy! |
| So che il Testo Unico parla di aggiornamenti dei
programmi. Di cosa si tratta? |
| Il TU parla di aggiornamenti differenti da
effettuarsi con cadenze precise, ma differenti a seconda dei
trattamenti. L'azienda nel rispettare queste minime prescrizioni
deve, a nostro avviso, implementare una sua procedura che miri
proprio all'efficacia per essere sicura di potersi difendere
adeguatamente, qualora fosse chiamata a rispondere per danni causati
dal proprio trattamento dei dati. Le misure minime comunque fissano
le seguenti regole. Aggiornamento
semestrale antivirus (o trimestrale in caso di dati
sensibili); aggiornamenti annuali del
sistema operativo (cioè di Windows), per la sicurezza. |
| Ma questa procedura è il famoso DPS? |
| No! Il DPS è una particolare misura di sicurezza
prevista dal TU per il titolare di dati sensibili in formato
elettronico che prevede una serie di ulteriori precauzioni da
adottare. In realtà il titolare di DPS tipizza tutti i protocolli
richiesti dalle misure minime proprio attraverso il Documento
Programmatico. Ma è ovvio che i protocolli richiesti dalle misure
minime, anche senza obbligo di DPS, trovano comoda sistematizzazione
in un documento scritto. Ora, che tu chiami questo documento
"regolamento di sicurezza aziendale", "misure minime aziendali", o
"DPS", nulla cambia. Naturalmente il DPS ai sensi di legge, sarà
solo quello steso dal "titolare di dati sensibili in formato
elettronico" e che segua quanto stabilito dal Testo Unico. Il punto
è mettere nero su bianco questi protocolli e diffonderli presso i
dipendenti. A voi la scelta del nome! |
Vedi Indici Misure Minime di Sicurezza -
Articoli Privacy |
|
