Direttiva del Garante - misure relative agli amministratori di sistema

A cura di Sabrina Cicalò*


Il Garante per la protezione dei dati personali, con un provvedimento a carattere generale, ha stabilito che entro il 15 dicembre 2009 tutte le aziende - private e pubbliche - dovranno registrare e conservare i dati relativi agli accessi degli Amministratori di Sistema sui sistemi da loro gestiti, al fine di agevolare la "verifica sulla loro attività da parte di chi ha la titolarità delle banche dati e dei sistemi informatici" (cfr. "Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle funzioni di amministratore di sistema" - Gazzetta Ufficiale n. 300, 24 Dicembre 2008).

Il Provvedimento si coordina e si integra con il disciplinare tecnico in materia di misure minime di sicurezza di cui all'allegato B del Codice in materia di protezione dei dati personali (D.Lgs. 30 giugno 2003, n. 196).

La normativa si rivolge a tutti i titolari dei trattamenti di dati personali effettuati con strumenti elettronici, invitandoli a prestare la massima attenzione ai rischi inerenti alle attività degli  amministratori di sistema. Per gestire adeguatamente tali rischi, il provvedimento impone le seguenti misure e accorgimenti di carattere tecnico (T) o organizzativo (O):
  • attivazione degli "access log" relativi alle attività degli amministratori di sistema e conservazione per almeno sei mesi in archivi immodificabili, inalterabili e verificabili (T);
  • elenco aggiornato degli amministratori di sistema (O);
  • verifica annuale dell'effettiva operatività delle misure e degli accorgimenti a presidio dei rischi (O);
  • designazione individuale, puntuale e ponderata degli amministratori di sistema (O).
Le figure tipicamente coinvolte in questo processo sono:
  • Titolare/i e Responsabile/i preposti al trattamento dei dati personali;
  • Amministratori dei diversi livelli dell'infrastruttura IT (physical, system, network, application, DB);
  • Internal Audit.
L'ambito di applicazione del Provvedimento riguarda le attività di amministrazione di sistema, sia che esse siano gestite internamente, sia che siano affidate in outsourcing a società esterne.
Gli strumenti essenziali, necessari al fine di dare seguito al Provvedimento, possono sinteticamente essere riepilogati come segue:
  1. elenco nominativo amministratori con riepilogo funzioni attribuite;
  2. lettera di designazione amministratori con valutazione delle caratteristiche soggettive, riepilogo responsabilità e profilo autorizzativo assegnato;
  3. strumento tecnico per l'attivazione e la gestione degli access log;
  4. strumenti e documenti di testing di conformità;
  5. audit clause e altre integrazioni contrattuali con outsourcer di servizi di amministrazione di sistema.
Con specifico riferimento alla misura tecnica, i principali requisiti tecnologi concernono:
  • Dati: storicizzazione degli accessi logici ai sistemi di elaborazione e agli archivi elettronici;
  • Figure coinvolte: amministratori di sistema di backup/restore e manutenzione hardware, amministratori di sistemi software complessi (ERP, CRM, ...), amministratori di reti e di apparati di sicurezza, amministratori di database (DBA);
  • Ambienti coinvolti: Produzione, Integrazione, Collaudo, Formazione, Disaster Recovery e, in generale, ovunque qualsiasi ambiente in cui siano presenti dati personali;
  • Ambienti NON coinvolti: Amministrativo Contabili;
  • Log Retention: gli access log devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate con, storicizzazione degli access log per un minimo di 6 mesi;
  • Protezione dei dati: completezza, inalterabilità, possibilità di verifica dell'integrità
AuditStrategy-Crowe Horwath [1] e Xech [2] sono in grado di offrire supporto per l'impianto sia delle misure organizzative che tecniche. I prestigiosi clienti che hanno optato per la  nostra offerta con il loro passaparola hanno rappresentato il più efficace sponsor dei nostri servizi.

Con riferimento alla direttiva in esame AuditStrategy-Crowe Horwath supporta i propri clienti:
  1. nell'identificazione delle attività di amministrazione di sistema e nella predisposizione dell'elenco nominativo;
  2. nell'analisi dei rischi inerenti alle attività degli amministratori del sistema e adeguamento dei controlli interni;
  3. nella predisposizione degli strumenti per le verifiche periodiche richieste dalla Direttiva del Garante;
  4. nello svolgimento in out-sourcing e documentazione delle verifiche periodiche.
In relazione al provvedimento in esame, Xech offre una soluzione di Log Collection & Aggregation XSecure personalizzata per rispondere in modo preciso e puntuale alle richieste del Garante della Privacy relativamente al decreto sugli amministratori di sistema. La soluzione proposta soddisfa i requisiti del Garante (consente l'archiviazione delle sole informazioni richieste), consente il cost saving in relazione all'infrastruttura necessaria (riduzione del 70% dello storage richiesto utilizzando tecniche di compressione evolute), permette una gestione sicura dei log archiviati e facilita le analisi forensi.

(*) Sabrina Cicalò (s.cicalo @ audest . com) è professionista specializzata in servizi di consulenza in materia di risk management e controllo interno.


Sul provvedimento del Garante Privacy "amministratori di sistema" del 27 novembre 2008 puoi leggere anche:


-----
[1] AuditStrategy-Crowe Horwath rappresenta Crowe Horwath International per i servizi di Risk Consulting, Revisione Contabile e Forensic Accounting. Crowe Horwath International è tra i primi 10 network a livello globale di società di revisione e consulenza ed è presente in più di 100 paesi, con oltre 140 società, 560 uffici e 26.250 professionisti.
[2] XECH è una società specializzata nell'offerta di prodotti e soluzioni di monitoraggio applicativo e di sicurezza. Forte di una vasta esperienza nel settore dell'Information Technology, Xech identifica e diagnostica problemi di performance delle applicazioni web e offre supporto nel miglioramento della disponibilità e delle prestazioni per il raggiungimento di una garanzia di maggior sicurezza e affidabilità dei sistemi.

Commenti

Post più popolari