Articolo da Internet World n.ro 250 del 25 febbraio 2005
La scadenza del DPS di fine Giugno richiede la conoscenza dello standard per la sicurezza BS7799
La maggior parte delle aziende è ormai alle prese con la
scadenza di fine giugno del DPS (Documento Programmatico sulla Sicurezza),
prevista dalla legge 196/2003 che, come è noto è già stata prorogata due volte
per consentire alle aziende e agli enti pubblici di adeguarsi.
Di fatto, tutte le aziende ed enti pubblici devono predisporre il DPS perché
nella loro attività è impossibile non trattare dati "personali": questi sono
presenti laddove vi è un database dei fornitori, dei clienti, la gestione del
personale dipendente (o collaboratori), nelle raccolte di eventuali curriculum
vitae, ecc.
Gran parte delle aziende trattano poi i cosiddetti dati personali "sensibili":
fra questi rientrano le ritenute sindacali, i certificati di sana costituzione
dei nuovi assunti, i certificati medici relativi alle malattie dei dipendenti e,
in ogni caso, per fare solo qualche esempio, eventuali informazioni sullo stato
di salute, orientamenti sessuali, razziali, opinioni politiche o sindacali, ecc.
Ricordiamo che per predisporre il DPS è necessario l'intervento di personale
esperto nella sicurezza informatica in quanto si devono descrivere i dispositivi
che integrano le funzionalità relative all'implementazione delle misure minime
di sicurezza, come firewall, software antivirus o per il rilevamento delle
intrusioni (IDS). La corretta descrizione, la verifica della idoneità o la loro
installazione richiede a livello aziendale l'intervento di personale
qualificato.
L'occasione del DPS dovrebbe essere, visto che c'è, uno stimolo a rivedere l'uso
delle risorse informatiche in azienda cercando di ottenere un aumento della
produttività, un minore dispendio di tempo da parte degli utenti (una risorsa
sempre più importante) e un momento di formazione dei dipendenti che trattano i
dati e la sicurezza.
Il DPS deve essere, in sostanza, motivo per una azione di rilancio della
competitività e della sicurezza aziendale anche per quanto riguarda i documenti
riservati del core business che in genere non sono adeguatamente protetti
Ricordiamoci ad esempio, il punto debole dei dati riservati memorizzati nei PC
portatili dei manager e cosa potrebbe succedere se queste informazioni - in
genere non protette da crittografia - passassero in mano di terzi a seguito di
furti.
Il Documento Programmatico sulla Sicurezza, per legge, dovrà essere aggiornato
almeno una volta all'anno e qualora ci fossero significative modifiche della
situazione aziendale, relativamente a nuove tecnologie, tipologie di contratti
con i fornitori/clienti, eccetera.
Quindi è importante predisporre il DPS in formato elettronico e tenerlo sempre
disponibile per gli aggiornamenti.
Si consiglia quindi - in sostanza - di utilizzare questa periodica "scadenza
burocratica" quale momento di controllo della sicurezza aziendale e della
formazione professionale del personale addetto (al proposito la Duke Italia ha
messo a disposizione nell'area abbonati delle riviste, oltre ad una completa
documentazione con esempi pratici, anche diversi corsi multimediali per gli
addetti alla sicurezza dell'IT ed uno generico per tutti gli utenti aziendali
che operano sui dati, ndr).
Per chi non ha ancora cominciato, ricordiamo che questa volta non si prevedono
ulteriori rinvii, per cui è necessario cominciare a prepararsi. I nostri
consulenti consigliano a chi fosse in questa condizioni di effettuare
immediatamente: quattro passi fondamentali:
1 - Verificare se l'azienda debba fare una eventuale notifica al Garante nel
caso che abbia iniziato a fare trattamenti dei dati sensibili al di fuori delle
casistiche esonerate. Ricordiamo che, per le aziende che, l'avessero già fatta
sotto la vecchia normativa, la notifica precedente resta valida. Il linea
teorica dovrebbero farlo soltanto le aziende che intendono iniziare il
trattamento a breve. Il Garante ha 45 giorni di tempo per rispondere
autorizzando il trattamento. Da notare che, in questo caso, non vale la tacita
regola del "silenzio-assenso", giacché in mancanza di risposta del Garante, la
richiesta di autorizzazione è considerata rigettata.
2- Preparare l'informativa per gli interessati. Come già previsto per la
precedente legge 675/96, la persona di cui si vanno a trattare i dati personali,
ha il diritto di essere messa a conoscenza sia delle modalità del trattamento
che delle finalità per cui questo avviene. Ad esempio, ogni qualvolta si entra
in contatto con un nuovo cliente, fornitore o dipendente sarebbe utile
raccogliere subito la loro adesione inserendo apposite diciture nella
modulistica.
3- Identificare le figure del titolare e del responsabile del trattamento. In
linea di massima, il legale rappresentante o lo stesso amministratore sono
identificati come "titolari del trattamento" e rispondono direttamente circa la
redazione dell'elenco degli archivi elettronici o cartacei in uso presso
l'azienda. Questo dato è parte integrante del documento DPS che deve essere poi
predisposto entro il 30 Giugno 2005.
Inoltre ci deve essere la nomina del responsabile del trattamento: una volta
identificato il titolare del trattamento, esso potrà nominare uno o più
responsabili con il compito di supervisionare il trattamento dei dati. Nelle
aziende medio-piccole tutte queste figure potrebbero anche coincidere.
4 - Verificare il rispetto delle misure minime di sicurezza da parte delle
infrastrutture informatiche. Esse sono previste dal disciplinare tecnico e
prevedono la nomina del custode delle password, la figura dell'amministratore di
sistema, oltre che la determinazione delle politiche di copia di sicurezza dei
dati (ed il relativo procedimento di ripristino) e regole per l'accesso ai
locali e/o alle apparecchiature informatiche dove sono ubicate le banche dati.
Esse richiedono, ad esempio, come minimo l'aggiornamento almeno annuale, dei
software utilizzati (service pack, patch e hotfix, software di antivirus). Nel
caso di dati sensibili o giudiziari, l'aggiornamento dovrà essere almeno
semestrale. Bisogna inoltre prevedere norme procedurali e tecniche che regolano
l'effettuazione settimanale del salvataggio dei dati.
Per le password, è previsto che il loro cambio debba essere almeno semestrale
per i dati personali ed almeno trimestrale per i dati sensibili e giudiziari.
La stesura del DPS descrive poi aspetti addizionali quali la gerarchia delle
responsabilità, la definizione degli obiettivi di sicurezza veri e propri, le
misure minime adottate ai sensi di legge, nonché i modelli dei documenti (quali
procedure, lettere di incarico, eccetera), linee guida per i sistemisti e i
responsabili laddove designati, norme per la definizione di contratti ed infine,
non meno importante, le linee guida per la formazione del personale stesso.
In materia di sicurezza, nell'area abbonate delle riviste sarà quanto prima
inserito un corso multimediale sulla normativa che regola la sicurezza e che non
può essere ignorata dagli specialisti: si tratta dello standard BS7799.
Esso è stato rilasciato appositamente per facilitare l'evoluzione organizzativa
e tecnologica delle aziende e le necessità di uniformare i criteri di gestione
della sicurezza delle informazioni aziendali. Lo standard BS7799 è la norma più
completa e risponde a specifiche direttive CEE e nazionali europee. E' inoltre
indispensabile per le aziende che pensano alla certificazione da parte di terzi.
Seguendo lo standard BS7799 è possibile effettuare un'analisi di non conformità
con quanto in essere nell'azienda che permetta di capire cosa sia già stato
fatto e quali siano le nuove azioni correttive da attuare per ottenere un
sistema informativo effettivamente conforme alle norme di sicurezza.
Per chi fosse interessato a leggere un documento introduttivo sullo standard
BS7799 segnaliamo il primo link qui sotto mentre per coloro che volessero
approfondire le tematiche del DPS (e della sicurezza in generale) segnaliamo che
negli archivi Duke Italia sono disponibili 1307 documenti digitando nel motore "Cercaduke"
la parola sicurezza .
http://www.sicurezza-industriale.com/BS7799%20in%20breve.pdf
http://www.cercaduke.it