A partire dall’anno 2000, la legge italiana, facendo proprie le indicazioni internazionali in materia di sicurezza dei dati, ha previsto l’obbligo per le aziende che trattano dati personali, di adeguare le proprie strutture organizzative e tecniche al fine di rispettare i cosiddetti “requisiti minimi di sicurezza”.
La legge impone inoltre la redazione del Documento Programmatico sulla Sicurezza (DPS) come documento ufficiale che certifica l’impegno assunto e le attività messe in atto dall’azienda per il rispetto delle misure minime.
Al di là della legge sulla privacy il DPS ci offre l’opportunità di riflettere su un aspetto, quale è la sicurezza dei dati, di vitale importanza per le nostre aziende, e di ripensare la nostra organizzazione per poter proteggere un bene così prezioso.
Con l’avvicinarsi della scadenza del 30 giugno 2004, termine ultimo per adeguare l’azienda alle misure minime di sicurezza e quindi per la redazione del DPS, la Federazione delle Banche di Credito Cooperativo dell’Emilia Romagna ed il Cedecra, in collaborazione con Siosistemi, hanno organizzato un servizio di consulenza per supportare le banche alla redazione del DPS stesso, indipendentemente dal sistema informativo utilizzato.
Il servizio si componeva di diversi moduli per soddisfare sia le esigenze della banca più autonoma che quelle della banca che desidera maggiore assistenza, fermo restando che il documento finale prodotto sarebbe stato comunque un documento della banca e non un documento del consulente.
I moduli disponibili erano i seguenti:
- Consulenza Siosistemi per produzione del DPS
- Analisi delle vulnerabilità di rete
- Applicazione “Elenco dei trattamenti e degli strumenti informatici”
- Applicazione “Inventario hardware e software”
- Corsi di e-learning di autoistruzione ABI rivolto a tutti i dipendenti
- Corso di formazione per Consiglio di Amministrazione e Direzione
- Corso di formazione per responsabili di processo
- Assistenza semplice al completamento della bozza del DPS del 16.03.2004
- Corsi di formazione in aula rivolti ai dipendenti
Di seguito una breve descrizione dei singoli moduli
|
1. Consulenza Siosistemi per produzione del DPS |
Questo è il modulo principale dell’offerta, dedicato a chi desidera l’assistenza più completa per la produzione del Documento programmatico sulla sicurezza ed è suddiviso in tre fasi.
Siosistemi era una azienda specializzata sulle problematiche della sicurezza informatica ed in occasione dell’uscita della legge 196/2003 ha predisposto una offerta di servizio per supportare le aziende al recepimento delle direttive in essa contenute.
La prima fase ha avuto la durata di due giornate ed è stata svolta in sessione comune tra tutte le banche presso la sede della Federazione.
Le fasi successive hanno avuto una durata personalizzata per banca, in base allo stato dell’arte della sicurezza presente in azienda ed alle esigenze e ai vincoli (indicativamente una giornata per fase, per banca).
Fase 1
Come scritto qui sopra questa fase ha avuto la durata di due giornate ed è stata svolta in sessione comune tra tutte le banche presso la sede della Federazione.
Sono stati trattatati i seguenti argomenti:
- Organizzazione aziendale, sensibilizzazione e divulgazione allo standard internazionale di sicurezza delle informazioni ISO17799
- Introduzione al censimento dei trattamenti dove viene spiegato come effettuare il censimento. Introduzione al modulo “Elenco dei trattamenti e degli strumenti informatici”
- Presentazione di alcune contromisure per i problemi più frequenti
- Presentazione dell’intervista per l’analisi dei rischi
- Discussione e consegna delle bozze delle lettere di incarico
- Domande e risposte
Fase 2
Il personale della banca si è occupato di effettuare il censimento dei trattamenti, sulla base delle indicazioni ricevute durante le due giornate della fase 1.
Per facilitare questa attività poteva essere utilizzata l’applicazione “Elenco dei trattamenti e degli strumenti informatici” come da punto 4 seguente
Fase 3
Parallelamente alla fase 2 è stata svolta dal parte del referente di progetto della Federazione una intervista volta ad evidenziare i rischi presenti in azienda.
Il personale di Siosistemi si è quindi preoccupato di raccogliere i risultati dell’intervista, di analizzarli e di produrre un documento di analisi dei rischi da inserire nella sezione del DPS dedicata.
Fase 4
A cura del personale di Siosistemi, in base al censimento dei trattamenti e all’analisi dei rischi, sono state individuate le contromisure ai rischi rilevati ed è stata completata la redazione del DPS
Extra
Per chi lo avesse desiderato era possibile richiedere un sopralluogo in azienda da parte del personale Siosistemi per analizzare in dettaglio quanto esposto nei punti precedenti in particolare per:
- Sensibilizzazione alla cultura e all’atteggiamento del personale e della azienda rispetto alla sicurezza delle informazioni.
- Per effettuare il censimento dei trattamenti
La durata di queste attività sarebbe stata concordata direttamente con il consulente.
|
2. Analisi delle vulnerabilità di rete |
Tramite un software specializzato (GFI Network Security Scanner), scelto, messo a punto e gestito dal personale del Cedecra e della Federazione, è stata analizzata la rete, i suoi apparati ed i computer su di essa presenti per mettere in luce molti dei punti esposti ad un possibile attacco.
Le vulnerabilità rilevate sono state elencate in dei rapporti dettagliati, insieme alle indicazioni sulle contromisure da adottare per eliminarle. I rapporti sono stati esaminati con la collaborazione della Federazione che ha dato alle banche il supporto necessario per eliminare le vulnerabilità ritenute più pericolose.
|
3. Applicazione “Elenco dei trattamenti e degli strumenti informatici” |
Si tratta di una applicazione web sviluppata dal personale della Federazione e del Cedecra, pensata per guidare le banche nel censimento dei trattamenti dei dati personali cartacei ed elettronici e degli strumenti informatici in generale.
Per ogni elemento censito si deve compilare una scheda che aiuta a valutare lo stato dell’arte delle misure di sicurezza attualmente in essere. I dati raccolti sono serviti da base per valutare gli interventi necessari per adeguarsi a quanto prevede la legge.
Inoltre, tramite questa applicazione è possibile stampare un rapporto utilizzabile come “Elenco dei trattamenti” da allegare al DPS
L’applicazione è stata fornita con pre caricati più di 100 elementi a titolo di esempio
|
4. Applicazione “Inventario hardware e software” |
E’ una applicazione sviluppata dal personale della Federazione e del Cedecra che permette di effettuare l’inventario della configurazione hardware dei computer installati e della loro dotazione software. Vengono analizzati solo i computer dotati di sistema operativo Microsoft Windows 9x e successivi.
Il programma era composto da due parti.
- La prima utilizza la tecnologia di scripting standard Microsoft per analizzare i computer, recuperare i dati ed inviarli ad un server di raccolta centralizzato.
- La seconda parte è una applicazione web che organizza i dati raccolti e li presenta per la loro analisi.
Questo modulo, oltre che ad essere utile ai fini del DPS permette di verificare la posizione aziendale per la regolarità del software installato rispetto alle licenze acquistate.
|
5. Corsi di autoistruzione ABI |
Si tratta dei corsi e-learning di autoistruzione realizzati dall’ABI che possono essere usufruiti via web direttamente dal posto lavoro del dipendente e concorrevano a formare il monte ore di formazione previsto per 9 ore complessive.
I corsi erano:
- Privacy – il nuovo codice
- Misure minime di sicurezza per la protezione dei dati personali
I corsi sono stati pubblicati sul sito intranet della Federazione
|
6. Corso di formazione per Consiglio di Amministrazione e Direzione |
Dal libro “La sicurezza dei sistemi informativi” – Elio Molteni, Francesco Faenzi
[…]
Creare un sistema informativo sicuro ha come requisito principale la definizione di un’adeguata organizzazione attraverso la quale approfondire, attivare, gestire e controllare nel tempo le misure di sicurezza. L’individuazione e l’assegnazione delle responsabilità rappresentano le condizioni necessarie per il conseguimento degli obiettivi di ogni azienda.
[…]
Molti associano la sicurezza dei sistemi informativi alla sola tecnologia (per esempio antivirus, firewall), quando nella realtà rappresenta l’insieme delle misure tecnologiche, organizzative procedurali e legali che consentono a un’entità di ridurre i rischi. Un approccio corretto al come affrontare la sicurezza è quello di partire con una dichiarazione da parte dell’azienda dell’importanza e della motivazione verso l’argomento; a questo scopo la definizione elle politiche di alto livello è il primo passo da compiere.
[…]
Da qui ne consegue l’assoluta necessità del coinvolgimento dell’alta direzione e del management in generale.
Per poter raggiungere più facilmente i destinatari, il corso era essere presentato nella forma di intervento da effettuarsi durante una delle periodiche riunioni del Consiglio di Amministrazione, direttamente presso la sede della banca.
|
7. Corso di formazione per responsabili di processo |
Se le politiche di alto livello rappresentano l’aspetto strategico della sicurezza, le politiche funzionali, gli standard, le linee guida e le procedure rappresentano quello tattico.
Per la loro definizione è quindi necessario coinvolgere i responsabili di processo, coloro che quotidianamente presidiano l’operatività aziendale nei vari settori.
|
8. Assistenza semplice al completamento della bozza del DPS del 16.03.2004 |
Per chi non avesse voluto usufruire del servizio completo indicato al punto 1 era disponibile un servizio di consulenza semplificato, della durata di ½ giornata, per aiutare le banche al solo completamento delle parti variabili della bozza di DPS proposta dalla Federazione in data 16.03.2004
|
9. Corsi di formazione in aula rivolti ai dipendenti |
La sicurezza delle informazioni è soprattutto un processo organizzativo più che tecnologico. Solo facendo crescere la cultura sul questo tema a tutti i livelli dell’organizzazione è possibile gestire questo problema. Sotto questo aspetto la formazione gioca un ruolo fondamentale ed è importante che sia rivolta a tutti i dipendenti dell’azienda.
Per questo scopo sono stati svolti diversi corsi di formazione, direttamente presso le sedi delle banche, per poter assicurare la massima presenza possibile.
I corsi sono stati particolarmente graditi anche perché si è posto l’accento sul fatto che i dipendenti delle banche, oltre ad essere “incaricati” al trattamento dei dati personali di terzi (i clienti della banca) sono loro stessi degli “interessati”, i cui dati vengono trattati da altre aziende. Le stesse persone, oltre ad utilizzare un computer in ufficio, spesso ne hanno uno personale in casa, usato anche, o soprattutto, dai figli per cui il tema della sicurezza informatica era ed è particolarmente sentito.
§
L’offerta del servizio di consulenza sul Documento Programmatico sulla Sicurezza è stata accompagnata dalla pubblicazione delle seguenti linee guida per la sua redazione
|
Guida alla compilazione del Documento Programmatico sulla Sicurezza Andrea Clementi |
Ogni impresa, e in particolar modo una banca, svolge, per il raggiungimento dei suoi fini, trattamenti dei dati personali. Questi trattamenti avvengono nei modi più diversi, sia utilizzando i moderni strumenti elettronici ed informatici, sia facendo ricorso a tecniche più classiche come i documenti cartacei.
Possiamo trovare dati personali in ogni angolo delle nostre banche, a partire dai computer e dei relativi supporti di memorizzazione e delle reti che li collegano, sulle scrivanie, negli armadi e nei cassetti, persino nei rifiuti.
Molto spesso, il trattamento dei dati personali e la loro divulgazione avviene anche inconsapevolmente per cui è necessario presidiare con attenzione questi processi per evitare che i dati vengano a conoscenza di persone non autorizzate o che siano utilizzati per scopi diversi da quelli per i quali era stata concessa l’autorizzazione all’uso.
Per trattare i dati correttamente, coniugando le esigenze operative dell’impresa con gli obblighi di legge che tutelano i diritti dei soggetti interessati, è necessario svolgere una precisa analisi organizzativa propedeutica ad analizzare i rischi che incombono sui dati, individuare le contromisure, adottare le misure di sicurezza minime prescritte dalla legge e quelle più ampie, pur obbligatorie, stabilite dal titolare.
La corretta applicazione delle misure di sicurezza consente non solo di adempiere agli obblighi di legge, ma anche di migliorare l’organizzazione aziendale, ottimizzando i processi di lavoro, e di operare nella consapevolezza che i dati trattati sono corretti, integri e aggiornati. L’azienda, operando in sicurezza, potrà godere della piena fiducia della propria clientela trasformando così la sicurezza da costo a investimento e vantaggio competitivo.
Tra gli obblighi che la legge impone a riguardo del trattamento dei dati personali c’è la stesura del “Documento programmatico sulla sicurezza dei dati” (DPS), che deve essere redatto ogni anno, aggiornato alle ultime modifiche della organizzazione aziendale e alle mutate condizioni operative per l’avvento di nuove tecnologie e di nuove minacce.
In sintesi il DPS è rappresentabile da questa formula:
|
|
Inventario degli archivi/basi dati contenenti dati personali + Analisi dei rischi + Individuazione delle contromisure = Documento programmatico sulla sicurezza |
|
E’ possibile fornire alcune indicazioni o linee guida per la stesura del DPS.
Va comunque ricordato che il DPS, è un documento che si deve calare profondamente nella struttura dell’azienda, e perciò deve essere redatto tenendo conto della propria organizzazione, della suddivisione delle responsabilità relativamente ai propri trattamenti, dei propri strumenti di elaborazione. Non sarà importante, quindi, il “quanto si scrive” ma il “cosa si scrive” e soprattutto che questo sia realmente in sintonia con quanto viene fatto, pensato, operato abitualmente in tema di protezione dei dati.
Potremmo dire, quindi, che il DPS, se ben redatto, deve fornire una fotografia reale e non “sfocata” o distorta della filosofia che l’azienda adotta per garantire la protezione, l’integrità, la conservazione, la tutela dei dati personali trattati, o meglio ancora, il DPS rivela la propria strategia in ambito di sicurezza.
Ciò che non vuole essere il DPS è un semplice atto formale, rivisto meccanicamente una volta l’anno, e lasciato, per la rimanente parte del tempo, nel cassetto di una scrivania.
Il nuovo Codice in materia di protezione dei dati personali (Decreto Legislativo 30 giugno 2003, n° 196), nell’allegato B “Disciplinare tecnico in materia delle misure minime di sicurezza”, indica quali informazioni deve contenere il DPS:
1.1Estratto dall’allegato B1.2Disciplinare tecnico in materia di misure minime di sicurezza1.3Documento programmatico sulla sicurezza19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo:
|
Andiamo ad analizzare i punti uno alla volta.
19.1 Elenco dei trattamenti di dati personali
Si tratta di effettuare una analisi completa di tutti i trattamenti di dati personali effettuati in banca o affidati a collaboratori esterni (outsourcing)
Nell’analisi saranno censite tutte le banche dati, elettroniche e non, e tutti i processi di lavoro comprendendo sia la normativa interna ed esterna che le modalità operative, gli attori e gli ambienti di lavoro.
Per ogni trattamento bisognerà individuare le misure di sicurezza previste (vedi allegato B del Codice) e quelle in essere per determinare quali siano gli interventi necessari per proteggere i dati.
19.2 Distribuzione dei compiti e delle responsabilità
Si devono esaminare ed elencare tutte le disposizioni interne e le responsabilità previste per il funzionamento dell’azienda in generale, e più in particolare per il trattamento dei dati personali. E’ importante esaminare l’intera struttura aziendale.
19.3 Analisi dei rischi
Questo capitolo deve essere affrontato in quanto occorre identificare, valutare e contrastare i rischi indicati dalla legge e cioè “il rischio di distruzione o perdita anche accidentale dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità di raccolta”.
Tuttavia anche se non fosse esplicitamente richiesto non si potrebbero individuare delle misure di sicurezza senza avere, a priori, valutato i rischi e le minacce che insidiano la struttura dove viene operato il trattamento e gli strumenti con i quali viene effettuato.
Ma in quale modo operare l’analisi dei rischi? E soprattutto come quantificare il rischio?
Per quanto riguarda il modo di operare l’analisi dei rischi è possibile affermare che il tutto parte dall’individuazione degli elementi e dei fattori di rischio. Questi scaturiranno dall’analisi effettuata al capitolo precedente considerando le minacce che possono insidiare:
- I luoghi
- Le risorse hardware
- Le risorse dati
- Le risorse software
inventariate precedentemente.
La quantizzazione del rischio su ogni elemento individuato, invece, almeno in linea di principio, è un problema più complesso. E’ ragionevole pensare che sia sufficiente affidarsi al realismo ed al buon senso delle varie funzioni aziendali che dovranno essere coinvolte nell’attività di valutazione unitamente alla istituzione di una scala semiqualitativa che individuerà varie soglie di rischio.
E’ possibile, almeno in prima istanza, pensare ad una scala con quattro soglie di rischio:
- Lieve. Con questa soglia viene individuato un rischio molto basso che identifica una minaccia remota e comunque rapidamente reversibile od ovviabile.
- Media. Con questa soglia viene individuato un rischio superiore al precedente identificante una minaccia remota ma i cui effetti non sono totalmente o parzialmente reversibili od ovviabili. In tale caso è già consigliabile pensare ad accorgimenti per contenere il rischio.
- Grave e Gravissimo. Li trattiamo insieme, perché con queste soglie vengono individuati rischi che è sicuramente inaccettabile pensare di correre. Pertanto dovrà sicuramente essere attivato un insieme di contromisure (di natura fisica, logica, etc..) per abbattere il rischio e contenerlo in livelli accettabili.
Può essere utile condurre la propria analisi con l’ausilio della seguente tabella:
TABELLA DI ANALISI DEI RISCHI SULLE RISORSE HARDWARE
|
Risorsa (tutte o una specifica) |
Elemento di Rischio |
Soglia Individuata |
Motivazione |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Alcuni elementi di rischio che possono minacciare le risorse hardware possono essere: uso non autorizzato dell’hardware, manomissione, probabilità/frequenza di guasto, possibilità di sabotaggio, furto, intercettazione delle trasmissioni, eventi naturali (allagamenti, incendi, etc..), guasto ad apparecchiature connesse, etc..
Tabelle simili potranno essere predisposte per i luoghi fisici, le risorse dati e software.
Di seguito riportiamo alcuni possibili elementi di rischio per queste risorse.
- Per i luoghi fisici: possibilità di intrusione, eventi naturali (allagamenti, incendi, etc…), furto, accesso di persone non autorizzate, impossibilità di controllare l’accesso ai locali, etc…
- Per le risorse dati: accesso non autorizzato, cancellazione non autorizzata di dati, manomissione di dati, perdita di dati, incapacità di ripristinare copie di backup, etc.
- Per le risorse software: possibilità di accesso non autorizzato a basi dati, errori software che minacciano l’integrità dei dati, presenza di codice non conforme alle specifiche del programma, etc.
19.4 Integrità e disponibilità dei dati, protezione degli ambienti
Per integrità si intende la gestione della esattezza e completezza dei dati e la difesa da manomissioni o modifiche non autorizzate
La disponibilità assicura che l’accesso ai dati sia disponibile quando necessario.
Integrità e disponibilità possono essere minacciate da guasti alle apparecchiature, da errori umani, da azioni volontarie, da eventi naturali, virus ecc. ecc. Nel documento programmatico vanno indicate le contromisure tecniche e organizzative per attenuare la pericolosità di questi rischi.
19.5 Ripristino dei dati
In questa sezione vanno indicate tutte le azioni necessarie per gestire il recupero dei dati quando uno degli eventi citati in precedenza ne ha compromesso l’integrità e la disponibilità.
Vanno quindi indicati:e le misure per effettuare
- L’individuazione degli incaricati ad eseguire le copie di salvataggio
- Le modalità per effettuare il salvataggio periodico dei dati in copie di sicurezza
- La verifica che le copie siano state effettuate correttamente e che i supporti siano leggibili
- le procedure per la custodia delle copie
- le modalità, i tempi e la pianificazione delle attività di ripristino da mettere in atto quando se ne presenti la necessità per ripristinare gli archivi in tempi certi ed adeguati.
19.6 Interventi formativi
Gli incaricati dovranno essere edotti sui rischi individuati e sui modi per prevenire i danni
Il piano di formazione dovrà perciò prevedere sicuramente i seguenti punti:
- Una analisi dettagliata ed aggiornata delle vigenti disposizioni di legge, con riferimenti anche alle normative europee
- Disposizioni legislative in tema di tutela dei dati e criminalità informatica
- Analisi dettagliata delle misure minime di sicurezza
- Analisi e spiegazione dei ruoli: titolare, responsabile, incaricato, amministratore di sistema, custode delle password, interessato
- Panoramica sugli adempimenti previsti dal Codice: notificazione, rapporti con gli interessati, rapporti con il Garante.
- L’ufficio del Garante.
- Misure minime ed appropriate di sicurezza con particolare riferimento a: criteri logici, fisici ed organizzativi per la protezione dei sistemi informativi, prevenzione e contenimento del danno, strumenti di protezione hardware e software (in particolare antivirus e misure antihacker), contenitori di sicurezza, sistemi anti intrusione, importanza e modalità di realizzazione delle operazioni di backup, etc.
19.7 Outsourcing
L’esternalizzazione dei trattamenti non esonera il titolare dagli obblighi di sicurezza.
Il documento programmatico deve contenere la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamento di dati personali affidati, in conformità al Codice, all’esterno della struttura del titolare.
19.8 Cifratura o separazione dei dati
Questa sezione è riservata agli organismi sanitari che trattano dati idonei a rivelare lo stato di salute o la vita sessuale
Per chi volesse approfondire la materia e saperne di più su come redigere il Documento Programmatico sulla Sicurezza ed in generale sulle misure minime di sicurezza e sul Codice in materia di protezione dei dati personali (Decreto Legislativo 30 giugno 2003) vi consigliamo la lettura del libro:
|
Titolo: |
Guida pratica alle nuove misure di sicurezza per la privacy |
|
Autore: |
Fulvio Berghella |
|
Editore: |
Bancaria Editrice |
Un altro libro molto interessante e, soprattutto, scritto in un linguaggio alla portata di tutti, per chi volesse farsi una cultura a 360° a proposito della sicurezza informatica è il seguente:
|
Titolo: |
La sicurezza dei sistemi informativi – Teoria e pratica a confronto |
|
Autori: |
Elio Molteni – Franceso Faenzi |
|
Editore: |
Mondadori Informatica |
