Amministratore di sistema, come adeguarsi alle direttive del Garante

Entro il 30 giugno tutte le imprese si devono conformare alle disposizioni definite dall’Autorità sulla Privacy. Fondamentale è l’implementazione di procedure codificate.

Preoccupazione di tutte le aziende e degli enti pubblici dovrebbe essere un’azione tempestiva per adeguarsi entro il 30 giugno 2009 al provvedimento del Garante della Privacy che impone un totale controllo sugli amministratori di sistema, ovvero coloro che hanno accesso a tutte le informazioni più sensibili e critiche di un’azienda o ente pubblico. In tutte le società, infatti, l’amministratore di sistema accede in tutta libertà ai dati aziendali.

Nelle grandi imprese la sicurezza ed il controllo dei sistemi vengono spesso gestiti anziché da un unico soggetto, da un gruppo di amministratori a cui vengono conferiti ruoli diversi nell’ambito dell’infrastruttura.

Spesso questi amministratori operano utilizzando utenze condivise, pertanto senza lasciare una traccia univoca del loro operato. “Le ispezioni effettuate in questi anni dall’Autorità hanno permesso di mettere in luce in diversi casi una scarsa consapevolezza da parte di organizzazioni grandi e piccole del ruolo svolto dagli amministratori di sistema. I gravi casi verificatisi negli ultimi anni hanno evidenziato una preoccupante sottovalutazione dei rischi che possono derivare quando l’attività di questi esperti sia svolta senza il necessario controllo.”

Proprio a seguito di utilizzi impropri delle informazioni di libero accesso, il Garante ha stabilito precise direttive al fine di prevenire gravi abusi e seri danni alle società. Le nuove regole impongono:

  • maggiore rigore nei criteri per la nomina degli amministratori di sistema,
  • introduzione di verifiche puntuali delle loro attività
  • implementazione di procedure codificate per garantire la sicurezza dell’azienda e dei suoi stessi dipendenti.

Quest’ultima misura comporta “l’adozione di sistemi di controllo che consentano la registrazione degli accessi effettuati dagli amministratori di sistema ai sistemi di elaborazione e agli archivi elettronici”.

La gestione dei log

Tecnicamente, le aziende devono attivarsi a livello tecnologico per creare dei log (nome specifico per indicare dei file di registrazione cronologica) che registrino gli accessi eseguiti dall’amministratore di sistema.

E’ richiesto che tali log siano inalterabili e sempre verificabili e che comprendano la marca temporale e la descrizione delle attività svolte. Questo significa che i log devono essere criptati e conservati per un periodo non inferiore a 6 mesi.

Tali log devono essere accessibili solo previa identificazione di amministratori nominali, non più di account generici come avveniva in passato: in questo modo è possibile risalire sempre all’identità dell’esecutore delle operazioni fatte sulla base dati, quali inserimento, aggiornamento, cancellazione di record.

Infine, i nomi di tali utenti amministratori ed i loro ruoli devono inoltre essere inseriti nel documento programmatico della sicurezza (Dps).

Entro fine giugno tutte le aziende dovranno essersi adeguate, altrimenti saranno punibili ai sensi di legge con sanzioni amministrative.

Per questo è importante capire ciò che concretamente occorre fare: è necessario farsi affiancare da un partner affidabile in grado di fornire un assessment preciso dei sistemi da monitorare e di identificare il software più adatto all’azienda che permetta di svolgere con automatismi tutte le operazioni necessarie per raccogliere, immagazzinare e criptare i log.

Inoltre, è importante che venga creato un sistema chiaro e dettagliato di reportistica consultabile in qualsiasi momento dalla dirigenza autorizzata ad effettuare le verifiche e che venga garantito l’invio di notifiche automatiche in funzione del verificarsi di eventi arbitrari per la società cliente.

E’ importante sottolineare che affidarsi ad un partner non significa che questi sia in grado di vedere e manipolare i dati aziendali, si tratta semplicemente di una modalità veloce e sicura per adeguarsi alla legge in modo intelligente.

*Business & Solutions Manager – Enterprise di SCC Spa

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome