Sei sulla pagina 1di 9

Duke Italia Dossier-On-Demand

SICUREZZA

La Stesura del Documento Programmatico per


la Sicurezza
Autore: Enzo Aggazio

Premessa Dlgs.196/2003: misure minime, informative, lettere


d'incarico al personale preposto ai trattamenti.
Il Decreto Legge 196/2003 (anche noto come Codice
sulla Privacy) è entrato in vigore il 01/01/2004. Precisiamo che i dati personali sono quelli che
Raccoglie in un unico testo le precedenti leggi, decreti e identificano una persona fisica o giuridica. Pertanto tutte
codici deontologici in tema di Privacy. Le aziende che le aziende trattano dati personali, anche solo per il fatto
trattino dati personali, cioè di fatto tutte le aziende, di gestire, ai fini contabili di legge, un archivio cartaceo
devono trattare tali dati in conformità al Codice stesso. od informatico dei clienti e dei fornitori, o altri archivi che
contengano i dati identificativi di persone o aziende
Cosa significa conformità? Per essere conformi, le
(fatture, dipendenti, eventuali curricula, mailing list di
aziende devono agire su tre fronti:
marketing, etc.).
a) pianificare misure organizzative, amministrative e
I dati personali sensibili sono invece informazioni
tecniche di sicurezza attraverso un documento formale
aggiuntive che indicano o “sono idonei” a rilevare, fra gli
denominato Documento Programmatico sulla Sicurezza
altri, le idee religiose, politiche e filosofiche, lo stato
(DPS).
di salute o la vita sessuale. In questi casi le
b) adeguarsi alle misure tecniche minime di incombenze si complicano notevolmente. Solo un'analisi
sicurezza definite nell'allegato B del Dlgs. 196/2003 attenta dei trattamenti effettuati in azienda potrà indicare
se sono trattati o meno “dati sensibili”, che dovranno
c) dare informativa trasparente e completa (se e essere trattati con maggiore cautela rispetto ai dati
quando dovuta) dei trattamenti dei dati personali ai personali non sensibili. Infatti, anche dati
relativi interessati ed ottenerne il consenso (se e quando
apparentemente innocui possono rivelarsi “idonei” per
necessario). rilevare dati personali sensibili. Un esempio sono i log di
Per chi trascura queste incombenze le sanzioni sono sistema relativi agli accessi a Internet che, se fossero
estremamente pesanti. Trattare i dati personali in trattati opportunamente, potrebbero consentire di rilevare
modalità non-conforme alla Legge espone l'azienda sul gli orientamenti politici o sessuali dei dipendenti.
piano civile e penale con sanzioni amministrative fino a La scadenza: Il Documento Programmatico sulla
90.000 euro (fatti comunque salvi i risarcimenti
Sicurezza deve essere redatto entro il 31/12/2004 e
eventualmente dovuti in sede civile) e può esporre i suoi dovrà essere aggiornato ogni anno entro il 31 Marzo.
dirigenti ed il suo legale rappresentante a sanzioni penali Le aziende che hanno l'obbligo di pubblicazione del
fino a tre anni di detenzione.
bilancio devono dichiarare nella lettera accompagnatoria
Le cose da fare: il primo e più significativo passo al bilancio che il Documento Programmatico sulla
verso la conformità è la stesura del “Documento Sicurezza è stato redatto.
Programmatico sulla Sicurezza” (per brevità detto
DPS), un documento che descrive i trattamenti dei dati
personali gestiti in azienda, l'organizzazione di sicurezza Raccolta delle informazioni da inserire nel DPS
dell'azienda e analizza i rischi che incombono sui dati
Il Documento Programmatico per la Sicurezza ha,
personali. Si tratta di un'analisi strutturata dei dati
come obbiettivo, la creazione di una precisa e
personali trattati, dell'organizzazione della sicurezza dei
particolareggiata descrizione del sistema informativo
dati e delle misure in essere e da pianificare per mettere
aziendale e delle misure di sicurezza adottate
e mantenere in sicurezza questi dati. Da questo
nell'azienda in difesa dei trattamento dei dati personali
documento derivano tutte le altre azioni richieste dal
(ed a maggior ragione per quelli sensibili) e si applica
indifferentemente sia al trattamento dei dati con mezzi

Le riviste del Gruppo Editoriale Duke sono le migliori riviste tecniche per un aggiornamento professionale continuo. Non si
trovano in edicola, sono disponibili solo in abbonamento. Tramite il servizio www.dossier.duke.it i nostri abbonati possono
accedere ogni mese a centinaia di articoli tecnici e di informazioni disponibili On Demand.

Copyright Duke Italia 2004. Tutti i diritti sono riservati.


E' vietata la riproduzione e distribuzione, anche parziale, dei contenuti di questo documento.
Duke Italia Dossier-On-Demand

informatici sia con altri mezzi come, ad esempio, gli privacy, attraverso la stesura di un testo che contiene
archivi cartacei. informazioni relative a:
Le aziende che trattino al loro interno dati personali - Soggetti coinvolti nel trattamento dei dati, che il decreto
(cioè, di fatto, quasi tutte le aziende in quanto rientrano in chiama “incaricati”, anagrafica, mansioni, responsabilità
questa categoria i dati di clienti, dipendenti, consulenti e - Formazione del personale in materia di sicurezza,
fornitori), devono trattare tali dati in conformità al codice eventuale frequenza di corsi base e di aggiornamento
stesso. sulla sicurezza
- Descrizione delle procedure di autenticazione del
Consigliamo pertanto di procedere ad una accurata
soggetto per l’accesso ai dati sensibili, attraverso sistemi
fase preliminare di raccolta delle informazioni, da inserire
basati su password, firma digitale, dispositivi biometrici di
successivamente nella struttura del Documento
riconoscimento
Programmatico sulla Sicurezza.
- Sistema informativo, basi di dati, hardware e software
In questo capitolo, affronteremo l’analisi e la utilizzati in azienda
raccolta dei dati aziendali utili alla compilazione del - Politiche di backup, copie di sicurezza dei dati
DPS, mentre nei capitoli successivi inseriremo i dati - Rischi relativi al trattamento dei dati sensibili
raccolti nella griglia di DPS che corrisponde a quanto eventualmente trattati, contromisure adottate in caso di
previsto dal legislatore. disastri (disaster recovery).
Il lavoro di analisi precedente la stesura del DPS si Classificazione e individuazione dei dati sensibili
rivela prezioso per ottimizzare la sicurezza informatica
Quotidianamente circola all’interno di ogni azienda e di
dei dati, individuando specifiche responsabilità e
ogni ente chiamato alla redazione del DPS, una discreta
migliorando le procedure di trattamento delle
quantità di informazioni che vanno descritte e catalogate
informazioni.
come richiesto dal Garante.
La raccolta di questi dati, tanto più è accurata, tanto
Le diverse informazioni, ridotte allo stato di dato
più poi potrà essere sfruttata per redigere altri documenti
informatico, sono trasmesse e conservate attraverso
validi per ottenere una certificazione internazionale per
apparecchi hardware e programmi software, in quello che
la sicurezza informatica, ad esempio la certificazione
chiamiamo sistema informativo aziendale.
BS7799, che mette al riparo da controversie giudiziarie in
casi estremi di furto o perdita di dati sensibili. Il primo passo della nostra raccolta dei dati, consiste
nel riconoscere i dati e classificarli secondo la loro
Suggeriamo inoltre di utilizzare le informazioni raccolte
importanza, individuando e separando i dati sensibili per
per compilare il DPS, anche nel redigere una Policy di
la privacy al fine di prevedere misure di sicurezza
sicurezza, un documento interno che individua precise
adeguate, come richiesto dalle misure minime previste
responsabilità nel trattamento dei dati, illustra le
dalla Legge.
procedure di sicurezza informatica, e presenta un utile
vademecum per i dipendenti nel trattare la posta
elettronica, la navigazione internet, l’uso delle password
Classificare i dati secondo una scala di sicurezza
e la gestione degli archivi informatici contenenti dati
sensibili. Al più basso livello troviamo i dati aziendali di pubblico
dominio, informazioni o documenti diffusi dall’azienda
Cerchiamo di ottenere dalla redazione del Documento
come oggetto del proprio lavoro.
Programmatico per la Sicurezza, il massimo vantaggio
per l’azienda, approfittando del lavoro di analisi per Poi ci sono i dati privati dell’azienda, e quindi utilizzati
migliorare le procedure, distribuire le responsabilità, all’interno dell’organizzazione nel lavoro quotidiano, e qui
coinvolgere i soggetti facenti parti dell’azienda in una rientrano anche i messaggi e-mail o comunque le
seria politica di sicurezza informatica. comunicazioni interne e con l'esterno.
Il ritorno sull’investimento fatto, a fronte Ci sono poi dati sotto segreto industriale, che
dell’assolvimento di un obbligo burocratico, è garantito. rappresentano un fattore competitivo e la cui
divulgazione porterebbe danni all’azienda stessa, quali
brevetti, codici sorgente del software o documenti
Informazioni da inserire nel Documento riservati di strategia aziendale.
Programmatico per la Sicurezza
Infine e questo riguarda la legislazione sulla
Il DPS chiede essenzialmente, informazioni sul Privacy, potremmo avere a che fare con dati sensibili, il
trattamento dei dati (specificando le tipologie cui cui proprietario è un soggetto interno o esterno
appartengono e che descriveremo di seguito) per la all’azienda, detentore del diritto alla segretezza ed alla
corrette conservazione delle informazioni trattate.

Le riviste del Gruppo Editoriale Duke sono le migliori riviste tecniche per un aggiornamento professionale continuo. Non si
trovano in edicola, sono disponibili solo in abbonamento. Tramite il servizio www.dossier.duke.it i nostri abbonati possono
accedere ogni mese a centinaia di articoli tecnici e di informazioni disponibili On Demand.

Copyright Duke Italia 2004. Tutti i diritti sono riservati.


E' vietata la riproduzione e distribuzione, anche parziale, dei contenuti di questo documento.
Duke Italia Dossier-On-Demand

L’articolo 4 del Decreto legislativo 196/2003, indica in cui appartengono, il software utilizzato, la classificazione
modo sufficientemente chiaro una classificazione dei dati di sicurezza e la classificazione secondo la Legge sulla
sensibili per la privacy, appartenenti a soggetti esterni Privacy.
o interni all’azienda:
Lo schema realizzato tornerà molto utile nella
redazione del nostro Documento Programmatico per la
Sicurezza.
Definizione di dati personali, dati sensibili e dati
giudiziari Di tutto questo lavoro avremo un esempio nel capitolo
dove descriviamo il Caso di Studio di una ipotetica
E' definito come "dato personale" qualunque
azienda italiana chiamata a redigere il DPS.
informazione relativa a persona fisica, persona giuridica,
ente od associazione, identificati o identificabili, anche
indirettamente, mediante riferimento a qualsiasi altra
Individuazione dei soggetti responsabili della
informazione, ivi compreso un numero di identificazione
sicurezza dei dati
personale; sono definiti come "dati identificativi" i dati
personali che permettono l'identificazione diretta Individuati e classificati i dati sensibili, passiamo
dell'interessato. adesso a individuare le persone responsabili del
trattamento dei dati.
Sono definiti "dati sensibili" tutti i dati personali idonei
a rivelare l'origine razziale ed etnica, le convinzioni Secondo quanto richiesto dal Dlg 196/2003,
religiose, filosofiche o di altro genere, le opinioni politiche, individueremo il Titolare del Trattamento, un
l'adesione a partiti, sindacati, associazioni od Responsabile del Trattamento, e gli Incaricati del
organizzazioni a carattere religioso, filosofico, politico o Trattamento dei dati sensibili.
sindacale, nonché i dati personali idonei a rivelare lo
stato di salute e la vita sessuale. Il Titolare del trattamento è la persona o l’Ente
decisionale nell'azienda che riveste compiti manageriali e
Sono definiti "dati giudiziari", i dati personali idonei a decisionali, anche in materia di sicurezza.
rivelare provvedimenti di cui all'articolo 3, comma 1,
lettere da a) a o) e da r) a u), del DPR 14 novembre Il Titolare può nominare uno o più Responsabili del
2002, n. 313, in materia di casellario giudiziale, di Trattamento, che per idoneità e competenza ha il potere
esecutivo di organizzare la politica di sicurezza dei dati
anagrafe delle sanzioni amministrative dipendenti da
reato e dei relativi carichi pendenti, o la qualità di sensibili per la privacy.
imputato o di indagato ai sensi degli articoli 60 e 61 del Gli Incaricati sono le persone che trattano i dati
codice di procedura penale. sensibili all’interno del sistema informativo.
Classificazioni di importanza: sicurezza aziendale Quando l'azienda tratta dati sensibili, il Titolare, i
e Legge della Privacy Responsabili e gli Incaricati sono figure che vanno
A questo punto classifichiamo ogni documento ed ogni individuate con chiarezza e che devono rilasciare una
scheda di inserimento di dati nei nostri archivi cartacei e dichiarazione di responsabilità per iscritto, da
informatici, secondo entrambe le scale di classificazione, allegare al Documento Programmatico sulla
quella che riguarda la sicurezza aziendale e quella che Sicurezza.
riguarda la Legge per la Privacy. E’ utile anche, in questo caso, predisporre uno
schema, individuando tutti i soggetti che trattano dati
Classificare ogni documento, ed ogni inserimento di
dati nella base di dati aziendale, permette di compiere sensibili per la Privacy.
un'analisi del traffico dati in tempo reale, individuare le Per queste persone sono richiesti nel DPS:
aree del sistema informativo coinvolte nel trattamento di informazioni anagrafiche, le mansioni aziendali, la
dati sensibili e intervenire tempestivamente nell’adozione anzianità di servizio, la posizione di Titolare,
di misure di sicurezza adeguate qualora non fossero già Responsabile o Incaricato.
presenti.
Particolare cura è riservata alla formazione del
La circolazione di documenti e informazioni personale, difatti vanno indicate la data di Formazione
classificate, permette la redazione di un semplice Primaria sulla Sicurezza dei Dati, e le date di
schema, che indica quali dati sono da considerare aggiornamento di formazione effettuate.
sensibili e quando e dove avviene il loro trattamento.
Di ogni soggetto sono adesso individuate e messe per
Lo schema può essere realizzato, ad esempio, tramite iscritto le Mansioni, le Responsabilità, e la Formazione
un semplice foglio elettronico. Conterrà la descrizione del che è stata effettuata prima di assumere una chiara
gruppo di dati in esame, la base di dati o il documento a responsabilità nel trattare i dati sensibili per la privacy.

Le riviste del Gruppo Editoriale Duke sono le migliori riviste tecniche per un aggiornamento professionale continuo. Non si
trovano in edicola, sono disponibili solo in abbonamento. Tramite il servizio www.dossier.duke.it i nostri abbonati possono
accedere ogni mese a centinaia di articoli tecnici e di informazioni disponibili On Demand.

Copyright Duke Italia 2004. Tutti i diritti sono riservati.


E' vietata la riproduzione e distribuzione, anche parziale, dei contenuti di questo documento.
Duke Italia Dossier-On-Demand

Qualora queste persone non fossero adeguatamente In caso di dati particolarmente sensibili, è possibile (e
informate o formate l'Azienda deve provvedere a farlo raccomandabile) autenticare gli utenti tramite badge,
quanto prima. card, o anche dispositivi biometrici.
Nel prossimo paragrafo, con la tematica La biometria consente di autenticare la persona
dell’autenticazione, entriamo nella parte squisitamente attraverso caratteristiche fisiche non replicabili, come la
informatica delle informazioni da raccogliere e includere lettura della retina del bulbo oculare o le impronte digitali.
nel nostro DPS.
E’ utile in questa fase realizzare uno schema grafico
E’ necessario – infatti – soprattutto per chi tratta dati degli accessi al sistema informativo, tramite un semplice
sensibili, accanto allo schema dei Titolari, Responsabili, grafico a blocchi realizzato con un software di grafica
Incaricati del trattamento dei dati, includere le figure che aziendale (chart) o di disegno, come l’ottimo Microsoft
si occupano della manutenzione, dell’aggiornamento e Visio, applicativo che consigliamo nella progettazione di
della sicurezza informatica del sistema informativo. schemi avanzati.
Realizzeremo anche uno schema a tabella simile a
quelli già realizzati, l’elenco delle basi di dati classificate,
Sistemi di autenticazione per l’accesso ai dati
e l’elenco dei soggetti responsabili e incaricati del
Dopo aver predisposto lo schema che classifica i dati trattamento dei dati sensibili.
che sono trattati nel nostro sistema informativo ed un
La nuova tabella, conterrà un elenco dei punti di
completo elenco dei soggetti che operano il trattamento
accesso al sistema informativo, il tipo di autenticazione
dei dati, secondo diverse mansioni e responsabilità,
utilizzata, password, sistemi di sicurezza con badge,
passiamo ai sistemi di autenticazione.
dispositivi biometrici, le basi di dati a cui si ha accesso, i
Il DPS ha come scopo principale il delineare il rischio soggetti autorizzati all’accesso.
per la sicurezza dei dati e le contromisure adottate, a
Metteremo nero su bianco delle linee guida, per
cominciare dall’accesso al sistema informativo da parte
l’assegnazione delle password, lunghezza della stringa di
dei soggetti incaricati di trattare le informazioni.
caratteri, scadenza temporale prevista, validità in
Il processo informatico di riconoscimento dell’utente, giornate e orari predefiniti dall’amministratore di sistema.
nel momento in cui richiede l’accesso al sistema
In caso di adozione di dispositivi automatici con badge
informativo, è chiamato Autenticazione.
e riconoscimento biometrico, un elenco degli apparecchi
Viene da sé che il processo di autenticazione è un utilizzati, del responsabile della manutenzione e
momento molto delicato, un accesso da parte di ignoti o aggiornamento.
malintenzionati metterebbe a repentaglio la privacy dei
Particolare attenzione nella formazione degli incaricati
dati sia personali, sia riservati e sia sensibili e
nel trattamento dei dati sensibili è da riservare agli
pregiudicarne l’integrità.
attacchi di tipo "Social Engineering".
L'autenticazione dell’utente di un sistema informatico,
Questo termine sottintende frequenti azioni di
è effettuata genericamente tramite inserimento di un
vario tipo che l'azienda trascura. Carpire password e
nome utente e di una password, una parola chiave la cui
informazioni avvicinando con scuse banali i
custodia e segretezza è responsabilità dell’utente stesso.
dipendenti di un'azienda, o con una telefonata
Assolutamente non deve avvenire alcuna violazione di ingannevole, è una tattica consolidata da pirati
questa segretezza: lasciare password in giro su foglietti informatici e ladri di informazioni.
di carta oppure mantenere nomi generici di default (del
E’ bene tracciare delle linee guida, formare e mettere
tipo operatore, programmatore, pgmr, sysopr, o simili) è
in allerta il personale incaricato sulla riservatezza delle
una leggerezza imperdonabile che può pregiudicare il
password, e la fornitura di informazioni riservate a
posto (e la carriera) al Responsabile della Sicurezza ed a
persone la cui identità non sia autenticata, soprattutto via
quello del Sistema Informativo.
email, chat e per telefono.
Il DPS prevede anche l'adozione di regole nella
Tutte le persone che possiedono password che
scelta e nella lunghezza delle password utilizzate
consentono di accedere a dati personali (ed a maggior
dagli utenti. Le password devono essere abbastanza
ragione sensibili) dovrebbero ricevere informazioni scritte
lunghe, bisogna utilizzare parole non di uso comune (per
circa il sistema della sicurezza, i nomi dei responsabili e
evitare attacchi con vocabolario), avere una scadenza
sulla necessità di operare con la massima cautela,
prefissata ed essere cambiate di frequente.
conoscendo le loro responsabilità ed i rischi che fanno
correre a tutto il sistema informativo aziendale.

Le riviste del Gruppo Editoriale Duke sono le migliori riviste tecniche per un aggiornamento professionale continuo. Non si
trovano in edicola, sono disponibili solo in abbonamento. Tramite il servizio www.dossier.duke.it i nostri abbonati possono
accedere ogni mese a centinaia di articoli tecnici e di informazioni disponibili On Demand.

Copyright Duke Italia 2004. Tutti i diritti sono riservati.


E' vietata la riproduzione e distribuzione, anche parziale, dei contenuti di questo documento.
Duke Italia Dossier-On-Demand

Il sistema informativo: server ad accesso pubblico tutti gli altri presenti sulla stessa rete, tramite linee dati
e portali Web dedicate e attraverso diversi dispositivi di rete.
Il DPS richiede una descrizione del sistema Un server consiste in un elaboratore elettronico
informativo, delle apparecchiature informatiche progettato, dotato di programmi software e configurato in
modo specifico per rendere un servizio informativo agli
utilizzate e dei software che trattano i dati sensibili
altri elaboratori sulla rete, come server di database,
per la privacy.
server di posta elettronica, server di autenticazione.
La prima area del sistema informativo verso il
Il "client" rappresenta un elaboratore che dipende dai
quale deve essere orientata l'analisi è l’area pubblica
server, in quanto accede e fruisce delle applicazioni, dei
di accesso ai dati.
servizi e delle informazioni presenti sui server aziendali.
Il sito web aziendale rivolto al pubblico, è ospitato su
Gli elaboratori comunicano tra di loro grazie ad un
un server web della nostra rete o spesso in outsourcing
comune insieme di protocolli di trasmissione, di solito è
su elaboratori di provider esterni.
universalmente utilizzato il pacchetto di protocolli TCP/IP.
E’ bene evitare la pubblicazione sul sito web aperto al
Il rischio per la sicurezza è che un elaboratore
pubblico di dati classificati come sensibili per la privacy, e
"attaccante" dall'esterno acceda presentandosi come
definire in questo caso precise responsabilità del
"client" ai servizi e informazioni di un server aziendale,
Webmaster, del responsabile della redazione dei
autenticandosi come legittimo appartenente alla rete
contenuti, della società provider che mantiene il sito in
aziendale.
outsourcing.
Per questo sono previsti appositi dispositivi di filtro dei
Un sito Web aperto al pubblico incoraggia il formarsi di
dati, detti Firewall, programmati per regolare il traffico e
una community di clienti-utenti, del bene o servizio
prevenire intrusioni alla rete dall’esterno.
erogato dall’ente o azienda proprietaria del sito, ed è
sovente prevista una registrazione con assegnazione di Il DPS richiede, un elenco dell’hardware utilizzato nel
una identità (nick), una password e la raccolta di dati trattamento delle informazioni, in particolare questo
personali. elenco dovrà contenere:
Accesso, autenticazione e data base delle - Elaboratori elettronici utilizzati in azienda come client.
informazioni raccolte tramite le registrazioni sono da - Server installati sulla rete, con elenco dei servizi offerti.
considerare in questo caso dati sensibili. - Dispostivi di rete, hub, switch, router per lo
smistamento dei dati.
Questi dati sono soggetti alla legislazione sulla
- Connessioni in rete locale LAN e rete geografica WAN.
privacy, classificabili nella loro natura per quanto visto nel
- Postazioni mobili di lavoro, computer portatili, cellulari
paragrafo “Classificazione dei dati sensibili”.
con funzioni di agenda e palmare, palmari contenenti
Leggermente diverso il caso per quanto riguarda il applicazioni di agenda e raccolta dati.
portale Web interno aziendale, un particolare sito Web - Dispositivi hardware a difesa da intrusioni esterne, per
accessibile all’interno della rete aziendale, e comunque la privacy e integrità dei dati, come Firewall hardware o
con un accesso autenticato per i dipendenti aziendali, ad software.
una VPN (Rete Privata Virtuale). - Dispositivi di backup dei dati, per la copia di sicurezza
su nastro e supporto magneto-ottico.
Le informazioni pubblicate sul portale aziendale sono
riservate al personale interno, e quando i dati pubblicati Deve essere predisposto un elenco particolareggiato
sul sito sono classificabili come sensibili (ad esempio: dell’hardware e delle connessioni, in forma di tabella
un sito nel settore medico), occorre prevedere livelli di contenente il dispositivo, l’ubicazione, l’accesso fisico
autorizzazione ed autenticazione diversi, da tenere in all’apparecchio, il responsabile della manutenzione e le
considerazione nel nostro Documento. basi di dati trattate.
E’ utile realizzare un grafico della Rete, tramite un
programma di grafica aziendale (magari con il già citato
Il sistema informativo: rete aziendale, hardware di Microsoft Visio) che preveda specifiche librerie di icone
rete e personal computer che rappresentano i dispositivi di rete più diffusi.
Per il trattamento dei dati, in questo caso, l'azienda
In questo grafico individueremo i punti critici per la
dispone di diversi elaboratori elettronici, connessi tra di sicurezza, le basi di dati classificate, gli incaricati, la
loro tramite una o più una Reti informatiche. autenticazione e l’accesso fisico al sistema.
Una rete informatica genericamente permette di
inviare e trasmettere dati da ogni singolo elaboratore a

Le riviste del Gruppo Editoriale Duke sono le migliori riviste tecniche per un aggiornamento professionale continuo. Non si
trovano in edicola, sono disponibili solo in abbonamento. Tramite il servizio www.dossier.duke.it i nostri abbonati possono
accedere ogni mese a centinaia di articoli tecnici e di informazioni disponibili On Demand.

Copyright Duke Italia 2004. Tutti i diritti sono riservati.


E' vietata la riproduzione e distribuzione, anche parziale, dei contenuti di questo documento.
Duke Italia Dossier-On-Demand

Il sistema informativo: software di sistema, procedure abituali per il backup (copia di sicurezza), e la
applicativo e gestionale conservazione su elaboratori e supporti magnetici e ottici
dei dati.
Le basi di dati, classificate secondo una scala di
sicurezza e di privacy dei dati sensibili, sono trattate dalle Il DPS richiede di indicare la politica di backup
persone incaricate, secondo precise responsabilità, effettuata dall’azienda, i dispositivi hardware e software
all’interno di una rete hardware di elaboratori elettronici. utilizzati, e le modalità di conservazione e limitazione
nell’accesso ai supporti magneto-ottici prodotti come
I programmi che trattano le informazioni sono elencati
duplicato dei dati.
nel DPS come gli elementi software che trattano i dati
sensibili, e che quindi sono soggetti ad assistenza, Bisognerà indicare in una tabella la frequenza, il
manutenzione e aggiornamento. responsabile, il supporto utilizzato per la copia di backup
delle diverse basi di dati, e le modalità della custodia e
Particolare enfasi va data alla puntualità
accesso dei supporti generati.
dell'aggiornamento e applicazione di patch, di correzioni
di eventuali falle di sicurezza dei sistemi operativi che
regolano la funzionalità degli elaboratori elettronici, in
Individuazione dei rischi
particolare dei server.
Il Documento Programmatico sulla Sicurezza ha come
Naturalmente sono da elencare con chiarezza i
obiettivo di consentire il controllo e che venga preservato
software specifici per la sicurezza informatica e la
il diritto alla protezione dei dati personali, da parte
dotazione di eventuali servizi di aggiornamento continuo
dell’interessato oggetto delle informazioni trattate. A
dei software antivirus che costantemente tengono
maggior ragione quando si tratta di dati sensibili.
aggiornati i software interni degli utenti.
La protezione riguarda genericamente la privacy di
E’ utile stilare un elenco del software utilizzato in
eventuali dati sensibili, dandone accesso solo ed
azienda, partendo dai sistemi operativi installati sulle
esclusivamente agli incaricati nel trattare queste
macchine, dalla frequenza nella installazione di patch e
informazioni riservate e la integrità dei dati stessi, dalla
service pack di sicurezza, da eventuali programmi di
distruzione o smarrimento delle informazioni custodite.
aggiornamento automatico.
Il DPS prevede anche la individuazione dei rischi che i
L’elenco continua con il software di archiviazione delle
dati sensibili per la privacy potrebbero incorrere nel
basi di dati, dai pacchetti di office automation, ai
trattamento con mezzi informatici e supporti documentali.
gestionali aziendali, agli eventuali servizi tradizionali
esterni (ad esempio: gestione del personale) o via Web L’osservazione delle misure minime di sicurezza,
fruiti a distanza in modalità Application Service Provider preserva l’azienda e l’ente responsabile del trattamento
(ASP), per i quali valgono le normali regole dei servizi in dei dati, da pesanti condanne in sede giudiziaria in caso
outsourcing. di furto, smarrimento, distruzione dei dati sensibili
eventualmente trattati.
Chiudiamo l’elenco con l'elencazione del software di
sicurezza informatica, gli antivirus, eventuali antispyware, In una apposita tabella elencheremo i rischi derivanti
la gestione della posta elettronica, in particolare le dall’attività di trattamento dei dati sensibili, e le
eventuali precauzioni sugli allegati che in questo periodo contromisure adottate nel caso che tali funesti eventi si
sono il veicolo principale di propagazione dei virus verifichino.
informatici.
In questa tabella inseriremo informazioni sulla
Di ogni software indicheremo la versione, il formazione preventiva dei responsabili ed incaricati nel
programma di aggiornamento, le modalità di trattamento dei dati, dei rischi connessi all’attività e delle
manutenzione e di assistenza per la sicurezza dei dati contromisure da adottare.
trattati.
I rischi connessi alla intrusione di attaccanti
malintenzionati nel sistema informativo vanno individuati
con cura e possono essere:
Sistemi di backup e copia di sicurezza dei dati
- Uso non autorizzato del software e dell’hardware
Prevenire è meglio che curare, e la copia di sicurezza
- Furto di dati sensibili
dei dati è - da sempre - la regina delle procedure di
- Guasto, sabotaggio delle attività informatiche,
sicurezza informatica.
manomissione dei dati.
L’integrità dei dati è fondamentale soprattutto in
presenza di dati sensibili per la privacy, ed è I rischi per la integrità dei dati custoditi possono arrivare
obbligatoria, come misura minima, l'esistenza di anche da:

Le riviste del Gruppo Editoriale Duke sono le migliori riviste tecniche per un aggiornamento professionale continuo. Non si
trovano in edicola, sono disponibili solo in abbonamento. Tramite il servizio www.dossier.duke.it i nostri abbonati possono
accedere ogni mese a centinaia di articoli tecnici e di informazioni disponibili On Demand.

Copyright Duke Italia 2004. Tutti i diritti sono riservati.


E' vietata la riproduzione e distribuzione, anche parziale, dei contenuti di questo documento.
Duke Italia Dossier-On-Demand

- Furto di elaboratori (fissi o portatili) e relativi supporti Interventi straordinari di manutenzione e contratti di
magneto-ottici assistenza tecnica per il software applicativo, ed i sistemi
- Eventi e calamità naturali operativi di rete.
- Eventi in caso di conflitti armati
Il ripristino dei dati conservati con le operazioni di
backup e copia di sicurezza dei dati, individuando
Disaster Recovery responsabili e unità operative immediatamente
disponibili.
Le politiche di Disaster Recovery (recupero di disastri),
possono essere elencate nel DPS come contromisure al Il centro specializzato in recupero dati, o l’azienda
verificarsi di eventi contrari, contemplati nei rischi. informatica che sarà contattata per tentare di recuperare,
del tutto o in parte, i dati dai dispositivi di memorizzazione
di massa, hard disk danneggiati da virus, supporti
E’ utile comunque compilare una tabella, delle magneto-ottici deteriorati.
operazioni da compiere in caso di furto o perdita della
integrità delle informazioni e in particolare dei dati
sensibili custoditi. [continua a pag 8]
Si può partire dalla sostituzione immediata di hardware
destinato al trattamento delle informazioni, come
elaboratori server e dispositivi di rete.

Inserto pubblicitario

Siete pronti per la fatturazione elettronica ?

leggete quello che c’è da sapere sulla Gestione Documentale: www.gestdoc.duke.it

Le riviste del Gruppo Editoriale Duke sono le migliori riviste tecniche per un aggiornamento professionale continuo. Non si
trovano in edicola, sono disponibili solo in abbonamento. Tramite il servizio www.dossier.duke.it i nostri abbonati possono
accedere ogni mese a centinaia di articoli tecnici e di informazioni disponibili On Demand.

Copyright Duke Italia 2004. Tutti i diritti sono riservati.


E' vietata la riproduzione e distribuzione, anche parziale, dei contenuti di questo documento.
Duke Italia Dossier-On-Demand

NOTE PER GLI INTERESSATI:


Autore: Enrico Ortensi, direttore delle riviste Duke Italia (e-mail: enrico.ortensi@duke.it)
Questo testo è stato tratto da un manuale più completo e approfondito denominato "Guida Pratica per la Stesura del
Documento Programmatico per la Sicurezza" (Editore Duke Italia S.r.l. – Autore: Enzo Aggazio) che è disponibile in
versione integrale (documento di circa 80 pagine in formato pdf in download, impaginato e stampabile su carta come un
manuale) nelle aree riservate agli abbonati delle riviste Duke Italia (Windows & .NET Magazine, Linux Journal, iSeries
News) denominate "numeri precedenti" e contenenti gli archivi storici delle riviste ed altri documenti.
A questa "Guida" verranno fatti periodici aggiornamenti e migliorie da parte dell'autore Enzo Aggazio che invita tutti
coloro che possono offrire contributi ed esempi pratici a metterli in comune per aiutarsi a vicenda con suggerimenti per
risolvere tutte le tematiche di una materia nuova di cui non esistono ancora esempi esaurienti e che sicuramente risulterà
impegnativa per gli specialisti informatici, notoriamente poco abituati alle pratiche burocratiche.
L'autore, a questo scopo, metterà a disposizione dei lettori della "Guida" un blog su Web per facilitare commenti e
chiarimenti. Verranno citati i nomi di coloro (specialisti, consulenti, aziende specializzate) che offriranno aiuti e contributi.
Questi contributi verranno messi a disposizione di tutti sia come upgrade separati per chi ha già scaricato il manuale sia
inseriti all'interno del manuale (oppure come appendici) per chi non lo avesse ancora scaricato.
La "Guida Pratica per la Stesura del Documento Programmatico per la Sicurezza" sarà divisa in vari capitoli ed
appendici. Conterrà una descrizione più dettagliata di cosa si deve fare per approntare sia la raccolta dati sia la stesura
vera e propria del DPS. Ci saranno in particolare ulteriori parti dedicate alla crittografia e all'accesso fisico dei dati,
spiegazioni complete e dettagliate su come compilare il DPS, come prepararsi eventualmente alla Certificazione BS7799,
come organizzare e descrivere la Policy Interna di Sicurezza dell'azienda ed infine un esempio pratico di compilazione del
documento DPS riferito ad una azienda con una rete di PC.
Nelle appendici ci saranno utili glossari sulle terminologie della sicurezza e altri documenti che verranno
periodicamente aggiunti.
Infine (sempre solo per gli abbonati) stiamo preparando la chicca finale che verrà messa a disposizione degli abbonati
entro fine maggio: si tratta di un corso multimediale per gli utenti aziendali indispensabile sia per istruirli sui loro doveri
sul tema della sicurezza per venire incontro alle richieste della Legge sia per acculturarli circa l'attenzione che devono
prestare per evitare che dati personali, sensibili oppure riservati dell'azienda vengano acquisiti da esterni malintenzionati.
Trattandosi di una materia in continua evoluzione, sulla nostra newsletter settimanale Hi Tech Insider
www.duke.it/newsletter , sulle riviste e sui siti Duke (per i siti vedere: www.duke.it ) verranno segnalati i nuovi release della
"Guida" e gli upgrade disponibili, che all'inizio prevediamo frequenti in quanto contiamo sull'aiuto reciproco della nostra
grande comunità di specialisti e Responsabili di Sistemi Informativi.
Siamo assolutamente convinti che questa pesante incombenza, se affrontata bene e con professionalità, potrà risultare
estremamente utile per la gestione della sicurezza del sistema informativo aziendale e per individuare le possibili falle.
In sostanza, col passare del tempo, vorremmo trasformare quella che appare come una pesante scadenza burocratica
annuale (ricordiamo che entro la fine di Marzo di ogni anno, il DPS di ciascuna azienda dovrà essere aggiornato) in una
opportunità di miglioramento continuo della sicurezza aziendale.
In quest'ottica abbiamo messo a disposizione sul sito www.security.duke.it il corso multimediale: "La sicurezza nelle
reti" che è indispensabile per la gestione della sicurezza e in quanto tale potrà essere citato nel DPS aziendale fra i corsi
di formazione effettuati.
Se ci sarà un positivo riscontro in termini di "download" di questo corso (che qualora venisse effettuato in aula con
criteri tradizionali costerebbe non meno di 800/1000 euro per allievo), faremo altri corsi a questo scopo e che verranno
messi a disposizione solo per gli abbonati alle nostre riviste.
Ricordo agli abbonati che, qualora non abbiano ancora richiesto la password di accesso all'area protetta "Numeri
precedenti" (sopra citata) la potranno in qualsiasi momento richiedere e ottenere rapidamente tramite l'apposito modulo
via Internet (vedere istruzioni nella pagina che segue).
Per coloro che non fossero abbonati e facessero l'abbonamento subito, precisiamo che la password verrà inviata solo
dopo il ricevimento del pagamento. Per abbonarsi alle riviste possono essere utilizzate le istruzioni presenti sui siti delle
riviste ( accessibili da: www.duke.it ) oppure on-line tramite Hi Tech Shop ( www.hitechshop.it ).

Le riviste del Gruppo Editoriale Duke sono le migliori riviste tecniche per un aggiornamento professionale continuo. Non si
trovano in edicola, sono disponibili solo in abbonamento. Tramite il servizio www.dossier.duke.it i nostri abbonati possono
accedere ogni mese a centinaia di articoli tecnici e di informazioni disponibili On Demand.

Copyright Duke Italia 2004. Tutti i diritti sono riservati.


E' vietata la riproduzione e distribuzione, anche parziale, dei contenuti di questo documento.
Duke Italia Dossier-On-Demand

Istruzioni per accedere ai documenti sul DPS


disponibili per abbonati in area riservata
Documentazione disponibile in “Area Abbonati”:
• Introduzione al Documento Programmatico per la Sicurezza
• Raccolta delle informazioni da inserire nel DPS
• Struttura del DPS
• Redazione di un caso di studio
• Esempio di DPS
• Appendice A - norme e glossario dei dati
• Appendice B - elenco delle tabelle di raccolta dei dati
• Corso per utenti finali "Sicurezza & Privacy"
• Offerta Outsourcing

Abbonati:
I riferimenti a questi documenti si trovano nella prima pagina della zona riservata.
Gli abbonati con password hanno accesso agli articoli ed ai documenti che sono depositati
nell’area riservata “NUMERI PRECEDENTI”
Entrare nel sito della rivista di cui disponete password, premere il tasto “NUMERI PRECEDENTI”
che si trova in alto a sinistra nelle Home-Page di tutte le nostre riviste.

Se siete abbonati e avete problemi di password


Entrare nella finestra di richiesta della password e seguire le indicazioni che richiedono:
• Codice cliente.
• CF o PIVA forniti all’atto dell’abbonamento.
• EMAIL di risposta per inviare password.
Se l’abbonamento è in vigore riceverete al più presto una password per entrare.

Se non siete ancora abbonati


Chi non fosse ancora abbonato può farlo immediatamente via fax o via internet.
Dalla Home-Page delle nostre riviste premere il tasto ABBONAMENTI.

Per comodità riportiamo i riferimenti internet delle nostre riviste


e segnaliamo l’offerta di massima convenienza per abbonamenti biennali per l’Italia via internet:

www.iseries.it www.winxpmag.it www.linuxjournal.it


Abb. biennale Italia Euro 162,00 Abb. biennale Italia Euro 80,00 Abb. biennale Italia Euro 75,00

Le riviste del Gruppo Editoriale Duke sono le migliori riviste tecniche per un aggiornamento professionale continuo. Non si
trovano in edicola, sono disponibili solo in abbonamento. Tramite il servizio www.dossier.duke.it i nostri abbonati possono
accedere ogni mese a centinaia di articoli tecnici e di informazioni disponibili On Demand.

Copyright Duke Italia 2004. Tutti i diritti sono riservati.


E' vietata la riproduzione e distribuzione, anche parziale, dei contenuti di questo documento.