altro

Documento Programmatico sulla Sicurezza

Di cosa si tratta ?

Si tratta sostanzialmente di un documento tecnico di autocertificazione.

Il legislatore chiede a ciascuna azienda di effettuare una analisi/riflessione sulle metodiche con cui sono conservati i dati, sui trattamenti cui sono sottoposti e sull’assetto informatico nel suo insieme.
Il Titolare dei dati (figura espressamente prevista dal testo legislativo) procede a questa auto analisi con l’obiettivo di individuare e descrivere i seguenti punti (tutti espressamente indicati dal Garante della Privacy) :

  • analisi ed individuazione dei trattamenti operati, descrizione sintetica, natura dei dati, struttura di riferimento ed eventuali altre strutture esterne che hanno accesso ai dati
  • elenco dei trattamenti con descrizione degli strumenti informatici utilizzati, individuazione delle banche dati, descrizione del supporto su cui risiedono, individuazione della tipologia dei dispositivi di accesso e tipologia di interconnessione
  • analisi delle strutture preposte al trattamento dei dati, individuazione delle stesse e del responsabile, elencazione dei trattamenti operati per ogni struttura e descrizione sintetica dei compiti della struttura
  • analisi rischi legati al comportamento del personale, con definizione del livello di gravità stimata (rischi principali presi in considerazione: furto di credenziali, Carenza di consapevolezza, Comportamenti sleali, Errori materiali, ecc.)
  • analisi rischi legati agli strumenti, con definizione del livello di gravità stimata (Azione Virus o codici malefici, Spamming o altre tecniche di sabotaggio, Malfunzionamento o degrado degli strumenti, Accessi non autorizzati, Intrusioni informatiche, Intercettazioni dati trasmessi via rete, ecc.)
  • analisi rischi dovuti ad eventi legati al contesto, con definizione del livello di gravità stimata (Accessi non autorizzati ai locali, Furto di strumenti, eventi distruttivi dolosi o accidentali, Guasto a sistemi complementari, errori umani nella gestione della sicurezza)
  • elenco delle misure di sicurezza adottate o da adottare, descrizione con definizione dei trattamenti dati interessati ed indicazione delle misure di sicurezza già adottate o da adottare (i principali: formazione dipendenti, antivirus, controlli su pc, controlli locali e strutture, firewall, protezione e-mail e rubriche telefoniche, impianti e verifiche installazioni, cambio password, controlli sul server centrale, analisi sistemi raid, analisi sistemi ups, protezione trasmissioni dati tra varie sedi)
  • descrizione dettagliata delle misure adottate per ogni identificativo di rischio, descrizione della misura ed identificazione del responsabile applicazione e controlli sul rischio (queste descrizioni sono il nocciolo duro del DPS perché descrivono dettagliatamente le misure adottate e la loro adeguatezza in rapporto alle Misure Minime definite nell’allegato B del Dlgs.)
  • analisi sui criteri e sulle modalità di salvataggio e di ripristino dei dati, indicazione per ogni banca dati degli strumenti usati, della procedura utilizzata, della frequenza del backup, della ubicazione di conservazione delle copie, degli incaricati al backup e delle procedure di ripristino – test
  • analisi soggetti esterni che effettuano trattamenti dati, individuazione della attività esternalizzata, del tipo di dati interessati, del soggetto e descrizione dei criteri adottati per l’adozione delle misure di legge

E’ necessario produrre il disegno della rete o dei computer aziendali ?

Il legislatore non lo prevede espressamente, è però facilmente intuibile che nelle analisi sopra riportate il riferimento ad un supporto informatico piuttosto che ad un altro ha una importanza significativa.
Ad esempio: l’azienda dispone di diversi computer su cui risiedono diverse banche dati gestiti da uffici diversi. E’ evidente l’importanza di specificare nel Documento Programmatico sulla Sicurezza quali sono le procedure di autorizzazione agli accessi, i sistemi di backup ed i test di ripristino per ogni supporto informatico. (Su un computer si potrebbero effettuare i back up con masterizzatore, su un altro invece con una unità zip, su un altro ancora si potrebbero invece salvare trasmettendo il tutto su un server di rete.)
Si comprende, la necessità di individuare i vari computer con un identificativo univoco.

Fatto il Documento Programmatico sulla Sicurezza l’azienda ha completato gli adempimenti ?

No, buona parte del lavoro è fatto ma restano da fare alcune cose molto importanti.
Sintetizzando possiamo dire che il Titolare (responsabile dei dati) nella logica di una gestione consapevole individua tutte le persone che hanno accesso ai dati ed a ciascuna dice esattamente come si deve comportare. Inoltre deve predisporre le informative da dare a tutti coloro che gli affidano dati in cui spiega le metodiche usate nei trattamenti. Va quindi costruito il “castello” di Informative / Incarichi / Nomine / Consensi etc che adeguatamente completa il lavoro di autocertificazione.