Privacy: nomina ad "amministratore di sistema": due diligence del titolare e check list - parte seconda
Nella prima parte di questo articolo abbiamo analizzato gli adempimenti richiesti in relazione alla nomina ad "amministratore di sistema". In questa seconda parte ed ultima parte affrontiamo il tema delle "verifiche" che il titolare deve svolgere sull’operato dell’amministratore.
Cos’è una "due diligence"?
Il Garante nel provvedimento del 27 novembre 2008 sull’amministratore di sistema usa per la prima volta l’espressione "due diligence" per indicare "gli accorgimenti e misure, tecniche e organizzative, volti ad agevolare l'esercizio dei doveri di controllo da parte del titolare" in relazione alle mansioni svolte dagli amministratori di sistema.
Come è noto, nell’ambito dell’internal audit e dell’information security con "due diligence" si intende un’attività di analisi e verifica volta al raggiungimento di un parere di conformità (compliance) in relazione a particolari attività anche in relazione ai possibili rischi ed ai relativi impatti.
Caratteristica della "due diligence" è inoltre, a fronte dei risultati ottenuti, la predisposizione di un piano di (eventuali) azioni correttive.
In sintesi l’output della due diligence del titolare sull’amministratore di sistema deve consistere almeno nei seguenti elementi:
- giudizio di conformità sugli adempimenti richiesti;
- valutazione dei possibili rischi (e relativi impatti);
- indicazioni dei possibili interventi (se necessari o opportuni).
Nel seguito di questo articolo esamineremo in dettaglio ciascuno di tali aspetti.
Giudizio di conformità sugli adempimenti richiesti
Il giudizio di conformità viene realizzato dal titolare o da una terza parte indipendente rispetto ai sistemi informativi (ad esempio l’Internal Audit) mediante la verifica del rispetto degli adempimenti richiesti. A riguardo può essere utile utilizzare una "check list di controllo" come quella di seguito riportata.
|
Obiettivi di controllo |
Presidio |
Verifica effettuata |
Grado di conformità |
|
|
|
|
|
|
Censimento dei trattamenti |
|
|
|
|
|
|
|
|
|
Tutti i trattamenti di dati personali effettuati (anche in parte) mediante strumenti elettronici sono censiti e sono indicati i relativi "amministratori di sistema". |
Il regolamento aziendale XX prevede che l’inizio di qualsiasi nuovo trattamento di dati personali sia comunicato al responsabile aziendale della privacy che provvede ad aggiornare il censimento dei trattamenti |
È stata presa visione dell’ultimo censimento dei trattamenti disponibile presso il responsabile aziendale della privacy e verificato che fosse completo. |
1) Conforme _____ 2) Non conforme ___ 3) Parzialmente conforme ______ 4) Non applicabile ___
Note (per 3 o 4): ______________ |
|
|
|
|
|
|
Se i trattamenti sono affidati a terze parti queste hanno comunicato al Titolare l’elenco dei relativi "amministratori di sistema". |
Nei contratti di outsourcing sono inserite clausole specifiche a riguardo. Almeno una volta l’anno viene richiesto l’aggiornamento della lista degli amministratori di sistema |
È stata presa visione degli elenchi forniti dagli outsourcer. |
1) Conforme _____ 2) Non conforme ___ 3) Parzialmente conforme ______ 4) Non applicabile ___
Note (per 3 o 4): ______________ |
|
|
|
|
|
|
Se il trattamento comprende, "anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale di lavoratori" è stata resa nota e conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie organizzazioni. |
L’informativa ai dipendenti prevede tale comunicazione. L’ufficio Formazione cura attraverso la intranet aziendale gli aggiornamenti al personale relativi a tale adempimento. |
È stata presa visione delle lettere di incarico. È stata consultata la intranet per verificare la presenza di tali comunicazioni. |
1) Conforme _____ 2) Non conforme ___ 3) Parzialmente conforme ______ 4) Non applicabile ___
Note (per 3 o 4): ______________ |
|
|
|
|
|
|
Lettera di incarico |
|
|
|
|
|
|
|
|
|
Per ogni "amministratore di sistema" è disponibile la lettera di incarico comprendente (al minimo): |
Esiste uno standard di lettera di incarico ad "amministratore di sistema" che prevede le caratteristiche richieste dalla legge. |
È stata acquisita copia dello standard. |
|
|
|
|
|
|
|
|
1) Conforme _____ 2) Non conforme ___ 3) Parzialmente conforme ______ 4) Non applicabile ___
Note (per 3 o 4): ______________ |
|
|
|
1) Conforme _____ 2) Non conforme ___ 3) Parzialmente conforme ______ 4) Non applicabile ___
Note (per 3 o 4): ______________ |
|
|
|
1) Conforme _____ 2) Non conforme ___ 3) Parzialmente conforme ______ 4) Non applicabile ___
Note (per 3 o 4): ______________ |
|
|
|
|
|
|
Elenco degli amministratori |
|
|
|
|
|
|
|
|
|
Gli estremi identificativi delle persone fisiche nominate "amministratori di sistema", con l'elenco delle funzioni ad essi attribuite, sono stati riportati nel Documento Programmatico sulla Sicurezza, oppure, nei casi in cui il titolare non sia tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante. |
È stato predisposto un "elenco degli amministratori" ed allegato al Documento Programmatico sulla Sicurezza. |
È stato acquisito il DPS e l’allegato relativo all’elenco degli amministratori |
1) Conforme _____ 2) Non conforme ___ 3) Parzialmente conforme ______ 4) Non applicabile ___
Note (per 3 o 4): ______________ |
|
|
|
|
|
|
Registrazione degli accessi |
|
|
|
|
|
|
|
|
|
È adottato un idoneo sistema per la registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. |
In azienda è in uso il sistema ABC di gestione degli accessi logici; tale sistema prevede il log degli accessi. |
È stata presa visione del sistema ABC e del manuale che ne descrive le caratteristiche |
1) Conforme _____ 2) Non conforme ___ 3) Parzialmente conforme ______ 4) Non applicabile ___
Note (per 3 o 4): ______________ |
|
|
|
|
|
|
Tali registrazioni (access log) hanno caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste. |
Il log degli accessi relativi agli amministratori di sistema è protetto con credenziali specifiche che sono custodite dal Direttore Generale in busta sigillata dentro una cassaforte. Il DG non è a conoscenza delle credenziali. In caso di necessità le credenziali sono date in uso al personale tecnico e poi modificate e nuovamente assegnate al Direttore Generale. Il sistema ABC di gestione dei log mantiene copia inalterabile dei log. |
È stata presa visione delle credenziali riservate custodite dal Direttore Generale. È stata presa visione del sistema ABC e del manuale che ne descrive le caratteristiche. |
1) Conforme _____ 2) Non conforme ___ 3) Parzialmente conforme ______ 4) Non applicabile ___
Note (per 3 o 4): ______________ |
|
|
|
|
|
|
Le registrazioni comprendono i riferimenti temporali e la descrizione dell'evento che le ha generate e sono conservate per un congruo periodo, non inferiore a sei mesi. |
I log sono conservati per sei mesi.
|
Sono stati visionati i log. |
1) Conforme _____ 2) Non conforme ___ 3) Parzialmente conforme ______ 4) Non applicabile ___
Note (per 3 o 4): ______________ |
|
|
|
|
|
|
Verifiche del titolare |
|
|
|
|
|
|
|
|
|
L'operato degli amministratori di sistema è verificato, con cadenza almeno annuale, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti. |
Annualmente, in occasione dell’aggiornamento del Documento Programmatico sulla Sicurezza, viene verificato il rispetto degli obblighi normativi relativi all’amministratore di sistema. |
È stata compilata la presente check list in occasione dell’aggiornamento del DPS: |
1) Conforme _____ 2) Non conforme ___ 3) Parzialmente conforme ______ 4) Non applicabile ___
Note (per 3 o 4): ______________ |
|
|
|
|
|
|
Per i trattamenti affidati a terze parti, queste hanno attestato per iscritto di aver effettuato, con cadenza almeno annuale, le verifiche sui relativi amministratori di sistema in modo da controllare la rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti. |
Annualmente, in occasione dell’aggiornamento del Documento Programmatico sulla Sicurezza, viene richiesta alle terze parti che hanno in outsourcing trattamenti di dati personali dell’azienda, l’attestazione sulle verifiche del rispetto degli obblighi normativi relativi all’amministratore di sistema. |
Sono state visionate le attestazioni da parte degli outsourcer. |
1) Conforme _____ 2) Non conforme ___ 3) Parzialmente conforme ______ 4) Non applicabile ___
Note (per 3 o 4): ______________ |
Valutazione dei possibili rischi (e relativi impatti)
Il giudizio di conformità può portare all’individuazione di possibili rischi in particolare nel caso siano evidenziati "obiettivi di controllo" non completamente compliant.
Vediamo un esempio.
|
Obiettivi di controllo |
Grado di conformità |
Note sul grado di conformità |
Rischi |
Impatti |
|
|
|
|
|
|
|
Censimento dei trattamenti |
Conforme |
|
|
|
|
Lettera di incarico |
Conforme |
|
|
|
|
Elenco degli amministratori |
Parzialmente conforme |
Mancano le liste relative a due società terze nominate responsabili del trattamento. |
Rischio di accesso non autorizzato Rischio di trattamento non consentito o non conforme alle finalità della raccolta |
sanzione da 20.000 a 120.000 euro |
|
Registrazione degli accessi |
Parzialmente conforme |
Tecnicamente non si ha evidenza del fatto che i log non siano effettivamente modificabili. |
Rischio di distruzione o perdita, anche accidentale, dei dati Rischio di accesso non autorizzato Rischio di trattamento non consentito o non conforme alle finalità della raccolta
|
sanzione da 20.000 a 120.000 euro |
|
Verifiche del titolare |
Parzialmente conforme |
Non esistono piani di formazione volti ad un costante aggiornamento degli amministratori di sistema in relazione agli adempimenti di legge. |
Mancata adozione di misure minime di sicurezza |
sanzione da 20.000 a 120.000 euro |
Indicazioni dei possibili interventi (se necessari o opportuni)
Di seguito un esempio di piano di azione in relazione ai rischi e agli impatti evidenziati.
|
Obiettivi di controllo |
Note sul grado di conformità |
Azione |
Data di completamento |
In carico a |
|
Elenco degli amministratori |
Mancano le liste relative a due società terze nominate responsabili del trattamento. |
Ottenere le liste mancanti. Disdire il contratto in mancanza delle liste entro 30 giorni. |
1 giugno 2009 |
Ufficio Legale |
|
Registrazione degli accessi |
Tecnicamente non si ha evidenza del fatto che i log non siano effettivamente modificabili |
Individuare una soluzione che garantisca l’immodificabilità dei log. |
30 luglio 2009
|
Sistemi informativi
|
|
Verifiche del titolare |
Non esistono piani di formazione volti ad un costante aggiornamento degli amministratori di sistema in relazione agli adempimenti di legge |
Aggiornare il piano di formazione degli amministratori di sistema. |
15 aprile 2009 |
Ufficio Formazione |
Allegato
In allegato al presente articolo è disponibile la check list delle verifiche per "amministratore di sistema" nei formati:
Fine seconda parte
Leggi prima parte
Link utili
- Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 27 novembre 2008 (G.U. n. 300 del 24 dicembre 2008)
Chi è Panfilo Marcelli?
L’ingegner Panfilo Marcelli ha lavorato per oltre vent’anni presso primarie aziende informatiche e di consulenza (IPACRI, Euros Consulting, OASI) con incarichi, anche direttivi, in ambito Information Technology, Privacy e Protezione dei dati personali, Qualità e Certificazione ISO9000 e ISO27001, Workflow Management e Business Process Reengineering, Internet, Intranet e gestione di siti con sistemi CMS. Attualmente é socio di CMa Consulting società specializzata in servizi, consulenza e formazione in ambito Compliance, Privacy, Qualità e Sicurezza. Può essere contattato via email: p.marcelli@cmaconsulting.it
Altri articoli di Panfilo Marcelli
- Privacy – guida pratica: marketing e comunicazioni commerciali
- Privacy: stop del Garante al marketing selvaggio e alle telefonate promozionali indesiderate
- Privacy: relazione 2008 del Garante (relativa al 2007)
- Privacy – Ribadito il divieto di invio di fax ed email promozionali senza consenso
- Privacy – guida pratica: diritto d’accesso
- Privacy – Abrogazione del DPS per chi tratta solo dati sensibili relativi alla salute dei dipendenti
- Privacy – nuove semplificazioni del Garante per la PMI
- Privacy – guida pratica: videosorveglianza e registrazione di immagini
- Privacy: un esempio di DPS per la PMI (con licenza aperta)
- Glossario della Privacy
- La privacy nella piccola e media impresa:
- parte prima: il quadro di riferimento
- parte seconda: analisi dei rischi e misure di sicurezza
- parte terza: la formazione
- Cos’è la privacy? (parte prima – le domande più frequenti, parte seconda - il DPS)
- Privacy: 10 errori da evitare nella redazione o aggiornamento del DPS (prima e seconda parte)
- Privacy e Compliance: di cosa occorre tenere conto nell'aggiornamento del DPS, 2-03-2008
- Privacy: le novità normative di cui tener conto nel DPS, 27-02-2008
- Privacy: gli adempimenti per le aziende entro il 31 marzo, 18-02-2008
- Download PDF
- Versione stampabile
- 37513 letture