Privacy: nomina ad "amministratore di sistema": due diligence del titolare e check list - parte seconda

Nella prima parte  di questo articolo abbiamo analizzato gli adempimenti richiesti in relazione alla nomina ad "amministratore di sistema". In questa seconda parte ed ultima parte affrontiamo il tema delle "verifiche" che il titolare deve svolgere sull’operato dell’amministratore.

Cos’è una "due diligence"?

Il Garante nel provvedimento del 27 novembre 2008 sull’amministratore di sistema usa per la prima volta l’espressione "due diligence" per indicare "gli accorgimenti e misure, tecniche e organizzative, volti ad agevolare l'esercizio dei doveri di controllo da parte del titolare" in relazione alle mansioni svolte dagli amministratori di sistema.
Come è noto, nell’ambito dell’internal audit e dell’information security con "due diligence" si intende un’attività di analisi e verifica volta al raggiungimento di un parere di conformità (compliance) in relazione a particolari attività anche in relazione ai possibili rischi ed ai relativi impatti.
Caratteristica della "due diligence" è inoltre, a fronte dei risultati ottenuti, la predisposizione di un piano di (eventuali) azioni correttive.

In sintesi l’output della due diligence del titolare sull’amministratore di sistema deve consistere almeno nei seguenti elementi:

  1. giudizio di conformità sugli adempimenti richiesti;
  2. valutazione dei possibili rischi (e relativi impatti);
  3. indicazioni dei possibili interventi (se necessari o opportuni).

Nel seguito di questo articolo esamineremo in dettaglio ciascuno di tali aspetti.

Giudizio di conformità sugli adempimenti richiesti

Il giudizio di conformità viene realizzato dal titolare o da una terza parte indipendente rispetto ai sistemi informativi (ad esempio l’Internal Audit) mediante la verifica del rispetto degli adempimenti richiesti. A riguardo può essere utile utilizzare una "check list di controllo" come quella di seguito riportata.

Obiettivi di controllo

Presidio

Verifica effettuata

Grado di conformità

 

 

 

 

Censimento dei trattamenti

 

 

 

 

 

 

 

Tutti i trattamenti di dati personali effettuati (anche in parte) mediante strumenti elettronici sono censiti e sono indicati i relativi "amministratori di sistema".

Il regolamento aziendale XX prevede che l’inizio di qualsiasi nuovo trattamento di dati personali sia comunicato al responsabile aziendale della privacy che provvede ad aggiornare il censimento dei trattamenti

È stata presa visione dell’ultimo censimento dei trattamenti disponibile presso il responsabile aziendale della privacy e verificato che fosse completo.

1) Conforme _____

2) Non conforme ___

3) Parzialmente conforme ______

4) Non applicabile ___

 

Note (per 3 o 4):

______________

 

 

 

 

Se i trattamenti sono affidati a terze parti queste hanno comunicato al Titolare l’elenco dei relativi "amministratori di sistema".

Nei contratti di outsourcing sono inserite clausole specifiche a riguardo.

Almeno una volta l’anno viene richiesto l’aggiornamento della lista degli amministratori di sistema

È stata presa visione degli elenchi forniti dagli outsourcer.

1) Conforme _____

2) Non conforme ___

3) Parzialmente conforme ______

4) Non applicabile ___

 

Note (per 3 o 4):

______________

 

 

 

 

Se il trattamento comprende, "anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale di lavoratori" è stata resa nota e conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie organizzazioni.

L’informativa ai dipendenti prevede tale comunicazione.

L’ufficio Formazione cura attraverso la intranet aziendale gli aggiornamenti al personale relativi a tale adempimento.

È stata presa visione delle lettere di incarico.

È stata consultata la intranet per verificare la presenza di tali comunicazioni.

1) Conforme _____

2) Non conforme ___

3) Parzialmente conforme ______

4) Non applicabile ___

 

Note (per 3 o 4):

______________

 

 

 

 

Lettera di incarico

 

 

 

 

 

 

 

Per ogni "amministratore di sistema" è disponibile la lettera di incarico comprendente (al minimo):

Esiste uno standard di lettera di incarico ad "amministratore di sistema" che prevede le caratteristiche richieste dalla legge.

È stata acquisita copia dello standard.

 

  • attestazione che l’incaricato ha le caratteristiche richieste dalla legge;

 

 

 

  • elencazione analitica degli ambiti di operatività richiesti e consentiti in base al profilo di autorizzazione assegnato;

 

 

1) Conforme _____

2) Non conforme ___

3) Parzialmente conforme ______

4) Non applicabile ___

 

Note (per 3 o 4):

______________

  • indicazione delle "verifiche" almeno annuali che il titolare svolgerà sulle attività svolte dall’amministratore di sistema;

 

 

1) Conforme _____

2) Non conforme ___

3) Parzialmente conforme ______

4) Non applicabile ___

 

Note (per 3 o 4):

______________

  • indicazione che la nomina ed il relativo nominativo sarà comunicato al personale ed eventualmente a terzi nei modi richiesti dalla legge.

 

 

1) Conforme _____

2) Non conforme ___

3) Parzialmente conforme ______

4) Non applicabile ___

 

Note (per 3 o 4):

______________

 

 

 

 

Elenco degli amministratori

 

 

 

 

 

 

 

Gli estremi identificativi delle persone fisiche nominate "amministratori di sistema", con l'elenco delle funzioni ad essi attribuite, sono stati riportati nel Documento Programmatico sulla Sicurezza, oppure, nei casi in cui il titolare non sia tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante.

È stato predisposto un "elenco degli amministratori" ed allegato al Documento Programmatico sulla Sicurezza.

È stato acquisito il DPS e l’allegato relativo all’elenco degli amministratori

1) Conforme _____

2) Non conforme ___

3) Parzialmente conforme ______

4) Non applicabile ___

 

Note (per 3 o 4):

______________

 

 

 

 

Registrazione degli accessi

 

 

 

 

 

 

 

È adottato un idoneo sistema per la registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema.

In azienda è in uso il sistema ABC di gestione degli accessi logici; tale sistema prevede il log degli accessi.

È stata presa visione del sistema ABC e del manuale che ne descrive le caratteristiche

1) Conforme _____

2) Non conforme ___

3) Parzialmente conforme ______

4) Non applicabile ___

 

Note (per 3 o 4):

______________

 

 

 

 

Tali registrazioni (access log) hanno caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste.

Il log degli accessi relativi agli amministratori di sistema è protetto con credenziali specifiche che sono custodite dal Direttore Generale in busta sigillata dentro una cassaforte. Il DG non è a conoscenza delle credenziali. In caso di necessità le credenziali sono date in uso al personale tecnico e poi modificate e nuovamente assegnate al Direttore Generale.

Il sistema ABC di gestione dei log mantiene copia inalterabile dei log.

È stata presa visione delle credenziali riservate custodite dal Direttore Generale.

È stata presa visione del sistema ABC e del manuale che ne descrive le caratteristiche.

1) Conforme _____

2) Non conforme ___

3) Parzialmente conforme ______

4) Non applicabile ___

 

Note (per 3 o 4):

______________

 

 

 

 

Le registrazioni comprendono i riferimenti temporali e la descrizione dell'evento che le ha generate e sono conservate per un congruo periodo, non inferiore a sei mesi.

I log sono conservati per sei mesi.

 

Sono stati visionati i log.

1) Conforme _____

2) Non conforme ___

3) Parzialmente conforme ______

4) Non applicabile ___

 

Note (per 3 o 4):

______________

 

 

 

 

Verifiche del titolare

 

 

 

 

 

 

 

L'operato degli amministratori di sistema è verificato, con cadenza almeno annuale, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti.

Annualmente, in occasione dell’aggiornamento del Documento Programmatico sulla Sicurezza, viene verificato il rispetto degli obblighi normativi relativi all’amministratore di sistema.

È stata compilata la presente check list in occasione dell’aggiornamento del DPS:

1) Conforme _____

2) Non conforme ___

3) Parzialmente conforme ______

4) Non applicabile ___

 

Note (per 3 o 4):

______________

 

 

 

 

Per i trattamenti affidati a terze parti, queste hanno attestato per iscritto di aver effettuato, con cadenza almeno annuale, le verifiche sui relativi amministratori di sistema in modo da controllare la rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti.

Annualmente, in occasione dell’aggiornamento del Documento Programmatico sulla Sicurezza, viene richiesta alle terze parti che hanno in outsourcing trattamenti di dati personali dell’azienda, l’attestazione sulle verifiche del rispetto degli obblighi normativi relativi all’amministratore di sistema.

Sono state visionate le attestazioni da parte degli outsourcer.

1) Conforme _____

2) Non conforme ___

3) Parzialmente conforme ______

4) Non applicabile ___

 

Note (per 3 o 4):

______________

 

 

Valutazione dei possibili rischi (e relativi impatti)

Il giudizio di conformità può portare all’individuazione di possibili rischi in particolare nel caso siano evidenziati "obiettivi di controllo" non completamente compliant.
Vediamo un esempio. 

 

Obiettivi di controllo

Grado di conformità

Note sul grado di conformità

Rischi

Impatti

 

 

 

 

 

Censimento dei trattamenti

Conforme

 

 

 

Lettera di incarico

Conforme

 

 

 

Elenco degli amministratori

Parzialmente conforme

Mancano le liste relative a due società terze nominate responsabili del trattamento.

Rischio di accesso non autorizzato

Rischio di trattamento non consentito o non conforme alle finalità della raccolta

sanzione da 20.000 a 120.000 euro

Registrazione degli accessi

Parzialmente conforme

Tecnicamente non si ha evidenza del fatto che i log non siano effettivamente modificabili.

Rischio di distruzione o perdita, anche accidentale, dei dati

Rischio di accesso non autorizzato

Rischio di trattamento non consentito o non conforme alle finalità della raccolta

 

sanzione da 20.000 a 120.000 euro

Verifiche del titolare

Parzialmente conforme

Non esistono piani di formazione volti ad un costante aggiornamento degli amministratori di sistema in relazione agli adempimenti di legge.

Mancata adozione di misure minime di sicurezza

sanzione da 20.000 a 120.000 euro

 

 

Indicazioni dei possibili interventi (se necessari o opportuni)

Di seguito un esempio di piano di azione in relazione ai rischi e agli impatti evidenziati.

 

Obiettivi di controllo

Note sul grado di conformità

Azione

Data di completamento

In carico a

Elenco degli amministratori

Mancano le liste relative a due società terze nominate responsabili del trattamento.

Ottenere le liste mancanti.

Disdire il contratto in mancanza delle liste entro 30 giorni.

1 giugno 2009

Ufficio Legale

Registrazione degli accessi

Tecnicamente non si ha evidenza del fatto che i log non siano effettivamente modificabili

Individuare una soluzione che garantisca l’immodificabilità dei log.

30 luglio 2009

 

Sistemi informativi

 

Verifiche del titolare

Non esistono piani di formazione volti ad un costante aggiornamento degli amministratori di sistema in relazione agli adempimenti di legge

Aggiornare il piano di formazione degli amministratori di sistema.

15 aprile 2009

Ufficio Formazione

 

Allegato

In allegato al presente articolo è disponibile la check list delle verifiche per "amministratore di sistema" nei formati:

  • openoffice 3.0 (odt, 23 K 6 pp)
  • word 97/2003 (doc, 88 K 6 pp)
  • pdf (pdf, 108 K, 6 pp)

Fine seconda parte

Leggi prima parte

Link utili

Chi è Panfilo Marcelli?

L’ingegner Panfilo Marcelli ha lavorato per oltre vent’anni presso primarie aziende informatiche e di consulenza (IPACRI, Euros Consulting, OASI) con incarichi, anche direttivi, in ambito Information Technology, Privacy e Protezione dei dati personali, Qualità e Certificazione ISO9000 e ISO27001, Workflow Management e Business Process Reengineering, Internet, Intranet e gestione di siti con sistemi CMS. Attualmente é socio di CMa Consulting società specializzata in servizi, consulenza e formazione in ambito Compliance, Privacy, Qualità e Sicurezza. Può essere contattato via email: p.marcelli@cmaconsulting.it 

Altri articoli di Panfilo Marcelli

 

ComplianceNet: