Conduzione degli audit DPO: uno strumento operativo
Novembre 10, 2020Una guida con tutti i passi da intraprendere per svolgere correttamente gli audit sull’amministratore di sistema, figure fondamentali di cui il DPO deve accertare la piena compliance al GDPR
L’amministratore di sistema è la figura chiave nella gestione, manutenzione e protezione dei sistemi informativi: l’attività di audit del DPO assume pertanto grande importanza per verificare che svolga la sua funzione secondo quanto richiesto dalla norma. Le attività di audit si differenziano e si adattano in funzione dei processi organizzativi da controllare e delle strutture informative esistenti. Vediamo come condurre un audit sugli amministratori di sistema in modo essenziale.
Riferimenti normativi
Da sottolineare i riferimenti normativi:
- Provvedimenti del Garante per la protezione dei dati personali del 2008 e 2009 – Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema.
- Il DPO, ai sensi dell’art. 39 del GDPR, svolge i seguenti compiti: (i) informare e fornire consulenza in materia di protezione dei dati personali; (ii) sorvegliare l’osservanza del GDPR; (iii) fornire, se richiesto, un parere in merito alla DPIA (valutazione d’impatto sulla protezione dei dati personali); (iv) cooperare con l’autorità di controllo e (v) fungere da punto di contatto per quest’ultima.
Funzioni dell’Amministratore di sistema
L’amministratore di sistema si occupa di gestire il sistema informatico, nel quale risiedono le banche dati personali, in osservanza del nuovo Codice della privacy (D.lgs. n. 101/18), GDPR 679/16 e sue successive modifiche ed aggiornamenti, attenendosi anche alle disposizioni del Titolare (e/o del Responsabile, qualora nominato) in tema di misure di sicurezza minime ed adeguate al rischio Privacy. Inoltre, si occupa di predisporre ed aggiornare un sistema di sicurezza informatico idoneo a rispettare le prescrizioni del D.lgs. n. 101/2018 e degli artt. 30, 32, 35 e 36 del GDPR 679/16, adeguandolo anche alle eventuali future norme in materia di sicurezza.
Più specificatamente, in base alle sopra citate norme vigenti, fatte salve le successive integrazioni dello stesso, il responsabile dei sistemi informatici dovrà:
- assegnare e gestire il sistema di autenticazione informatica secondo le modalità indicate nel Disciplinare tecnico e quindi, fra le altre, generare, sostituire ed invalidare, in relazione agli strumenti ed alle applicazioni informatiche utilizzate, le parole chiave ed i Codici identificativi personali da assegnare agli incaricati del trattamento dati, svolgendo anche la funzione di custode delle copie delle credenziali;
- procedere, più in particolare, alla disattivazione dei Codici identificativi personali, in caso di perdita della qualità che consentiva all’utente o incaricato l’accesso all’elaboratore, oppure nel caso di mancato utilizzo dei Codici identificativi personali per oltre 6 (sei) mesi;
- adottare adeguati programmi antivirus, firewall ed altri strumenti software o hardware atti a garantire la minima ed adeguate protezione dei dati personali nel rispetto di quanto dettato dal Dlgs.101/2018 e GDPR 679/16 ed utilizzando le conoscenze acquisite in base al progresso tecnico software e hardware, verificandone l’installazione, l’aggiornamento ed il funzionamento degli stessi;
- adottare tutti i provvedimenti necessari ad evitare la perdita o la distruzione, anche solo accidentale, dei dati personali e provvedere al ricovero periodico degli stessi con copie di back-up, vigilando sulle procedure attivate in struttura. Il responsabile dei sistemi informatici del trattamento dovrà anche assicurarsi della qualità delle copie di back-up dei dati e della loro conservazione in luogo adatto e sicuro;
- indicare al personale competente o provvedere direttamente alla distruzione e smaltimento dei supporti informatici di memorizzazione logica o alla cancellazione dei dati per il loro reimpiego, alla luce del Provvedimento del Garante per la Protezione dei Dati personali del 13 ottobre 2008 in materia di smaltimento strumenti elettronici;
- cooperare nella predisposizione del documento programmatico sulla sicurezza (qualora la Società fosse tenuta alla sua redazione) per la parte concernente il sistema informatico ed il trattamento informatico dei dati;
- predisporre ed implementare le eventuali ulteriori misure minime di sicurezza imposte dal Disciplinare tecnico per il trattamento informatico dei dati sensibili e giudiziari, e per la conseguente tutela degli strumenti elettronici;
Inoltre si occuperà di:
- coordinare assieme al Titolare (e/o al Responsabile e/o al Data Protection Officer, qualora nominati) le attività operative degli incaricati del trattamento nello svolgimento delle mansioni loro affidate per garantire un corretto, lecito e sicuro trattamento dei dati personali nell’ambito del sistema informatico;
- collaborare con il Titolare (e/o con il Responsabile, qualora nominato) per l’attuazione delle prescrizioni impartite dal Garante;
- comunicare prontamente al Titolare (e/o al Responsabile, qualora nominato) qualsiasi situazione di cui sia venuta a conoscenza, nell’espletamento delle attività di esecuzione dell’incarico professioanle assegnato, che possa compromettere il corretto trattamento informatico dei dati personali;
- predisporre ed attuare un idoneo sistema di controllo periodico sull’operato dei propri amministratori, fornendo, inoltre, un rapporto periodico (ogni sei mesi) al Titolare del trattamento sulla correttezza dell’attività di queste persone rispetto alle misure di sicurezza adottate ed alle mansioni attribuite;
- adottare e gestire sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte di tutte le persone qualificate amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti allo “username” utilizzato, i riferimenti temporali e la descrizione dell’evento (log in e log out) che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.
Check list per l’audit
L’audit ha come obiettivo la verifica dell’applicazione delle misure di sicurezza atte a garantire l’integrità, la disponibilità, il ripristino dei dati. Pertanto è necessario eseguire i seguenti controlli:
- Come è impostato il sistema di controllo sulle credenziali di autenticazione da parte degli incaricati.
- È presente un sistema per la registrazione degli accessi logici.
- Verificare la configurazione dei sistemi relativamente a chi e come può accedere ai log, con quali permessi e se può modificarli.
- Sono presenti le istruzioni impartite agli incaricati per la custodia della segretezza delle credenziali.
- È presente la policy sulla sicurezza, sulle regole d’inserimento e reset delle password.
- È presente la procedura che descriva il processo di assegnazione e revoca delle utenze.
- Sono presenti istruzioni per la custodia delle copie delle credenziali.
- È presente l’elenco dei AdS e la corrispondenza con le utenze di power user sui vari sistemi.
- Verificare che gli AdS abbiano tutte le informazioni per configurare i sistemi.
- Verificare che gli AdS abbiano gli strumenti idonei alla cancellazione sicura dei supporti rimovibili su cui sono memorizzati dati.
- E’ presente la procedura di notifica di violazione dei dati personali (data breach policy)
- Sono presenti procedure di back-up, disaster recovery e business continuity.
- Se l’attività di AdS è affidata in outsourcing verificare che nella nomina di Responsabile Esterno siano indicate e garantite le misure di sicurezza.
Quanto sopra esposto, è un macro elenco dei controlli da eseguire. I risultati dell’audit vanno formalizzati in un report e per la stesura si può seguire la metodologia indicata dalla ISO 9004 sia per la visualizzazione grafica sia per la definizione delle classi e conseguente punteggio.
Fonte: Claudio Solera per cybersecurity360.it