Sicurezza informatica e compliance alle normative

Sicurezza informatica e compliance alle normative

Negli ultimi anni, in seguito all’aumento del numero dei dati trattati, si è assistito ad un aumento della consapevolezza da parte delle organizzazioni dell’importanza delle informazioni trattate, e quindi della loro protezione, per il raggiungimento degli obiettivi di business. Vi è quindi, da parte delle organizzazioni, una crescente esigenza di “compliance”, ovvero di predisporre processi e modalità di gestione delle informazioni, che abbiano adeguati requisiti di riservatezza, tracciabilità e protezioni, richieste dalle leggi vigenti, ma anche da standard internazionali, da “best practice” e policy interne all’organizzazione.

Limitandoci all’aspetto delle normative, uno dei motivi che negli ultimi anni hanno portato molte organizzazioni alla creazione di infrastrutture di log management è l’introduzione di leggi che hanno lo scopo di regolare la protezione delle informazioni da parte delle organizzazioni, al fine di prevenire eventuali danni ad individui e ad altre organizzazioni. Un tratto comune di queste normative è l’introduzione dell’obbligo di controllo sulla sicurezza dei sistemi IT e dell’obbligo di documentare le misure e le procedure di sicurezza adottate.

Alcune normative, per lo più riguardanti gli operatori finanziari, prevedono esplicitamente forme di log management. L’unica normativa italiana che prevede esplicitamente la raccolta e la gestione di log è il “Provvedimento del Garante per la Protezione dei Dati Personali relativo agli Amministratori di Sistema”, ma occorre considerare che organizzazioni che operano sul mercato bancario e finanziario internazionale sono tenute a rispettare standard e best practice internazionali.

Di seguito vediamo più in dettaglio alcune di queste normative.

Il Testo Unico sulla Privacy (Dlgs196/2003)

Il Codice in materia di dati personali, varato il 30 giugno 2003 ed entrato in vigore il 1° gennaio 2004, riunisce tutti i provvedimenti normativi (e quindi normative) connessi con la protezione dei dati personali varati precedentemente. Il testo unico introduce (allegato B) un Disciplinare Tecnico in materia di misure minime di sicurezza. La novità più importante introdotta dal testo unico consiste nell’obbligo di creare una catena di comando formalizzata, dedicata a garanzia della privacy, in cui vengono definiti, per ciascun trattamento di dati, ruoli specifici (Titolare del trattamento, Responsabile, Incaricato) a cui corrispondono compiti e responsabilità definite. Vengono inoltre introdotte le cosiddette misure minima di sicurezza relative al trattamento di dati personali con strumenti elettronici:

  • autenticazione informatica;
  • adozione di procedure di gestione delle credenziali di autenticazione;
  • utilizzazione di un sistema di autorizzazione;
  • aggiornamento periodico dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
  • protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti dei dati, ad accessi non consentiti e a determinati programmi informatici;
  • adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
  • tenuta di un aggiornato documento programmatico sulla sicurezza;
  • adozione di tecniche di cifratura o di codici identificativi per determinati trattamentidi dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari (dati sensibili).

Di rilevante per l’ambito qui trattato vi è l’esigenza di identificare in maniera certa gli incaricati di ciascun trattamento quando questi accedono ai dati e ai sistemi che li contengono. Ciò porta a prevedere un processo per l’assegnazione dei privilegi minimi per gli operatori che hanno l’esigenza di lavorare sui soli dati, per le sole operazioni previste dal proprio ruolo e necessarie per lo svolgimento delle proprie mansioni. Il requisito di poter attribuire in modo inequivocabile le azioni compiute su un dato critico al suo effettivo autore obbliga a prevedere un sistema di tracciamento, non ripudiabile, che intervenga ad ogni livello di operazione compiuta su un dato critico.

Il controllo sull’operato degli Amministratori di Sistema

Il Provvedimento del Garante per la Protezione dei dati personali relativo agli Amministratori di Sistema, varato il 27 novembre 2008, le cui prescrizioni sono entrate in vigore il 15 dicembre 2009, nasce dalla constatazione che gli amministratori di sistema svolgono funzioni delicate che comportano la concreta capacità di accedere a tutti i dati che transitano sulle rete di aziende e pubbliche amministrazioni. Le ispezioni effettuate nel corso degli anni da parte dell’Autorità Garante hanno messo in luce in diversi casi una scarsa consapevolezza da parte delle organizzazioni di qualsiasi dimensione del ruolo svolto dagli amministratori di sistema e una sottovalutazione dei rischi che possono derivare da un’attività di questo tipo svolta senza il necessario controllo. Per questo motivo il Garante ha deciso di prescrivere l’adozione di specifiche misure tecniche e organizzative che agevolino la verifica sulla sua attività da parte di chi ha la titolarità delle banche dati e dei sistemi informatici.

Il provvedimento del Garante prescrive che l’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti di dati personali. Inoltre devono essere adottati strumenti idonei alla registrazione degli accessi logici ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Ciascuna organizzazione dovrà conservare in un documento gli estremi identificativi degli amministratori di sistema e l’elenco delle funzioni loro attribuite. Dovranno essere infine valutate con attenzione esperienza, capacità e affidabilità della persona chiamata a ricoprire il ruolo di amministratore di sistema, che deve essere in grado di garantire il pieno rispetto della normativa in materia di protezione dei dati personali, compreso il profilo della sicurezza.

Il Payment Card Industry Data Security Standard (PCI DSS)

Lo standard Payement Card Industry (PCI) Data Security Standard (DSS) regolamenta le modalità di realizzazione e di protezione dei sistemi di pagamento e delle carte che vengono utilizzate nell’ambito dei circuiti di pagamento. Questo standard si applica a tutte le infrastrutture di rete, server, sistemi di messaggistica e applicazioni utilizzate all’interno di ambienti dove sono conservati dati relative alle carte di credito o debito.

Lo standard contiene specifiche per 12 aree di controllo separate:

  1. provvedere all’installazione e manutenzione di firewall;
  2. non utilizzare dati di default forniti dal venditore come password di sistema;
  3. proteggere i dati di un proprietario di card che siano stati memorizzate in un sistema di storage aziendale;
  4. criptare i dati del possessore di card quando vengono trasmessi su qualsiasi tipo di rete;
  5. utilizzare e aggiornare con regolarità il software delle applicazioni antivirus;
  6. sviluppare e mantenere adeguatamente il sistema di sicurezza e le applicazioni;
  7. limitare l’accesso in aderenza al concetto di need-to-know, ovvero concederlo esclusivamente a coloro che hanno ottimi motivi;
  8. assegnare un ID univoco a ogni persona che abbia accesso ai computer interessati alla gestione o alla trasmissione dei dati di un proprietario di card;
  9. limitare l’accesso ai dati di un proprietario di card anche dal punto di vista fisico;
  10. effettuare il tracciamento e il monitoraggio di tutti gli accessi alle risorse e ai dati dei proprietari delle card;
  11. effettuare regolarmente il test sia del sistema di sicurezza che dei singoli processi;
  12. mantenere e aggiornare costantemente una policy che indirizzi il tema della sicurezza delle informazioni.

 

Precedente Monitoraggio della sicurezza informatica e riconoscimento degli attacchi Successivo Workflow per una strategia di log management

Lascia un commento

*