BUONE PRASSI DI SICUREZZA INFORMATICA

Premesso che il D.Lgs. 196/2003, Codice Privacy, prescrive misure di sicurezza agli articoli 31-ss e all’Allegato B), relativo alle misure minime, questo documento mira ad indicare alcune buone prassi di sicurezza informatica relativamente alle modalità di utilizzo delle attrezzature messe a disposizione dalla Pubblica Amministrazione di appartenenza.

Controllo Accessi

Il “controllo accessi” si opera su due livelli: il primo “fisico” (accesso ai locali dell’Amministrazione), il secondo “logico” (accesso alle risorse informativo–informatiche).

L’accesso alle risorse informativo–informatiche avviene attraverso una fase di autenticazione e profili di autorizzazione (creazione, modifica, sola lettura, ecc..) che devono essere prestabiliti dall’Amministrazione.

Ogni utilizzatore dei sistemi informativi è identificato mediante un codice identificativo personale (“account”) e una “password”. Quest’ultima deve essere mantenuta riservata e devono essere codificate eventuali procedure di accesso in assenza del diretto interessato.

Gli “account” degli Utenti “cessati” devono essere prontamente disabilitati.

E’ opportuno, inoltre, prevedere la disattivazione dell’ “account” nel caso di mancato utilizzo dello stesso per un periodo superiore a tre mesi.

La “password” deve essere “robusta” (si considera tale se ha almeno otto caratteri, con lettere maiuscole e minuscole e caratteri alfanumerici) e deve essere cambiata ogni tre mesi. A tutela della segretezza, la “password” non deve contenere riferimenti facilmente desumibili da altre persone (ad es. nome e cognome, data di nascita, nome del cane, ecc.).

Protezione antivirus

Tutte le risorse informativo–informatiche devono essere protette contro il rischio di diffusione virus e più in generale dal “malware”.

La protezione avviene mediante l’utilizzo di adeguati programmi antivirus, il cui aggiornamento deve essere costante.

Protezione della rete

Tutte le risorse informativo–informatiche, utilizzate per l’interconnessione della rete locale con le reti e/o sottoreti esterne, devono essere protette con adeguate soluzioni (apparati o sistemi software, quali ad esempio routers, firewall, sistemi IDS/IPS, ecc.) in funzione delle caratteristiche tecniche dei collegamenti e del livello di esposizione al rischio.

L’accesso dall’esterno alle risorse informativo–informatiche interne deve essere assoggettato a regole di autenticazione e di autorizzazione.

Utilizzo degli strumenti

Il software impiegato nello svolgimento delle mansioni lavorative deve essere esclusivamente rilasciato e installato dalle persone autorizzate dall’Amministrazione.

E’ opportuno non solo vietare a livello di politica di sicurezza, ma anche tecnicamente inibire l’istallazione di software non autorizzati.

Tutti i dipendenti sono tenuti al corretto utilizzo delle apparecchiature informatiche e ad usarle in modo da evitare qualsiasi danneggiamento conseguente a negligenza o trascuratezza.

L’uso di Internet, della posta elettronica e comunque l’utilizzazione della postazione informatica in genere sono subordinati alle finalità afferenti le proprie mansioni.

L’Amministrazione deve specificare l’ambito consentito di utilizzo degli strumenti, anche per motivi personali, mediante un apposito disciplinare/regolamento interno.

L’Amministrazione deve, altresì, opportunamente definire una “black list” dei siti “inibiti” i cui accessi saranno bloccati perché non conformi alle politiche di utilizzo di Internet definite nel predetto disciplinare/regolamento interno.

E’ opportuno prevedere misure di backup e ripristino dei dati personali al fine di scongiurare la “perdita” dei dati.

Reimpiego, riciclaggio e smaltimenti di rifiuti di apparecchiature elettriche ed elettroniche

In caso di reimpiego di apparecchiature elettriche ed elettroniche, le misure e gli accorgimenti adottati volti a prevenire accessi non consentiti ai dati personali in esse contenuti, devono garantire l’effettiva preventiva cancellazione dei dati o la loro non intelligibilità.

In caso di smaltimento di rifiuti elettrici ed elettronici, l’effettiva cancellazione dei dati personali contenuti nei loro supporti può anche risultare da procedure che, nel rispetto delle normative di settore, comportino la distruzione dei supporti di memorizzazione di tipo ottico o magneto-ottico in modo da impedire l’acquisizione indebita di dati personali.

La distruzione dei supporti prevede il ricorso a procedure o strumenti diversi a seconda del tipo di supporto, quali: sistemi di punzonatura o deformazione meccanica; distruzione fisica o disintegrazione (usata per i supporti ottici come i cd-rom e i dvd); demagnetizzazione ad alta intensità, ecc.

Analisi dei rischi

Gli elaboratori accettano sia collegamenti interni alla rete Intranet, sia collegamenti esterni dalla rete Internet.

Tali collegamenti possono presentare rischi di accesso indesiderato derivante da intrusioni illegali.

L’Amministrazione deve effettuare l’analisi dei rischi, individuare e adottare le conseguenti misure di sicurezza a protezione di tutti gli elaboratori installati.

In particolare, l’analisi deve focalizzarsi sui rischi di distruzione o perdita, intenzionale o accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

In tal senso anche ogni Utente può, per la sua parte, contribuire individuando i rischi che possono correre i dati da lui trattati e adottando prudenti misure precauzionali di tutela, per quanto possibile.

A puro titolo esemplificativo, si elencano di seguito alcuni dei tipici fattori di rischio con alcune misure adottate dall’azienda e dettate dal buon senso e dalla tecnologia disponibile.