|
Pagina 1 di 2 Il 30 Giugno 2004 scadono i termini per adeguarsi al decreto legisalitvo 196/2003, estensione della legge 675/1996 sulla Privacy. Le aziende private e pubbliche dovranno entro tale limite adottare le nuove misure minime di sicurezza e redigere il Documento programmatico per la sicurezza(DPS).
Misure minime di sicurezza Analizziamo ciò che impone la legge:
Le misure vengono classificate come "minime" ed "idonee"; il mancato rispetto delle prime porta conseguenze penali. Le seconde consistono in un adeguamento ad ulteriori accorgimenti messi a disposizione dall'evoluzione tecnologica, e non specificati, (poiché impossibili da specificare una volta per tutte), la cui mancata applicazione può causare provvedimenti civili ai sensi dell'art. 15 : " Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile."
Negli art. 33 e seguenti vengono descritte le misure "minime" di protezione dei dati personali: illustreremo qui le misure minime per i dati personali trattati con l'ausilio di strumenti elettronici.
Fondamentale è l' "autenticazione informatica" (art. 34, lettera A), necessaria per l'identificazione di chi è autorizzato a trattare i dati personali, attraverso parole chiave (le "password") o caratteristiche biometriche, dette "credenziali di autenticazione" (art.34, lettera B).
La password dovrà essere composta da almeno 8 caratteri (o in caso il sistema non lo consenta il massimo possibile di caratteri); dovrà essere prima assegnata e poi modificata dall'interessato al primo utilizzo e ogni sei mesi, nel caso di trattamento di dati personali, ogni tre nel caso di trattamento di dati sensibili o giudiziari; non dovrà essere riconducibile all'interessato: sono quindi da consigliare password alfanumeriche (tale scelta può rientrare nel rispetto delle misure idonee).
L'autorizzazione del trattamento dei dati deve determinare gli specifici trattamenti ammessi e deve essere rilasciata per iscritto dal titolare con il "profilo di autorizzazione" che dovrà essere riesaminato annualmente e potrà essere compilato anche per classi omogenee di incaricati (punto 14 e 15 del Disciplinare tecnico, Allegato B).
La lettera E dell'articolo 34 individua come misura minima la " protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici"; è da intendersi qui la protezione da virus, worm ed accessi non consentiti, non solo esterni ma anche dei dipendenti, che mettano a repentaglio la sicurezza del sistema.
Il più diffuso sistema progettato per impedire accessi non autorizzati a reti private è il "firewall" (letteralmente "muro di fuoco"). Esso può essere realizzato sia via software che via hardware. Il suo utilizzo tipico è quello di impedire agli utenti provenienti da Internet l'accesso non autorizzato ad una Intranet (rete interna aziendale).
Il suo utilizzo è indispensabile.
Altro problema di sicurezza sono le vulnerabilità del software, i cosiddetti "bug" (letteralmente "baco", errore di programma) che facilitano gli attacchi informatici. Le case produttrici rilasciano di volta in volta le "patch" (letteralmente "pezza",indica un programma in grado di fornire delle modifiche ad un software migliorandone l'affidabilità e l'efficienza ) che aggiornano il programma risolvendo i bug.
Il legislatore obbliga all' aggiornamento almeno una volta all'anno; dovrebbe essere scontato per tutti che tali aggiornamenti, per avere una qualche utilità, debbano essere effettuati ad ogni uscita di nuove patch.
Per quanto riguarda la protezione dai virus (backdoor, Trojan Horse, Worm, ect.) il legislatore obbliga all'utilizzo dell'antivirus e al suo aggiornamento semestrale. Questa indicazione risulta particolarmente obsoleta poiché l'aggiornamento dell'antivirus deve essere quotidiano per risultare efficiente.
Altra misura minima è individuata nell'eseguire settimanalmente copie di backup, ossia copia di sicurezza dei file. Va da sè una parallela obbligatorietà per l'iter di salvataggio dei file attraverso la "disaster recovery" (letteralmente "recupero dai disastri"), una procedura di ripristino dell'informazione su memoria di massa che consente il recupero dei dati riportando la memoria allo stato precedente il malfunzionamento, anche se non specificata dalla legge.
|
Ydea S.r.l. P.I.07450431007
