| |
Torna al grafico |
|
|
| PRIVACY 2004 |
|
 Cultura-Privacy-Tecnologia
La Gazzetta Ufficiale del 29 luglio 2003,(decreto legislativo 30 giugno 2003, n. 196) ha pubblicato il nuovo Codice in materia di protezione dei dati personali, la cosidetta "privacy", che sostituisce a partire dal 1° gennaio 2004 la legge n. 675/1996 e le molte disposizioni di legge e di regolamento ad essa inerenti.Il provvedimento,sulla base dell'esperienza di 6 anni,contiene importanti innovazioni tenendo conto anche della "giurisprudenza" del Garante e della direttiva Europea 2000/58 sulla riservatezza nelle comunicazioni elettroniche.
Il DL 196 costituisce un positivo salto di qualità sul tema della privacy e a livello tecnico,con il Disciplinare dell' Allegato B),definisce in maniera ragionevolmente dettagliata le logiche per un moderno e più efficace controllo degli accessi e disponibilità (back-up e disaster recovery) per i dati personali;per un'azienda/ente è conveniente non limitarsi ai requisiti minimi per i dati personali ma sfruttare gli obblighi del nuovo Codice per aggiornare e migliorare il proprio sistema di sicurezza "globale" ICT.Per adempiere agli obblighi di legge è forse più facile ottenere un budget per un vero Disaster Recovery e per apportare modifiche all'attuale situazione di sicurezza organizzativa, fisica e logica.Grazie al Codice si potrà controllare e aggiornare periodicamente l'intero sistema di sicurezza ICT,verificandone la tenuta con opportuni "penetration test" e rifacendo,con scadenza almeno annuale, un'analisi dei rischi. |
• Inventario HW e SW in automatico.
• Assegnazione delle postazioni alle persone e relative filiali /Uffici.
• Inventario dei vari DB Clienti, Fornitori e relative persone di relazione.
• Identificazione del tipo di dato, sua diffusione,tipo di trattamento, valore e rischio a cui è sottoposto per definire poi le corrette politiche di sicurezza.
• La traccia delle misure da adottare immediatamente, a breve e lungo termine.
• La pianificazione della formazione.
• La gestione dell'audit interno.
• L'archiviazione e distribuzione del D.P.S.
• Delle procedure, istruzioni di lavoro.
• Sono già una trentina i moduli predisposti da utilizzare nelle varie fasi della gestione corredati della norma di riferimento predisposti e verificati da due legali.
• L'intero testo del D.Lgs. e sua interpretazione.
• Allegati tecnici che permettano di supportare i tecnici nella gestione del'infrastruttura informatica aziendale.Sono già disponibili una serie di tools per verificare i punti critici in automatico di tutti i PC della rete aziendale.
• Un archivio personale,criptato e protetto,per la archiviazione delle proprie password.
• La procedura che avvisa e controlla se le persone hanno cambiato le password con la frequenza definita nel proprio Documento Programmatico della Sicurezza.
|
|
|
 E' stato scritto per fare l'inventario di tutti i pc e server ,in ambiente windows xx presenti nella propria rete che hanno installato Lotus Notes/Domino 5 and 6.E' di grande aiuto per rilevare,in automatico, una trentina di parametri relativi all'Hardware ed la lista del Software installato.Ogni postazione viene associata ad una persona che avrà una sede, un ruolo ed un ID che identifica la postazione.L'applicativo può essere utilizzato per fare il traking degli spostamenti dei PC,monitorare,anche giornalmente se viene installato del nuovo SW nei PC.Sono predisposte,infatti,delle viste per permettere all'amministratore di visualizzare tutti i PC che hanno installato dei nuovi programmi.Utilissima la funzione che permette di rilevare la capacità del disco,sia totale che disponibile,delle unità di archiviazione dei dati.E' prevista la stessa funzione per la memoria RAM.
|
|
|
|
Vista parametri rete |
Vista invent. SW |
Vista invent. HW |
Vista invent. SW-HW |
|
|
 E' un database strutturato per permettere a persone senza particolari conoscenze legali e/o informatiche di inserire,in modo preciso,veloce e semplice i dati.In poco tempo possiamo così conoscere la loro identificazione, localizzazione e diffusione,tipo di trattamento, l'identificazione del rischio,valore sia economico che strategico aziendale e permettere così di assegnare le politiche di sicurezza adeguate. Permette di pianificare le azioni a breve,medio e lungo termine.Viene infine definito un piano adeguato di formazione aziendale.Il passo è breve per stendere il Documento Programmatico della Sicurezza in quanto non è che la riscrittura o ristampa, dei dati appena raccolti.Bisogna poi definire le procedure e le istruzioni di lavoro specifiche,le lettere d'incarico,pianificare l'audit interno.
|
|
|
|
Immissione Dati |
Classif. Dati elettronici |
Classif. Dati cartacei |
Distrib. Documenti |
|
|
E' proprio per rispondere a queste precise esigenze abbiamo creato una serie di altri applicativi per l'archiviazione, distribuzione e rapida consultazione dei documenti che si devono redigere nelle varie fasi operative.A questo archivio avranno un accesso controllato tutti quelli sono coinvolti nel trattamento dati e sicurezza aziendale.
 Il titolare ed i responsabili del trattamento potranno vedere anche ai documenti superati ed in approvazione mentre le altre persone potranno accedere solo a quelli in vigore.
L'archivio viene fornito con una serie di documenti indispensabili ad alleggerire il lavoro:
• Un esempio di Documento Programmatico della Sicurezza.
• Una trentina di fac-simile di testi da utilizzare per la nomina delle varie figure coinvolte nel processo,esempi di privacy da inserire nel proprio sito,esempi di istruzioni operative ed incarico,Consenso al trattamento dei CV,es. di annotazione sul bilancio aziendale,es. consenso al trattamento per Clienti e Fornitori,dichiarazione di possesso dei dati,ecc. Questi testi sono accompagnati anche del testo della norma che li cita o della sua interpretazione.
• L'intero testo della legge.
• Una serie di allegati tecnici dedicati soprattutto all'amministratore degli applicativi e della sicurezza informatica in azienda per avere a disposizione una serie di programmi che permettano di analizzare ed evidenziare i punti di debolezza del sistema operativo dei vari PC,del server e firewall.Offre dei suggerimenti per verificare chi si è connesso al proprio PC, link a siti importanti che offrono servizi e suggerimenti gratuiti. Linee guida sulla sicurezza dei sistemi e delle reti d'informazione dell'AIPA e dell'OCSE.
• Serie di testi ed indicazioni del garante per quanto concerne l'uso delle e-mail per attività di marketing.
• La schedulazione delle attività di audit interno e la loro visualizzazione nella propria agenda.
|
|
Audit Agenda |
Vista audit per persona |
|
|
La normativa dice che bisogna cambiare le password con una certa frequenza che varia in funzione del tipo di dato.L'applicativo vuole essere un contenitore cifrato di tutte le password centralizzato;si occupa poi di ricordare e costringere (solo per Lotus) a cambiare le proprie password verificando se sono state effettivamente cambiate.
Testato su Domino e Notes 6.5 |
|
|
 |
