MEDIA SYSTEM
Privacy Servizio
;){kind=link}
Adeguamento Organizzativo
Le persone che lavorano in azienda, per lavorare in modo coordinato e per il raggiungimento di uno scopo comune, hanno bisogno di essere inquadrati in modo preciso nella realtà aziendale e di operare secondo regole comuni.
Da qui l’importanza di definire la struttura organizzativa individuando e nominando ufficialmente i vari ruoli aziendali.
Un ruolo aziendale non è rappresentato solo dalla persona chiamata a ricoprirlo, ma anche dai compiti e dalle responsabilità proprie dello stesso. E’ quindi indispensabile che per ogni ruolo, o per ogni raggruppamento di ruoli, vi siano delle regole scritte, formalizzate in manuali interni o integrate nella lettera d’incarico.
Il Titolare deve:
Definire la struttura organizzativa.
Nominare formalmente con una lettera d’incarico le varie figure.
Definire le procedure interne che regolano i compiti di ogni figura
La scelta della gerarchia migliore dipende dalle capacità delle persone coinvolte.
E’ importante precisare che la struttura non è necessariamente rigida, ma spetta al Titolare scegliere quella che più si addice alla sua realtà aziendale.
Nella maggior parte delle aziende si è soliti trovare più ruoli attribuiti ad una stessa persona: nei piccoli uffici è probabile che l’amministratore di sistema sia anche il responsabile della sicurezza informatica ed il custode delle password. La presenza di persone distinte per ogni ruolo è un’esigenza che fa capo principalmente ad aziende medio-grandi.
Definire la struttura organizzativa individuando e nominando con apposita lettera d’incarico le seguenti figure:
Figure esplicitamente nominate e definite nel D.Lgs. 196/2003
Il Garante: l’autorità istituita dalla legge n. 675 del 31 dicembre 1996 che tutela la riservatezza dei dati personali.
L’Interessato: la persona fisica, la persona giuridica, l’ente o l’associazione cui si riferiscono i dati personali.
Il Titolare: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza.
Il Responsabile: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali.
L’Incaricato: le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile.
Altre figure individuate per una corretta gestione della sicurezza.
L’Amministratore di sistema: persona responsabile dell’amministrazione di determinati strumenti elettronici. Può essere l’incaricato responsabile della sua postazione o una persona alla quale compete l’amministrazione di più postazioni.
Il Responsabile della sicurezza informatica: persona con conoscenze informatiche adeguate a garantire la sicurezza informatica in azienda. Prepara il piano di sicurezza aziendale scegliendo gli strumenti e le procedure più idonee per salvaguardare gli strumenti informatici aziendali ed i dati contenuti o passanti per essi.
Il Manutentore di sistema: persona che si occupa degli interventi tecnici hardware e software sugli strumenti elettronici. Ad esempio: installazione antivirus, sostituzione componenti hardware, configurazione della rete…
Il Custode delle password: persona incaricata alla custodia delle parole chiave delle credenziali di autenticazione delle persone incaricate al trattamento dati.
L’Incaricato al controllo dei locali: persona responsabile dell’accesso ai locali nei quali si effettuano i trattamenti.
Il Professionista esterno: professionista esterno chiamato a prestare il suo servizio utilizzando i dati personali raccolti dall’azienda ed a lui affidati. Ad esempio il commercialista.
L’Esterno che accede ai locali: persona che per motivi ben definiti accede ai locali nei quali vengono trattati i dati personali.
Ricordiamo che è possibile attribuire più ruoli ad una stessa persona, in questa circostanza si può predisporre una sola lettera d’incarico comprendente più ruoli.
Per garantire la continuità dell’attività è bene che alcuni ruoli siano assegnati ad almeno due persone diverse o che si predispongano dei regolamenti interni grazie ai quali si potranno attivare delle procedure idonee a sopperire alla momentanea mancanza di una figura.
E’ opportuno individuare un elenco di professionisti esterni che possano intervenire prontamente al verificarsi di un evento che possa pregiudicare la continuità dell’attività aziendale.
L’elenco dovrà essere organizzato in una tabella.
NOME ATTIVITA' TELEFONO …
Hardware Srl Assistenza Hardware …
Mario Rossi Recupero Dati …
Alle figure devono essere date precise indicazioni per l’espletamento della loro funzione lavorativa. Vi è quindi la necessità di predisporre dei manuali operativi nei quali siano indicati con precisione i compiti e le responsabilità proprie del ruolo.
Le procedure che il Titolare deve regolamentare sono:
Accesso ai locali del trattamento
Accesso agli archivi cartacei
Utilizzo dei sistemi informatici
Utilizzo di Internet
Utilizzo della posta elettronica
Procedura di backup e ripristino
Procedura per l’esercizio dei diritti degli interessati
Piano di formazione
Aggiornamenti
Spesso i programmi, al momento del loro rilascio, non sono perfetti, ma possiedono le cosiddette falle (bug), cioè errori più o meno seri che possono influire sulla sicurezza del sistema informatico.
L’aggiornamento che viene consigliato maggiormente è quello dell’antivirus, ma è altrettanto importante aggiornare i software applicativi, come i gestionali, e i sistemi operativi, specialmente se si tratta di Windows.Su quest’ultimo bisogna fare particolare attenzione perché la maggior parte dei sistemi informatici si basa su questo software, e, purtroppo, non è e non sarà mai esente da bug.
I sistemi operativi sono software molto complessi da realizzare ed è praticamente impossibile prevedere tutte le possibili vulnerabilità presenti e future prima del lancio sul mercato.
Fortunatamente, ogni qualvolta viene scoperto un errore, la casa produttrice, in questo caso Microsoft, si adopera affinché questo venga risolto, rilasciando le cosiddette patch (pezze), ossia aggiornamenti gratuiti del software che eliminano l’errore o, nel peggiore dei casi, lo limitano.
Non solo, ma spesso vengono rilasciati dei pacchetti di aggiornamento che non solo eliminano gli errori fino a quel momento riscontrati, ma aggiungono anche funzionalità all’intero software, migliorando sostanzialmente il prodotto.
ATTENZIONE: Un sistema che viene utilizzato dagli hackers è l'invio a mezzo e-mail di programmi presentati come aggiornamento di software fornito dal relativo produttore. Questo metodo è responsabile della diffusione di virus.
Nei messaggi è specificato che gli allegati contengono aggiornamenti per prodotti software di Microsoft o altri fornitori, in realtà si tratta di programmi pericolosi che al momento dell'esecuzione possono danneggiare i programmi e i dati sul computer.
Importante:il software Microsoft non viene mai distribuito direttamente tramite posta elettronica.
Il software è distribuito su supporti fisici come CD-ROM e dischi floppy.
Gli aggiornamenti sono distribuiti via Internet, dal sito Web di Microsoft, citato in precedenza.
Talvolta Microsoft invia comunicazioni tramite posta elettronica per segnalare ai clienti la disponibilità degli aggiornamenti. Questi messaggi tuttavia contengono solo i collegamenti ai siti di download: in nessun caso il software viene allegato al messaggio di posta elettronica. I collegamenti inoltre puntano sempre al sito Web o FTP di Microsoft, non a siti di terze parti.
Microsoft utilizza costantemente la tecnologia Authenticode per certificare con firma digitale i propri prodotti e assicurare che non siano stati alterati.
Se ricevete un messaggio di posta elettronica che indica che il software allegato è inviato da Microsoft, non eseguite l'allegato ed eliminate il messaggio. È anche possibile inoltrare il messaggio al provider di servizi Internet del mittente. La maggior parte dei provider fornisce un alias di posta elettronica per la segnalazione di questo tipo di problemi.
COSA FARE PER ADEGUARE LA PROPRIA AZIENDA
A seguito delle direttive contenute nel Misure minime del D.Lgs. 196/2003, molte software house hanno rilasciato diversi aggiornamenti per adeguare i propri prodotti. E’ quindi importante controllare l’esistenza di aggiornamenti per tutti i software utilizzati, e nel caso contrario, sostituirli con programmi che invece garantiscano l’adeguamento.
N.B.: Il D.Lgs. 196/2003 impone l’aggiornamento periodico dei programmi utilizzati dal sistema informativo almeno annualmente, semestralmente in caso di trattamento di dati sensibili e giudiziari
AntiMalware non virale
In aggiunta ai virus, stanno diffondendosi rapidamente altre minacce cibernetiche quali spyware e adware, tanto da rappresentare un serio rischio per la sicurezza e la privacy, oltre a costituire una grave causa di degrado delle prestazioni dei PC. Queste applicazioni indesiderate, conosciute comunemente come "pests" o "malware non-virale", non sono rilevate dai programmi anti-virus e rappresentano un pericolo crescente per la sicurezza di qualsiasi tipo di azienda.
Nell'aprile del 2004, EarthLink, importante Internet service provider, ha dichiarato di aver rilevato in media quasi 28 agenti "spia" su ogni PC analizzato durante alcune operazioni di controllo effettuate nel primo trimestre.
Perchè è necessario approntare una nuova infrastruttura di sicurezza per questi tipi di malware? E' necessario perchè questi "virus" possono bucare i firewall e i sistemi IDS e il più delle volte non vengono rilevati dagli antivirus. Ecco come fanno:
Una volta ottenuto l'accesso ad una postazione in rete, questi malware possono assumere l'identità di utenti reali e trasmettere indietro le informazioni richieste dall'hacker.
COSA FARE PER ADEGUARE LA PROPRIA AZIENDA
Occorre dotarsi di software per completare la protezione fornita dai software antivirus, firewall e sistemi di intrusion detection rilevando e rimuovendo spyware, adware, trojan, agenti per attacchi "denial-of-service" e altre subdole minacce provenienti da web e introdotte tramite backdoor aperte su PC stand-alone o collegati in rete.
COSA FARE NELLO SPECIFICO
La configurazione di un AntiSpyware (o più correttamente un Anti-Malware non virale), come per gli antivirus, non presenta particolari problemi, poiché è quasi sempre automatica. Spesso è soltanto necessario scegliere il livello di protezione desiderato ed il software si autoconfigura nella maniera più opportuna.
Antivirus
Un virus informatico è un programma eseguibile da un computer, che ha le seguenti caratteristiche:
Ha la capacità di "inglobarsi" cioè confondersi alle istruzioni di altri programmi presenti modificandoli;
E’ in grado di replicarsi, ossia di copiare se stesso in altri programmi;
Passato un certo tempo prestabilito, necessario per effettuare la "replicazione", il virus comincia ad agire eseguendo ciò per il quale è stato scritto che, per esempio, può essere distruggere o prelevare dati e/o programmi presenti sul computer.
I virus non sono capaci di un comportamento autonomo: tutto ciò che sono in grado di fare è stato puntualmente previsto, come per qualsiasi programma di computer, dai programmatori che li hanno elaborati.
Una volta conosciuta la loro struttura, i virus sono facilmente identificabili ed eliminabili da programmi, detti appunto Antivirus, scritti appositamente; questi ricercano negli altri programmi presenti sul computer la sequenza di istruzioni che caratterizza il virus; ciò è però possibile solo se i virus sono noti, e cioè se è nota, almeno in parte, la sequenza di istruzioni con cui sono stati scritti,diversa per ogni virus.
I virus possono essere trasferiti da un computer all'altro con incredibile facilità.
Avere un virus sul proprio pc è quasi sempre sinonimo di perdita di dati e di tempo prezioso. E' quindi indispensabile installare un buon software antivirus per non avere spiacevoli e dispendiose interruzioni di lavoro.
COSA FARE PER ADEGUARE LA PROPRIA AZIENDA
Gli Antivirus in commercio sono tutti efficaci, specie se si scelgono quelli delle maggiori case produttrici come Symantec, McAfee, Panda, ecc…, questo perché si può contare su una maggiore attività di ricerca e monitoraggio da parte delle stesse sui virus in circolazione.
La semplice installazione di un antivirus non garantisce automaticamente la protezione necessaria per essere sicuri, ma è necessario un continuo aggiornamento perchè i produttori di virus sono in continua attività.
Autenticazione
Per autenticazione si intende l’insieme degli strumenti elettronici (elaboratori, programmi, dispositivi elettronici, etc…) e delle procedure per la verifica univoca, anche indiretta, dell’identità dell’incaricato alle operazioni di trattamento dei dati personali,ossia la persona fisica autorizzata dal titolare o dal responsabile a compiere tali operazioni.
L’incaricato dovrà avere delle credenziali di autenticazione, ossia dati e/o dispositivi in possesso dello stesso incaricato, da questo conosciuti e ad esso univocamente correlati, utilizzati per l’autenticazione informatica.
Innanzitutto bisogna dotare gli incaricati di credenziali d’autenticazione che consentano il superamento di una procedura d’autenticazione relativa ad un specifico trattamento o ad un insieme di trattamenti.
Tale scelta è a cura del titolare e/o del responsabile ove designato.
Ad ogni incaricato possono essere assegnate ed associate una o più credenziali per l’autenticazione e gli incaricati devono adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso e ad uso esclusivo dell’incaricato. Inoltre essi non devono lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento.
N.B.: E’ consigliabile adottare una valida politica di autenticazione in quanto questa operazione occuperà un ruolo centrale e fondamentale della sicurezza aziendale, probabilmente il più importante; una cattiva politica di autenticazione mette a rischio l’intero sistema, anche se si posseggono strumenti di protezione di alto livello.
La parola chiave, quando è prevista dal sistema di autenticazione, deve essere composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non deve contenere riferimenti agevolmente riconducibili all’incaricato e deve essere modificata da quest’ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave deve essere modificata ogni tre mesi.
Il codice d’identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi.
Le credenziali di autenticazione non utilizzate da almeno sei mesi devono essere disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica. La disattivazione vi deve essere anche in caso di perdita della qualità che consente all’incaricato l’accesso ai dati personali.
Nel caso in cui l’accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l’autenticazione, devono essere impartite preventivamente idonee disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità dei dati o strumenti elettronici in caso di prolungata assenza o impedimento dell’incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e sicurezza del sistema.
In tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l’incaricato dell’intervento effettuato.
Autorizzazione
Per autorizzazione si intende l’insieme degli strumenti e delle procedure che abilitano l’accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione dell’incaricato, ossia dell’insieme d’informazioni, univocamente associate allo stesso, che consente di identificare a quali dati esso può accedere, nonché i trattamenti ad esso consentiti.
COSA FARE PER ADEGUARE LA PROPRIA AZIENDA
I profili di autorizzazione, per ciascun incaricato o classi omogenee di incaricati, devono essere individuati e configurati anteriormente all’inizio del trattamento, in modo da limitare l’accesso ai soli dati necessari per effettuare le operazioni di trattamento. Periodicamente, e comunque almeno annualmente, deve essere verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione.
COSA FARE NELLO SPECIFICO
Si deve provvedere alla determinazione di una politica di autorizzazione, ossia per ogni persona deve essere chiaro cosa egli può fare e cosa no, quali programmi può utilizzare e con quali privilegi, a quali dati egli può avere accesso e come li può utilizzare.
Per la gestione delle autorizzazioni vi sono in commercio diversi strumenti software che aiutano nella gestione degli utenti, specie in aziende complesse, dove il numero di dipendenti particolarmente elevato richiede l’utilizzo di software appositi.
Backup e Ripristino
I dati contenuti nel computer rappresentano una ricchezza aziendale.
La perdita di dati importanti può produrre effetti catastrofici. Se poi si considerano le problematiche legali che possono scaturire dalla perdita di dati personali, si conclude che proteggere i dati significa proteggere l’azienda.
L’adozione di un efficiente ed efficace sistema di backup, ossia produrre copie di riserva dei dati, è un’attività fondamentale della realtà aziendale. I computer, come qualunque altra apparecchiatura hardware, sono soggetti ad usura nel tempo e quindi è probabile che prima o poi si danneggino e causino la perdita dei dati contenuti in essi.
Inoltre, occorre tener presente che l’errore umano è sempre in agguato, spesso sono proprio i dipendenti a cancellare inavvertitamente i dati.
E' perciò buona norma eseguire backup frequenti, almeno settimanali, come previsto dalla legge,o meglio quotidianamente benché possa risultare noioso, ma al verificarsi di una perdita di dati, avere un backup aggiornato a disposizionepuò salvare l’azienda da spiacevoli conseguenze, soprattutto di carattere legale.
Principali cause di danneggiamento o perdita dati:
Errore materiale, ossia carenza di consapevolezza, disattenzione o incuria;
Azione di virus informatici o di programmi suscettibili di recare danno;
Malfunzionamento, indisponibilità o degrado degli strumenti;
Sottrazione di strumenti contenenti dati;
Eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi, allagamenti, condizioni ambientali…), nonché dolosi, accidentali o dovuti a incuria.
COSA FARE PER ADEGUARE LA PROPRIA AZIENDA
Un sistema di backup comprende sia una soluzione software per la gestione dello stesso, sia una soluzione hardware per immagazzinare le copie di riserva dei dati.
Il sistema di backup più semplice ed economico da porre in essere consiste nell’utilizzare una soluzione hardware (es. masterizzatore CD) in aggiunta alla soluzione software nativa del sistema operativo Windows, quindi già presente nel computer.Questa soluzione prevede che i dati da proteggere debbano essere contenuti in macchine con sistemi operativi a partire da Windows NT, questo perché i sistemi operativi precedenti non hanno al loro interno un sistema software per il backup, oppure, nel caso in cui i computer siano in rete, è necessario che almeno un computer abbia la caratteristica suddetta.
In caso contrario, l’adeguamento è comunque realizzabile, ma richiede l’utilizzo di software esterni dedicati.
La tecnologia mette a disposizione diversi prodotti dalle caratteristiche e dai prezzi adatti alle più svariate esigenze.
E’ importante effettuare una valutazione tenendo conto, oltre che delle proprie esigenze, anche di tutti gli altri aspetti relativi alla sicurezza.
Crittografia
Difendere la privacy è diventato un punto cardine della realtà aziendale.
L’utilizzo di archivi elettronici nei quali sono immagazzinate sempre più informazioni personali, aumenta conseguentemente la necessità di adottare forme di controllo per la sicurezza dei dati.
Ad aiuto della difesa del diritto alla privacy viene la crittografia, nascondendo i dati da proteggere.La crittografia è un potente strumento che consiste essenzialmente nel rendere il più possibile di difficile comprensione i dati da proteggere, modificando gli stessi con criteri ben precisi denominati ‘algoritmi crittografici’.
Chi modifica i dati, o meglio la vista dei dati, e comunque chi ha il diritto di conoscenza e utilizzo degli stessi, chiaramente dovrà avere la possibilità di risalire, in qualsiasi momento, alla versione originale dei dati, ossia quella comprensibile.
Vi sono tre principali ragioni che inducono a tener nascoste determinate informazioni:
Le aziende che posseggono file di dati personali riguardo i propri impiegati, clienti, fornitori, ecc…, devono per legge proteggerli;
La condivisione di uno spazio lavorativo, elettronico e non, impone un sistema di protezione per i propri dati;
Il trasferimento elettronico dei dati può essere soggetto a tentativi di intercettazione esterna o interna, quindi bisogna assicurarsi che, nel caso in cui l’intercettazione vada a buon fine, i dati intercettati siano inutilizzabili;
Da queste ragioni si delineano due casi generali in cui è necessario avvalersi dell'appoggio della crittografia:
Quando l'informazione deve essere conservata in modo tale da renderla invulnerabile ad accessi non autorizzati, come prescritto dalla legge nel caso di trattamento di dati sensibili e giudiziari;
Quando l'informazione deve essere trasmessa in via telematica al sicuro da intercettazioni non autorizzate.
COSA FARE PER ADEGUARE LA PROPRIA AZIENDA
Nel caso di trattamento di dati sensibili e/o giudiziari, la nuova legge sulla Privacy (D.Lgs. 196/2003) impone la crittografia dei dati.
L’azienda può scegliere il sistema che meglio si adatta alle proprie esigenze.
Esistono sistemi esclusivamente software o sistemi che integrano una parte software ed una parte hardware (es. smart card, token usb…).
I gestionali dedicati alle professioni sanitarie spesso integrano al loro interno sistemi di crittografia, in caso contrario è necessario acquistare un software dedicato alla crittografia dei dati.
Adeguamento dell'organizzazione dei documenti cartacei
Gli uffici moderni, specialmente in Italia, fanno ancora molto uso della carta. Non siamo ancora giunti a quello che si prospetta per il futuro, cioè la completa digitalizzazione di qualsiasi documento. E' quindi supponibile che alcuni trattamenti di dati personali vengano fatti sotto forma cartacea.
Il nuovo codice in materia di protezione di dati personali, benché realizzato per venire incontro alle nuove esigenze sopraggiunte con l'avanzare della tecnologia, non ignora l'aspetto del cartaceo, ma, al contrario, detta alcune condizioni da seguire obbligatoriamente se si vuole effettuare un trattamento sotto questa forma.
COSA FARE PER ADEGUARE LA PROPRIA AZIENDA
Anche in caso di trattamento con strumenti diversi da quelli elettronici il codice impone delle misure da adottare per un corretto trattamento di dati personali.
Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali.
Aggiornamento periodico (almeno annuale) dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati od alle classi omogenee di incarico e dei relativi profili di autorizzazione.
Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.
L'accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l'orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate.
Documento Programmatico sulla Sicurezza (D.P.S.)
Il DPS è l’acronimo di “Documento Programmatico sulla Sicurezza” e consiste in un documento contenente idonee informazioni riguardo:
l'elenco dei trattamenti di dati personali;
la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;
l'analisi dei rischi che incombono sui dati;
le misure adottate e da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento;
la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;
la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare;
per i dati personali idonei a rivelare lo stato di salute e la vita sessuale, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato.
Il DPS deve essere fatto da tutti coloro che trattano dati personali con l'impiego di elaboratori elettronici, nei modi e nelle cirostanze previste dall'allegato B.
Il DPS va conservato in azienda e deve essere portato a conoscenza di tutti gli incaricati.
Il DPS dev’essere aggiornato entro il 31 marzo di ogni anno. E’ comunque opportuno aggiornarlo ogni volta che si verifichino cambiamenti rilevanti nell'organizzazione aziendale o nei dati da trattare
Firewall
Uno strumento molto importante in una rete locale è il Firewall. Esso è un tipo di protezione che salvaguarda il computer nel momento in cui esso accede ad altre reti (rete locale, LAN, Internet) o trasmette dati e informazioni attraverso le stesse.
Un Firewall è studiato per proteggere i punti d’accesso, ossia di ingresso e d’uscita, alla rete con cui il computer è connesso.Un Firewall può essere software, ossia un programma installabile localmente sul computer, o può essere costituito da componenti hardware indipendenti, cioè elementi fisici, che autorizzano o negano l’accesso o il traffico di dati tra un computer e l’esterno.
Attraverso un firewall è possibile specificare i programmi e i servizi che possono essere collegati alla rete, autorizzare o negare le connessioni verso altri computer o indirizzi IP (cioè il numero che identifica in maniera esclusiva un computer), autorizzare o negare le connessioni tramite porte (connessioni nelle quali vengono trasferite informazioni in entrata/uscita verso l’esterno, e viceversa), autorizzare o negare l’accesso alle cartelle condivise presenti sul computer, ecc…
COSA FARE PER ADEGUARE LA PROPRIA AZIENDA
La scelta del Firewall non è unica, ma dipende dal tipo di rete che si ha in azienda, dalla sua complessità, dal numero di postazioni utilizzate, ecc…
Un Firewall di tipo hardware è sconsigliato per una rete semplice con poche postazioni poiché richiede un’istallazione, una manutenzione ed un aggiornamento particolare, e per una rete di questo tipo è meglio una soluzione software. In caso contrario invece può essere consigliabile una soluzione hardware che permetta di proteggere l’intera rete con un unico dispositivo senza dover installare un firewall per ogni postazione.
Nel caso in cui si scelga di utilizzare una soluzione software, potrebbe risultare comodo optare per una soluzione software unica, che integri cioè al suo interno sia un Antivirus sia un Firewall, in modo da dover acquistare, e soprattutto imparare ad usare un solo programma. L’importanza di quest’ultimo aspetto non è affatto da trascurare poiché nella stessa rete si potrebbero installare molti software di protezione, ma se non verranno utilizzati correttamente non proteggeranno in maniera adeguata. Inoltre, a livello di gestione è più agevole l’aggiornamento di un solo software che di diversi programmi.
Ciò però non toglie che possano essere scelti anche software diversi, ossia Antivirus e Firewall di marche differenti.
Per quanto riguarda i Firewall, alcuni sistemi operativi, come ad esempio Windows XP, hanno al loro interno un sistema nativo, quindi volendo è anche possibile adottare questa soluzione.
Dovranno anche essere configurate le limitazioni sui programmi considerando i profili di autorizzazione degli incaricati al trattamento.
La configurazione appropriata di un firewall è quindi particolarmente complessa. Per una adeguata protezione è consigliabile contattare un tecnico specializzato per l’installazione e la configurazione del dispositivo.