GDPR e amministratore di sistema

Domanda ricorrente: con l’entrata in vigore del GDPR, la normativa relativa agli amministratori di sistema rimarrà valida, verrà disapplicata o diventerà inutile?

In primo luogo, il nuovo regolamento europeo 2016/679 non disapplica i provvedimenti e gli altri interventi regolatori emanati dalla nostra Autorità di Controllo (Garante Privacy), se compatibili e non in conflitto con le nuove regole.

In secondo luogo, la filosofia alla base del GDPR (es. valutazione del rischio e responsabilizzazione) intende attribuire l’onere di valutazione delle strategie di controllo e l’adozione delle misure di prevenzione in capo al Titolare del Trattamento.

Quale Titolare potra quindi decidere di considerare inutile il provvedimento sugli amministratori di sistema, che determina un sistema di controllo e prevenzione di attività illecite delle persone che hanno il maggior potere sugli assets I.T. aziendali?
A mio parere, il provvedimento, fintanto che non verrà riproposto o rivisto in ottica GDPR (nel quale la figura dell’IT-admin è la grande assente) rimane una misura necessaria.

Quali sono gli oneri relativi al provvedimento del Garante sugli IT-admin?

Gli obblighi attuali sono i seguenti:

  • il Titolare del Trattamento deve designare individualmente i singoli amministratori di sistema, a mezzo di un atto che deve elencare analiticamente gli ambiti di operatività consentiti, in base al profilo di autorizzazione assegnato;
  • il Titolare del Trattamento è tenuto a indicare in un documento interno gli estremi identificativi delle persone fisiche designate quali amministratori di sistema, con l’elenco delle funzioni ad esse attribuite.
    il Provvedimento richiede che, nel caso in cui i servizi di amministrazione di sistema siano esternalizzati, l’elenco di cui sopra sia conservato, indifferentemente, dal titolare o dal responsabile esterno del trattamento (cioè dall’outsourcer);
  • il Titolare del Trattamento deve adottare idonei sistemi di registrazione degli accessi logici, compiuti dagli amministratori, ai sistemi di elaborazione ed alle operazioni compiute sugli archivi e files; tali dati (access-log e operation-log) devono essere registrati e conservati per almeno sei mesi, con caratteristiche di completezza, integrità ed inalterabilità e deve comprendere anche i riferimenti temporali, la descrizione dell’evento e del sistema coinvolto;
  • qualora gli amministratori, nell’espletamento delle proprie mansioni, accedano ai dati personali dei lavoratori, questi ultimi hanno diritto di conoscere l’identità dei predetti; in tal caso, è fatto onere al Titolare del Trattamento di rendere noto ai lavoratori dipendenti questo loro diritto;
  • l’operato degli amministratori di sistema deve essere oggetto di verifica, con cadenza almeno annuale, per verificare che le attività svolte dall’amministratore siano effettivamente conformi alle mansioni attribuite (questo aspetto viene sistematicamente dimenticato).

Ma i sistemi operativi server già producono i log delle operazioni, quindi siamo a posto?

Assolutamente NO; occorre dapprima valutare se il dettaglio dei log generato di default sia sufficiente a registrare tutte le operazioni compiute dagli amministratori sul server (quasi sempre non lo è); inoltre i file di log debbono essere raccolti in un sistema centralizzato, fuori dalla portata degli amministratori (lo potrebbero alterare), il quale deve garantire l’integrità ed inalterabilità dei log raccolti.

Anche in questo caso, se dovete realizzare (o migliorare) una architettura informatica compliant al provvedimento sugli amministratori di sistema, abbiamo competenza ed esperienze per assistervi nella sua definizione, controllo delle corrette funzionalità e verifica annuale dei log e del corretto funzionamento (sappiate che, talvolta, l’IT-admin è un pò birichino).

UPDATE: altra precisazione sull’argomento.

Data Breach

Una delle novità più rilevanti introdotte dal nuovo regolamento UE 2019/679 è senza dubbio la norma riguardante il Data Breach (violazione di dati personali).

Per alcuni settori la normativa riguardante il Data Breach non è una novità; per tutti gli altri un complesso adempimento da adottare entro il prossimo 25 maggio.

Quasi tutti sanno cosa sia un Data Breach, e gli adempimenti da fare nella eventualità che accada (non si tratta di se ma di quando).

Pochi sanno come fare per rilevare il Data Breach nelle infrastrutture I.T. aziendali, che sono sempre più complesse e distribuite; occorrerà predisporre una architettura di controllo ed avviso, che potrà essere passiva oppure reattiva (meglio), centralizzata o distribuita sui vari assets da monitorare.

Abbiamo la competenza e l’esperienza di varie infrastrutture di monitoring/alerting dedicate alla rilevazione ma anche alla mitigazione di cyber attacchi, realizzate sia con componenti commerciali che software open-source; in questo ultimo caso il costo è abbastanza limitato.

Grande Fratello ed InterNet

In questo periodo di intensa attività, mentre sto preparando il nuovo testo del manuale degli incaricati al trattamento (oops! persone autorizzate al trattamento dei dati personali) mi è capitato di riprendere in mano il mio lavoro di laurea, datato II Millennio DC.

Pensando a quanto recentemente successo con il datagate FaceBook-Cambridge Analytica (e a quanto accade purtroppo giornalmente), ne ho riletto l’introduzione, che mi sembra quanto mai attuale; la sottopongo alla valutazione dei miei quattro abituali navigatori.

Grande Fratello ed InterNet: profilazione on-line degli utenti.

Introduzione
La scelta di un argomento per un lavoro complesso come una tesi è sempre frutto di molteplici riflessioni; dovendosi argomentare di Information Tecnology, mondo in perenne evoluzione esponenziale, diviene particolarmente difficile decidere tra innumerevoli argomentazioni interessanti o di recente attenzione.
Sono stato tolto d’impiccio il mio Relatore Prof. omissis il quale, tra alcune idee sul tavolo, ha optato per trattare della sistematica profilazione degli utenti internet, immagino per una sua (condivisa) sensibilità verso il tema. 
Il mio lavoro di consulente I.T. mi ha portato a confrontarmi con esigenze di tutela di dati personali di soggetti, sia fisici che giuridici, fin dall'anno 1996, quando in Italia venne promulgata la famosa “Legge 31 dicembre 1996, n. 675 - Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali”. 
La scintilla ispiratrice di questo lavoro nasce alcuni mesi fa, durante un seminario di formazione di incaricati al trattamento dei dati personali, da me organizzato per conto di una azienda di servizi della nostra zona; un dipendente, normale fruitore di sistemi informatici, mi chiese: “dovendomi operare ad un ginocchio, ho condotto delle ricerche in internet sulla tipologia di intervento al quale sarei stato sottoposto; perché successivamente, durante la normale navigazione, sto ricevendo delle pubblicità di tutori e cure riabilitative, anche in siti che non c’entrano nulla?”. 
Troppo spesso neo-utenti di internet non si pongono domande come questa, distolti dallo sfavillio dei servizi offerti in rete, dal loro appeal, perché “ci sono tutti”, mentre altri “navigati” utenti “scollegano il cervello”, assuefatti dalla comodità dei servizi o attirati dalla loro presunta gratuità. 
In questo mio impegnativo lavoro di tesi ho non solo la possibilità di dare una risposta alla domanda del mio allievo, ma anche di contribuire a stimolare l’intelletto tecno-assuefatto dei molti che dovrebbero sempre porsi delle domande, prima di fare doppio-click. 
E prima che il Grande Fratello sia anche dentro di noi, oltre che intorno.

Ancora FaceBook non esisteva; sarebbe stato dispiegato solo il 4 febbraio 2004.
Neanche il Grande Fratello del distopico romanzo 1984 avrebbe potuto sognare strumenti migliori, che non solo controllano, ma anche inducono; che ne dite, aspettiamo passivamente altri 20 anni e vediamo quanto diventerà distopico il mondo reale?

La soluzione al GDPR? KIT sopravvivenza!

Italiani popolo di santi, poeti, navigatori ed inventori.

La soluzione al problema GDPR? Semplice, compra il kit sopravvivenza.

Sono in vendita modelli preconfezionati di informativa privacy GDPR, slides predisposte per somministrare la formazione GDPR (con tanto di moduli per la verifica finale), addirittura check-up remoto da svolgersi tramite compilazione di moduli standard.

Mi consentite la definizione di PPPPrivacy-Pret-a-Porter?

Ritornano in mente le magliette con la cintura disegnata.

Chissa se per il Data Protection Officer del futuro inventeranno un androide? Potremo chiamarlo DATA, come il famoso personaggio di StarTrek; e quando cambiano i regolamenti, basta aggiornare la programmazione.

DPO data protection officer, soggetti privati obbligati alla nomina

Come ormai tutti sanno, entro il prossimo 25 maggio, molte organizzazioni dovranno avere un DPOData Protection Officer.

Ricevo moltissime richieste di chiarimento in relazione alle aziende private che dovranno avere il DPO; cerchiamo di fare chiarezza.

Chi deve obbligatoriamente nominare il DPO?

  • una pubblica amministrazione che tratta dati personali (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali);
  • una organizzazione che effettua monitoraggio, regolare, sistematico e su larga scala degli interessati;
  • una organizzazione che tratta, su larga scala, particolari categorie di dati sensibili o dati relativi a reati e condanne penali.

Ma quali sono queste ultime due categorie di organizzazioni, di tipo privato?

L’autorità Garante per le Protezione di Dati Personali, in una apposita faq, ha stilato un elenco non esaustivo di organizzazioni ed aziende private che ricadono nelle due ultime tipologie e che dovranno quindi nominarlo:

  • istituti di credito;
  • imprese assicurative;
  • sistemi di informazione creditizia;
  • società finanziarie;
  • società di informazioni commerciali;
  • società di revisione contabile;
  • società di recupero crediti;
  • istituti di vigilanza;
  • partiti e movimenti politici;
  • sindacati;
  • caf e patronati;
  • società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas);
  • imprese di somministrazione di lavoro e ricerca del personale;
  • società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione;
  • società di call center;
  • società che forniscono servizi informatici;
  • società che erogano servizi televisivi a pagamento.

Attenzione: il soggetto nominato DPO dovrà essere comunicato al Garante (tra le altre prerogative, sarà il suo punto di contatto con l’organizzazione); è stata predisposta una apposita procedura di comunicazione del RPD.

Percezione della sicurezza informatica

Non esiste nulla di peggio che la devastante percezione della sicurezza, specialmente quando l’azienda è lontanissima da un livello accettabile (la sicurezza informatica assoluta non esiste, specialmente in questo periodo nel quale sono vulnerabili anche i processori).

La scorsa settimana ho udito con le mie orecchie un consulente affermare: “qualora si  installi un FireWall a protezione della LAN, non occorre aggiornare il software di sistema ne installare alcun antivirus sugli elaboratori”.

Si iniziano anche a vedere valutazioni di Risk Assessments, GAP analysis e D.P.I.A. (alcune prodotte ove non serviva) dalle quali si evince che chi le ha predisposte non ha le idee ben chiare su quali siano i rischi che incombono sui trattementi di dati personali (specialmente per gli assets digitali), ne ovviamente le adeguate contromisure da adottare.