Amministratori di Sistema: stato dell`arte e problematiche aperte, a

Transcript

Amministratori di Sistema:
stato dell’arte e problematiche aperte,
a valle dell'entrata in vigore del
provvedimento del Garante Privacy
Il Provvedimento del Garante della Privacy del
27/11/2008 e successive modificazioni
Faggioli, Bechelli, Fumagalli
Febbraio 2010
Il provvedimento sugli
amministratori di sistema e
il commento alle FAQ
Gabriele Faggioli
Il provvedimento del Garante sugli amministratori di sistema
L’attività regolamentare del Garante ha da ultimo interessato un aspetto molto
importante rispetto alla sicurezza informatica aziendale attraverso la previsione
di alcune regole concernenti l’attività di amministratore di sistema.

Con il provvedimento del 27 novembre 2008 (pubblicato sulla Gazzetta
Ufficiale lo scorso 24 dicembre) il Garante ha infatti prescritto specifiche misure
ed accorgimenti ai titolari dei trattamenti (es. aziende) “effettuati con strumenti
elettronici relativamente alle attribuzioni delle funzioni di amministratore di
sistema”.

In realtà il provvedimento non riguarda esclusivamente l’attività degli
amministratori di sistema intesi tradizionalmente quali soggetti che svolgono
funzioni di gestione e manutenzione dei sistemi informatici ma anche ad
altre categorie di figure professionali quali gli amministratori di banche
dati, di reti e apparati di sicurezza e di sistemi di software complessi, le
cui attività possono comunque in determinati casi comportare dei rischi per la
protezione dei dati personali.

© CLUSIT 2010 - Amministratori di sistema - Faggioli, Bechelli, Fumagalli
3
Il Garante nel provvedimento ha in primo luogo specificato le ragioni che hanno
reso necessaria la previsione di accorgimenti specifici per tali categorie
professionali

Viene in particolare rilevato che le attività di carattere tecnico svolte dagli
amministratori di sistema, nell’ampia accezione sopra richiamata (es. backup dei
dati, gestione dei supporti di memorizzazione, manutenzione dell’hardware),
possono influire sulle informazioni conservate dall’azienda e le stesse attività, in
queste circostanze, devono essere qualificate quali trattamenti di dati personali ai
sensi del d.lgs 196/2003, ciò ”anche quando l’amministratore non consulti in chiaro
le informazioni medesime”.

La delicatezza del ruolo di questa figura professionale è ulteriormente dimostrata,
si legge nel provvedimento, dal fatto che il nostro legislatore in relazione ad alcune
fattispecie di reato informatico (es. accesso abusivo a sistema informatico, frode
informatica, danneggiamento di informazioni, dati e programmi informatici) ha
previsto specifiche aggravanti in caso di loro commissione con abuso della qualità
di amministratore di sistema.

4

Ai sensi dell'art. 154, comma 1, lett. c) del Codice il Garante ha quindi prescritto
l'adozione delle misure enunciate ai titolari dei trattamenti di dati personali
soggetti all'ambito applicativo del Codice ed effettuati con strumenti
elettronici, anche in ambito giudiziario e di forze di polizia (artt. 46 e 53 del
Codice), salvo per quelli effettuati in ambito pubblico e privato a fini
amministrativo-contabili che pongono minori rischi per gli interessati e sono
stati oggetto delle misure di semplificazione introdotte di recente per legge (art.
29 d.l. 25 giugno 2008, n. 112, conv., con mod., con l. 6 agosto 2008, n. 133;
art. 34 del Codice; Provv. Garante 6 novembre 2008):

Quali sono i trattamenti fuori ambito:
 Nel provvedimento del 19 giugno 2008 il Garante per la protezione dei dati
personali ha emanato un provvedimento contenente “Semplificazioni di
taluni adempimenti in ambito pubblico e privato rispetto a trattamenti
per finalità amministrative e contabili“ dove si legge: “Diverse realtà,
specie imprenditoriali di piccole e medie dimensioni, trattano dati, anche in
relazione a obblighi contrattuali, precontrattuali o di legge, esclusivamente
per finalità di ordine amministrativo e contabile (gestione di ordinativi, buste
paga e di ordinaria corrispondenza con clienti, fornitori, realtà esterne di
supporto anche in outsourcing, dipendenti); omississ”
5

a. Valutazione delle caratteristiche soggettive
L'attribuzione delle funzioni di amministratore di sistema deve avvenire
previa valutazione delle caratteristiche di esperienza, capacità e
affidabilità del soggetto designato, il quale deve fornire idonea garanzia
del pieno rispetto delle vigenti disposizioni in materia di trattamento,
ivi compreso il profilo relativo alla sicurezza.

Anche quando le funzioni di amministratore di sistema o assimilate sono
attribuite solo nel quadro di una designazione quale incaricato del
trattamento ai sensi dell'art. 30 del Codice, il Titolare e il Responsabile
devono attenersi comunque a criteri di valutazione equipollenti a quelli
richiesti per la designazione dei responsabili ai sensi dell'art. 29.
6

b. Designazioni individuali
La designazione quale amministratore di sistema deve essere individuale
e recare l'elencazione analitica degli ambiti di operatività consentiti in
base al profilo di autorizzazione assegnato.
7

c. Elenco degli amministratori di sistema
Gli estremi identificativi delle persone fisiche amministratori di sistema, con
l'elenco delle funzioni ad essi attribuite, devono essere riportati nel Documento
Programmatico sulla Sicurezza oppure, nei casi in cui il Titolare non è tenuto a
redigerlo, annotati comunque in un documento interno da mantenere aggiornato e
disponibile in caso di accertamenti da parte del Garante.

Qualora l'attività degli amministratori di sistema riguardi anche indirettamente
servizi o sistemi che trattano o che permettono il trattamento di informazioni di
carattere personale dei lavoratori, i titolari pubblici e privati sono tenuti a rendere
nota o conoscibile l'identità degli amministratori di sistema nell'ambito delle
proprie organizzazioni, secondo le caratteristiche dell'azienda o del servizio, in
relazione ai diversi servizi informatici cui questi sono preposti.

Ciò, avvalendosi dell'informativa resa agli interessati ai sensi dell'art. 13 del Codice
nell'ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare
tecnico di cui al provvedimento del Garante n. 13 del 1° marzo 2007 (in G.U. 10
marzo 2007, n. 58) o, in alternativa, mediante altri strumenti di comunicazione interna
(ad es., intranet aziendale, ordini di servizio a circolazione interna o bollettini). Ciò,
salvi i casi in cui tali forme di pubblicità o di conoscibilità siano incompatibili con
diverse previsioni dell'ordinamento che disciplinino uno specifico settore.
8

Quali sono i nuovi obblighi

d. Servizi in outsourcing
Nel caso di servizi di amministrazione di sistema affidati in outsourcing il
titolare deve conservare direttamente e specificamente, per ogni eventuale
evenienza, gli estremi identificativi delle persone fisiche preposte quali
amministratori di sistema.
9

e. Verifica delle attività
L'operato degli amministratori di sistema deve essere oggetto, con
cadenza almeno annuale, di un'attività di verifica da parte dei titolari del
trattamento, in modo da controllare la sua rispondenza alle misure
organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati
personali previste dalle norme vigenti.
10

f. Registrazione degli accessi
Devono essere adottati sistemi idonei alla registrazione degli accessi
logici (autenticazione informatica) ai sistemi di elaborazione e agli
archivi elettronici da parte degli amministratori di sistema.

Le registrazioni (access log) devono avere caratteristiche di completezza,
inalterabilità e possibilità di verifica della loro integrità adeguate al
raggiungimento dello scopo per cui sono richieste.

Le registrazioni devono comprendere i riferimenti temporali e la
descrizione dell'evento che le ha generate e devono essere conservate
per un congruo periodo, non inferiore a sei mesi.
11

A quali trattamenti si applica il provvedimento?
 Il Provvedimento non si applica ai trattamenti di dati personali
effettuati per finalità amministrativo contabile
• 2. ai sensi dell'art. 154, comma 1, lett. c) del Codice prescrive
l'adozione delle seguenti misure ai titolari dei trattamenti di dati
personali soggetti all'ambito applicativo del Codice ed effettuati
con strumenti elettronici, anche in ambito giudiziario e di forze di
polizia (artt. 46 e 53 del Codice), salvo per quelli effettuati in
ambito pubblico e privato a fini amministrativo-contabili che
pongono minori rischi per gli interessati e sono stati oggetto delle
misure di semplificazione introdotte di recente per legge (art. 29 d.l.
25 giugno 2008, n. 112, conv., con mod., con l. 6 agosto 2008, n.
133; art. 34 del Codice; Provv. Garante 6 novembre 2008)
12

A quali trattamenti si applica il provvimendimento?


FAQ 6: Sono esclusi i trattamenti effettuati in ambito pubblico e privato
a fini amministrativo-contabili che, ponendo minori rischi per gli
interessati, sono stati oggetto delle misure di semplificazione introdotte
nel corso del 2008 per legge (art. 29 d.l. 25 giugno 2008, n. 112, conv.,
con mod., con l. 6 agosto 2008, n. 133; art. 34 del Codice; Provv.
Garante 27 novembre 2008).
Provvedimento del 19 giugno 2008 “Semplificazioni di taluni
adempimenti in ambito pubblico e privato rispetto a trattamenti per
finalità amministrative e contabili” che definisce come tali in via
esemplificativa la gestione di ordinativi, buste paga e di ordinaria
corrispondenza con clienti, fornitori, realtà esterne di supporto
anche in outsourcing, dipendenti.
13

A quali trattamenti si applica il provvimendimento?

FAQ 24: Si possono ritenere esclusi i trattamenti relativi
all'ordinaria attività di supporto delle aziende, che non riguardino
dati sensibili, giudiziari o di traffico telefonico/telematico? Ci si
riferisce ai trattamenti con strumenti elettronici finalizzati, ad
esempio, alla gestione dell'autoparco, alle procedure di acquisto
dei materiali di consumo, alla manutenzione degli immobili sociali
ecc...)
Tali trattamenti possono considerarsi compresi tra quelli svolti per
ordinarie finalità amministrativo-contabili e, come tali, esclusi dall'ambito
applicativo del provvedimento.
14

Chi sono gli amministratori di sistema?

In realtà il provvedimento non riguarda esclusivamente l’attività degli
amministratori di sistema intesi tradizionalmente quali soggetti che
svolgono funzioni di gestione e manutenzione dei sistemi
informatici ma anche ad altre categorie di figure professionali quali gli
amministratori di banche dati, di reti e apparati di sicurezza e di
sistemi di software complessi, le cui attività possono comunque in
determinati casi comportare dei rischi per la protezione dei dati
personali.
15

Chi sono gli amministratori di sistema?



FAQ 1. In assenza di definizioni normative e tecniche condivise, nell'ambito
del provvedimento del Garante l'amministratore di sistema è assunto quale
figura professionale dedicata alla gestione e alla manutenzione di impianti
di elaborazione con cui vengano effettuati trattamenti di dati personali,
compresi i sistemi di gestione delle basi di dati, i sistemi software complessi
quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende e
organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui
consentano di intervenire sui dati i personali.
Il Garante non ha inteso equiparare gli "operatori di sistema" di cui agli articoli del
Codice penale relativi ai delitti informatici, con gli "amministratori di sistema":
questi ultimi sono dei particolari operatori di sistema, dotati di specifici privilegi.
Non rientrano invece nella definizione quei soggetti che solo
occasionalmente intervengono (p.es., per scopi di manutenzione a seguito
di guasti o malfunzioni) sui sistemi di elaborazione e sui sistemi software.
16

Quali caratteristiche devono avere gli amministratori di sistema?

Lettera a) Provvedimento. L'attribuzione delle funzioni di amministratore di
sistema deve avvenire previa valutazione delle caratteristiche di
esperienza, capacità e affidabilità del soggetto designato, il quale deve
fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in
materia di trattamento, ivi compreso il profilo relativo alla sicurezza.

Anche quando le funzioni di amministratore di sistema o assimilate sono
attribuite solo nel quadro di una designazione quale incaricato del
trattamento ai sensi dell'art. 30 del Codice, il titolare e il responsabile
devono attenersi comunque a criteri di valutazione equipollenti a quelli
richiesti per la designazione dei responsabili ai sensi dell'art. 29.

FAQ 20. Il riferimento alle caratteristiche da prendere in considerazione, al
comma 2, lettera a), del dispositivo, è all'esperienza, alla capacità e
all'affidabilità del soggetto designato. Si tratta quindi di qualità tecniche,
professionali e di condotta, non di requisiti morali.
17

Quali sono gli adempimenti da effettuare nella individuazione degli
amministratori di sistema?

Lettera b) Provvedimento. La designazione quale amministratore di
sistema deve essere individuale e recare l'elencazione analitica degli ambiti
di operatività consentiti in base al profilo di autorizzazione assegnato.

FAQ 7. Il provvedimento prevede che all'atto della designazione di un
amministratore di sistema, venga fatta "elencazione analitica" degli ambiti
di operatività consentiti in base al profilo di autorizzazione assegnato,
ovvero la descrizione puntuale degli stessi, evitando l'attribuzione di ambiti
insufficientemente definiti, analogamente a quanto previsto al comma 4
dell'art. 29 del Codice riguardante i responsabili del trattamento.

FAQ 8. E’ sufficiente specificare l'ambito di operatività in termini più
generali, per settori o per aree applicative, senza obbligo di specificarlo
rispetto a singoli sistemi, a meno che non sia ritenuto necessario in casi
specifici.
18

Come devono essere gestiti gli adempimenti inerenti l’elencazione e la
conoscibilità degli amministratori di sistema?

Lettera c) Provvedimento. Gli estremi identificativi delle persone
fisiche amministratori di sistema, con l'elenco delle funzioni ad essi
attribuite, devono essere riportati nel documento programmatico
sulla sicurezza oppure, nei casi in cui il titolare non è tenuto a
redigerlo, annotati comunque in un documento interno da mantenere
aggiornato e disponibile in caso di accertamenti da parte del Garante.
19


Lettera c) Provvedimento. Qualora l'attività degli amministratori di sistema
riguardi anche indirettamente servizi o sistemi che trattano o che
permettono il trattamento di informazioni di carattere personale dei
lavoratori, i titolari pubblici e privati sono tenuti a rendere nota o
conoscibile l'identità degli amministratori di sistema nell'ambito delle
proprie organizzazioni, secondo le caratteristiche dell'azienda o del
servizio, in relazione ai diversi servizi informatici cui questi sono
preposti. Ciò, avvalendosi dell'informativa resa agli interessati ai sensi
dell'art. 13 del Codice nell'ambito del rapporto di lavoro che li lega al titolare,
oppure tramite il disciplinare tecnico di cui al provvedimento del Garante n.
13 del 1° marzo 2007 o, in alternativa, mediante altri strumenti di
comunicazione interna (ad es., intranet aziendale, ordini di servizio a
circolazione interna o bollettini). Ciò, salvi i casi in cui tali forme di pubblicità
o di conoscibilità siano incompatibili con diverse previsioni dell'ordinamento
che disciplinino uno specifico settore.
20


FAQ 18. Il regime di conoscibilità degli amministratori di sistema è da
intendersi per i soli trattamenti inerenti i dati del personale e dei
lavoratori.

FAQ 21. Gli "estremi identificativi" degli amministratori di sistema
sono il minimo insieme di dati identificativi utili a individuare il soggetto
nell'ambito dell'organizzazione di appartenenza. In molti casi possono
coincidere con nome, cognome, funzione o area organizzativa di
appartenenza.
21

Come devono essere gestite le relazioni con gli outsourcer e quali
sono gli obblighi in carico agli stessi?

Lettera d) Provvedimento. Nel caso di servizi di amministrazione di
sistema affidati in outsourcing il titolare deve il titolare o il responsabile
esterno devono conservare direttamente e specificamente, per ogni
eventuale evenienza, gli estremi identificativi delle persone fisiche
preposte quali amministratori di sistema.

FAQ 23. (Si chiede se sia necessario conformarsi al provvedimento nel
caso della fornitura di servizi di gestione sistemistica a clienti esteri
(housing, hosting, gestione applicativa, archiviazione remota...) da parte
di una società italiana non titolare dei dati gestiti). Il provvedimento si
rivolge solo ai titolari di trattamento. I casi esemplificati prefigurano
al più una responsabilità di trattamento (secondo il Codice italiano), e
sono quindi esclusi dall'ambito applicativo del provvedimento.
22

Quali verifiche periodiche occorre fare almeno annualmente?

Lettera e) Provvedimento. L'operato degli amministratori di sistema deve
essere oggetto, con cadenza almeno annuale, di un'attività di verifica da
parte dei titolari o dei responsabili del trattamento, in modo da controllare
la sua rispondenza alle misure organizzative, tecniche e di sicurezza
riguardanti i trattamenti dei dati personali previste dalle norme vigenti.

FAQ 5. E' da sottoporre a verifica l'attività svolta dall'amministratore di
sistema nell'esercizio delle sue funzioni. Va verificato che le attività svolte
dall'amministratore di sistema siano conformi alle mansioni attribuite, ivi
compreso il profilo relativo alla sicurezza.
FAQ 14. Gli scopi di verifica sono 1uelli descritti al paragrafo 4.4
del provvedimento e ribaditi al punto 2, lettera e). L'adeguatezza è da
valutare in rapporto alle condizioni organizzative e operative
dell'organizzazione.

23

Quali sono esattamente gli obblighi e le modalità di conservazione dei
log di accesso?

Lettera f) Provvedimento. Devono essere adottati sistemi idonei alla
registrazione degli accessi logici (autenticazione informatica) ai sistemi
di elaborazione e agli archivi elettronici da parte degli amministratori di
sistema. Le registrazioni (access log) devono avere caratteristiche di
completezza, inalterabilità e possibilità di verifica della loro integrità
adeguate al raggiungimento dello scopo per cui sono richieste. Le
registrazioni devono comprendere i riferimenti temporali e la descrizione
dell'evento che le ha generate e devono essere conservate per un
congruo periodo, non inferiore a sei mesi;
24

Quali sono esattamente gli obblighi e le modalità di conservazione dei log
di accesso?

FAQ 4. Anche i client, intesi come "postazioni di lavoro informatizzate",
sono compresi tra i sistemi per cui devono essere registrati gli accessi degli
AdS.

Nei casi più semplici tale requisito può essere soddisfatto tramite
funzionalità già disponibili nei più diffusi sistemi operativi, senza
richiedere necessariamente l'uso di strumenti software o hardware
aggiuntivi. Per esempio, la registrazione locale dei dati di accesso su una
postazione, in determinati contesti, può essere ritenuta idonea al corretto
adempimento qualora goda di sufficienti garanzie di integrità.

Sarà comunque con valutazione del titolare che dovrà essere
considerata l'idoneità degli strumenti disponibili oppure l'adozione di
strumenti più sofisticati, quali la raccolta dei log centralizzata e
l'utilizzo di dispositivi non riscrivibili o di tecniche crittografiche per la
verifica dell'integrità delle registrazioni.
25

log di accesso?

FAQ 9. Per access log si intende la registrazione degli eventi generati
dal sistema di autenticazione informatica all'atto dell'accesso o tentativo
di accesso da parte di un amministratore di sistema o all'atto della sua
disconnessione nell'ambito di collegamenti interattivi a sistemi di
elaborazione o a sistemi software.

Gli event records generati dai sistemi di autenticazione contengono
usualmente i riferimenti allo "username" utilizzato, alla data e all'ora
dell'evento (timestamp), una descrizione dell'evento (sistema di
elaborazione o software utilizzato, se si tratti di un evento di log-in, di
log-out, o di una condizione di errore, quale linea di comunicazione o
dispositivo terminale sia stato utilizzato…).
26

log di accesso?


FAQ 10. Qualora il sistema di log adottato generi una raccolta dati più
ampia, comunque non in contrasto con le disposizioni del Codice e
con i principi della protezione dei dati personali, il requisito
del provvedimento è certamente soddisfatto.
Comunque è sempre possibile effettuare un'estrazione o un
filtraggio dei logfiles al fine di selezionare i soli dati pertinenti agli
AdS.
27

log di accesso?

FAQ 11. La caratteristica di completezza è riferita all'insieme degli
eventi censiti nel sistema di log, che deve comprendere tutti gli eventi di
accesso interattivo che interessino gli amministratori di sistema su tutti i
sistemi di elaborazione con cui vengono trattati, anche indirettamente,
dati personali. L'analisi dei rischi aiuta a valutare l'adeguatezza delle
misure di sicurezza in genere, e anche delle misure tecniche per
garantire attendibilità ai log qui richiesti.
28

log di accesso?

FAQ 12. Caratteristiche di mantenimento dell'integrità dei dati raccolti dai
sistemi di log sono in genere disponibili nei più diffusi sistemi operativi, o
possono esservi agevolmente integrate con apposito software. Il requisito può
essere ragionevolmente soddisfatto con la strumentazione software in
dotazione, nei casi più semplici, e con l'eventuale esportazione periodica
dei dati di log su supporti di memorizzazione non riscrivibili. In casi più
complessi i titolari potranno ritenere di adottare sistemi più sofisticati, quali i log
server centralizzati e "certificati".

È ben noto che il problema dell'attendibilità dei dati di audit, in genere,
riguarda in primo luogo la effettiva generazione degli auditable events e,
successivamente, la loro corretta registrazione e manutenzione. Tuttavia
il provvedimento del Garante non affronta questi aspetti, prevedendo soltanto,
come forma minima di documentazione dell'uso di un sistema informativo, la
generazione del log degli "accessi" (log-in) e la loro archiviazione per almeno sei
mesi in condizioni di ragionevole sicurezza e con strumenti adatti, in base al
contesto in cui avviene il trattamento, senza alcuna pretesa di instaurare in
modo generalizzato, e solo con le prescrizioni del provvedimento, un
regime rigoroso di registrazione degli usage data dei sistemi informativi.
29

log di accesso?

FAQ 13. Non sono previsti livelli di robustezza specifici per la garanzia
della integrità. La valutazione è lasciata al titolare, in base al contesto
operativo (cfr. faq n. 14).

FAQ 15. Il provvedimento non chiede in alcun modo che vengano
registrati dati sull'attività interattiva (comandi impartiti, transazioni
effettuate) degli amministratori di sistema.

FAQ 22. L'accesso a livello applicativo non rientra nel perimetro
degli adeguamenti, in quanto l'accesso a una applicazione
informatica è regolato tramite profili autorizzativi che disciplinano
per tutti gli utenti i trattamenti consentiti sui dati. L'accesso
applicativo non è compreso tra le caratteristiche tipiche
dell'amministratore di sistema e quindi non è necessario, in forza
del provvedimento del Garante, sottoporlo a registrazione.
30

log di accesso?

FAQ 19. Tra gli accessi logici a sistemi e archivi elettronici sono
comprese le autenticazioni nei confronti dei data base management
systems (DBMS), che vanno registrate.
31

Quali sono le finalità perseguibili nel controllo dei log?

FAQ 16. La raccolta dei log serve per verificare anomalie nella
frequenza degli accessi e nelle loro modalità (orari, durata, sistemi cui si
è fatto accesso…). L'analisi dei log può essere compresa tra i criteri di
valutazione dell'operato degli amministratori di sistema.
32
Alcuni profili di criticità

L’articolo 4 dello Statuto dei Lavoratori


E’ vietato l'uso di impianti audiovisivi e di altre apparecchiature per
finalità di controllo a distanza dell'attività dei lavoratori
Gli impianti e le apparecchiature di controllo che siano richiesti da
esigenze organizzative e produttive ovvero dalla sicurezza del lavoro,
ma dai quali derivi anche la possibilità di controllo a distanza dell'attività
dei lavoratori, possono essere installati soltanto previo accordo con le
rappresentanze sindacali aziendali, oppure, in mancanza di queste, con
la commissione interna. In difetto di accordo, su istanza del datore di
lavoro provvede la Direzione Regionale del Lavoro omississ
33

L’articolo 4 dello Statuto dei Lavoratori

La giurisprudenza (Cassazione civile , sez. lav., 06 marzo 1986, n.
1490) ha ulteriormente chiarito che il divieto posto dall'art. 4 st. lav. per
il datore di lavoro di far uso di impianti audiovisivi e di altre
apparecchiature per finalità di controllo a distanza dell'attività dei
lavoratori non è escluso:
• né dalla circostanza che tali apparecchiature siano state solo
installate ma non siano ancora funzionanti
• né dall'eventuale preavviso dato ai lavoratori, i quali quindi siano
avvertiti del controllo suddetto
• né infine del fatto che tale controllo sia destinato ad essere
discontinuo perché esercitato in locali dove i lavoratori possono
trovarsi solo saltuariamente
34

La giurisprudenza in materia di controlli difensivi

Secondo l’orientamento giurisprudenziale prevalente (anche se più
risalente nel tempo) i controlli difensivi rientrerebbero nell’applicazione
dell’articolo 4 comma 2 St. Lav:
•
La Corte di Cassazione ha ritenuto illegittima l’installazione di
alcuni impianti audiovisivi destinati al controllo dell'uso e della
conservazione dei cartellini segna-orario sistemati in apposite
custodie all'ingresso dello stabilimento senza che il datore di
lavoro avesse ottenuto, come alternativamente richiesto, nè il
consenso dei sindacati, nè l'autorizzazione dell'ufficio del lavoro
(Cassazione civile, sez. lav., 06 marzo 1986, n. 1490)
•
La Corte di Appello di Milano (sentenza 688/2005) ha
recentemente confermato questo orientamento rilevando che
l’istallazione di strumenti che consentono il controllo elettronico
centralizzato deve avvenire nel rispetto delle procedura di cui
dell’articolo 4 comma 2 St. Lav. (a nulla rilevando che i dati siano
utilizzati per finalità di carattere difensivo
35


Secondo un orientamento giurisprudenziale minoritario i controlli difensivi non
rientrerebbero invece nell’applicazione dell’articolo 4 comma 2 St. Lav. Una
sentenza della Corte di Cassazione (Cassazione civile , sez. lav., 03 aprile 2002,
n. 4746 ha stabilito per esempio che:
• Ai fini dell'operatività del divieto di utilizzo di apparecchiature per il controllo
a distanza dell'attività dei lavoratori previsto dall'art. 4 l. n. 300 del 1970, è
necessario che il controllo riguardi (direttamente o indirettamente) l'attività
lavorativa, mentre devono ritenersi certamente fuori dell'ambito di
applicazione della norma sopra citata i controlli diretti ad accertare condotte
illecite del lavoratore (cosiddetti controlli difensivi), quali, ad esempio, i
sistemi di controllo dell'accesso ad aule riservate o, come nella specie, gli
apparecchi di rilevazione di telefonate ingiustificate

Il Tribunale Milano, con sentenza del 31 marzo 2004 ha confermato
che:
• “Il divieto del controllo a distanza dell'attività dei lavoratori posto dall'art. 4
st. lav. non si estende ai cosiddetti controlli difensivi, i quali, peraltro, non
costituiscono una categoria a sè esentata, a priori, dall'applicabilità delle
previsioni dell'art. 4, ma semplicemente un modo per definire controlli
finalizzati all'accertamento di condotte illecite del lavoratore che non
rientrano nell'ambito di applicazione del divieto perché non comportano la
raccolta anche di notizie relative all'attività lavorativa”
36


Recentemente il Tribunale di Perugia ha confermato la legittimità dei
controlli relativi alle connessioni ad internet di un dipendente (analisi dei
file di log) posti in essere senza attivazione della procedura di cui
dell’articolo 4 comma 2 St. Lav.

Il Tribunale, in particolare conformandosi all'orientamento minoritario a
cui si è accennato prima (Cass. Civ. n.4746 del 3 aprile 2002) ha
ritenuto che l’analisi dei file di log relativi alla navigazione possa
rientrare non già in una forma diretta o indiretta di verifica dell''attività
lavorativa, ma si sostanziasse in un cd. "controllo difensivo", volto ad
accertare le condotte illecite dei lavoratori”
37
Sanzioni



Il provvedimento del Garante è stato adottato ai sensi dell’art. dell'art. 154,
comma 1, lett. c) del Codice.
L’art. 162 comma 2 ter (inserito dall'articolo 44, comma 3, lettera c), del D.L.
30 dicembre 2008, n. 207) prevede che: “In caso di inosservanza dei
provvedimenti di prescrizione di misure necessarie o di divieto di cui,
rispettivamente, all'articolo 154, comma 1, lettere c) e d), è altresì applicata
in sede amministrativa, in ogni caso, la sanzione del pagamento di una
somma da trentamila euro a centottantamila euro”.
In pratica questa nuova disposizione diviene applicabile in caso di
violazione di tutti i provvedimenti generali del Garante adottati ai sensi
dell’art. 154 comma 1 lett. c) del Codice.
38
Grazie per l’attenzione!
[email protected]
39
Amministratori di Sistema:
stato dell'arte e problematiche aperte a
valle dell'entrata in vigore del
provvedimento del Garante Privacy
Luca Bechelli
[email protected], [email protected]
www.bechelli.net, www.clusit.it - blog.clusit.it
40
Introduzione
41
“External” vs. “Internal” Security
August Ferdinand Möbius (1790-1868)
42

La sicurezza dei dati e dei sistemi è sempre
percepito come un problema di confine tra
l’azienda ed il mondo esterno
La sicurezza di confine non risolve i problemi
delle organizzazioni
 I problemi, anche quando provengono da fuori,
hanno impatti e si risolvono all’interno

43

Indipendentemente da metodologie, analisi e
standard, è necessario ricondurre la gestione della
sicurezza all’informazione
44
Information Security
I dati sono sotto il controllo dell’azienda, che si esplica
attraverso processi, procedure, ownership e strumenti
tecnologici
è reale!?

L’azienda è in grado:



di garantire il controllo completo sull’informazione ai soggetti che
ne hanno la ownership?
di individuare senza dubbi le responsabilità sulle attività svolte?
di manlevare se stessa ed il personale in caso di problemi
rispetto ad azioni condotte nell’esercizio delle proprie funzioni?
45
Due Diligence: obbligo o necessità?

Con il Provvedimento del 27 Novembre 2008, il
Garante per la Privacy richiama le aziende alla
Due Diligence nella gestione della propria IT

Cautele nello svolgimento delle mansioni di
amministratore IT

Esercizio dei doveri di controllo, secondo legge
46
Due Diligence: obbligo o necessità?

L’esercizio del controllo garantisce
Consapevolezza del livello di sicurezza della
propria IT
 Capacità decisionale, basata su dati reali
 Reattività, nella gestione dei problemi, “anche” di
sicurezza

47
Considerazioni Preliminari

Gli amministratori di sistema (…), pur non essendo
preposti ordinariamente a operazioni che implicano una
comprensione del dominio applicativo (significato dei
dati, formato delle rappresentazioni e semantica delle
funzioni), (…) sono, in molti casi, concretamente
"responsabili" di specifiche fasi lavorative che possono
comportare elevate criticità rispetto alla protezione dei
dati.
48

(…) particolare capacità di azione propria degli
amministratori di sistema e la natura fiduciaria
delle relative mansioni, analoga a quella che, in
un contesto del tutto differente, caratterizza
determinati incarichi di custodia e altre attività
per il cui svolgimento è previsto il possesso di
particolari requisiti tecnico-organizzativi, di
onorabilità, professionali, morali o di condotta, a
oggi non contemplati per lo svolgimento di uno
dei ruoli più delicati della "Società
dell'informazione”.
49

…si è invece riscontrata (…) una carente
consapevolezza delle criticità insite nello
svolgimento delle predette mansioni, con
preoccupante sottovalutazione dei rischi
derivanti dall'azione incontrollata di chi dovrebbe
essere preposto anche a compiti di vigilanza e
controllo del corretto utilizzo di un sistema
informatico.
50
Il ruolo dell’Amministratore

Nell’ambito del trattamento dei dati personali, il
Garante per la Privacy individua
nell’Amministratore una figura:
Capace di azione propria (indipendenza)
 Avente mansioni di natura fiduciaria
 Essenziale per la sicurezza
 Chiamata a svolgere delicate funzioni
 Chiamata a vigilare sul corretto utilizzo dei
sistemi informatici

51
Quindi, cosa non va?




Considerazioni in merito all’intervento normativo
Considerazioni in merito alla situazione attuale
Valutazioni sul passato
Ipotesi per il futuro…
52
L’opportunità
VS.
Opportunità


Obbligo
Governare il cambiamento
La compliance come lo sviluppo di un processo
teso a “restituire” il controllo delle informazioni
all’azienda
53
Parte 1: Prescrizioni
(i.e.: l’obbligo)
54
Prescrizioni del Provvedimento
Valutazione delle
Caratteristiche Soggettive
Designazioni Individuale
Elenco degli
Amministratori di Sistema
Servizi in Outsourcing
• L’azienda deve incaricare personale di comprovata
esperienza, capacità ed affidabilità
• La designazione è individuale e reca l’elenco analitico degli
ambiti di operatività consentiti
• Tenuta di un elenco recante i nominativi degli AdS, con
l’elenco delle funziono ad essi attribuite
• Conservazione degli identificativi degli AdS che operano
nell’ambito di servizi affidati in outsourcing
Registrazione degli
Accessi
• Gli accessi devono essere registrati e tenuti almeno 6 mesi
con garanzia di Integrità, Completezza e Possibilità di Verifica
Verifica delle attività
• Verifica, almeno annuale, dell’operato degli AdS
55
Garanzia delle vigenti disposizioni in
materia di trattamento
Valutazione delle
• L’azienda deve incaricare personale di comprovata
esperienza, capacità ed affidabilità
Caratteristiche Soggettive



Conoscenza della normativa vigente
Conoscenza delle best practices di riferimento in
materia di gestione “sicura” dei sistemi
informatici
Consapevolezza relativamente ai rischi di
sicurezza derivanti da errori/violazioni
nell’ambito della gestione dei sistemi
56
Investire sul capitale umano
1° segnale: l’adeguamento al
Provvedimento non è una misura
“contro” l’IT
1° risultato: l’adeguamento
diventa un obiettivo comune, e
pone al centro la tutela e la
professionalità delle persone
Obiettivi formativi:
1. Competenze in materia di gestione sicura dei sistemi
• Standard di riferimento: COBIT, ISO 27002, …
2. Conoscenza delle normative di riferimento e delle responsabilità
connesse con il “ruolo” di AdS
57
Ed i fornitori?
Nei diversi settori
dell’azienda, quanto
l’amministrazione dei
sistemi dipende da
personale esterno?



Quali sono i confini
della
responsabilità?
Indipendentemente dall’impatto normativo, la valutazione delle caratteristiche
soggettive deve diventare requisito (e obiettivo) di qualità dei servizi acquisiti
L’azienda (il Titolare) ha in ogni caso specifici doveri e responsabilità in materia di
Trattamento dei dati
I processi di qualità (dal contratto al controllo) devono tenerne conto
Il problema non può essere affrontato solo all’interno dell’azienda!
58
Formazione o certificazione?

Gli standard e le metodologie di riferimento sono
di stampo internazionale e pertanto non
possono focalizzarsi sulle specificità della
normativa italiana

È possibile ricorrere a certificazioni nazionali
inerenti la compliance, quali ad esempio la
LoCSI
59

Certificazioni sulla Localizzazione delle Competenze di
Sicurezza Informatica, realizzata e promossa da AIPSI –
Associazione Italiana Professionisti della Sicurezza
Informatica ( capitolo italiano ISSA) – www.aipsi.org

Attestano le competenze relative alle norme,
regolamenti e legislazioni Italiane ed Europee


Specificatamente per l’ambito della tutela dei dati
personali, è possibile scegliere il livello “LoCSI Privacy”
Si integrano in un percorso di certificazione più ampio, a
seconda dei diversi livelli, per completare il quadro di
competenze del professionista/dipendente
60
Designazioni individuali
Designazioni Individuali




• La designazione è individuale e reca l’elenco analitico
degli ambiti di operatività consentiti
Separazione della gestione IT in ambiti di
operatività
Definizione/formalizzazione di (nuovi?) ruoli e
funzioni
Definizione di profili di autorizzazione
Designazione individuale
61
Ambiti di Operatività

Si assimila l’AdS ad un “Responsabile al
Trattamento” (FAQ n°7)


descrizione puntuale degli stessi (ambiti di
operatività), evitando l'attribuzione di ambiti
insufficientemente definiti, analogamente a quanto
(…) riguardante i responsabili del trattamento
“è sufficiente specificare l'ambito di operatività in
termini più generali, per settori o per aree
applicative, senza obbligo di specificarlo rispetto a
singoli sistemi, a meno che non sia ritenuto
necessario in casi specifici.” (FAQ n°8)
62
Elenco AdS
Elenco degli
• Tenuta di un elenco recante i nominativi degli AdS,
con l’elenco delle funziono ad essi attribuite
Amministratori di Sistema




Determinazione dei sistemi che trattano dati dei
lavoratori
Aggiornamento dell’elenco degli amministratori
“Conoscibilità” degli amministratori che operano
su sistemi che trattano dati dei lavoratori
63
Outsourcing
Servizi in outsourcing




• Conservazione degli identificativi degli AdS che
operano nell’ambito di servizi affidati in outsourcing
Individuazione delle tipologie di “outsourcing”
Acquisizione degli identificativi degli AdS che
operano nell’ambito di servizi affidati in
outsourcing
Determinazione dei servizi erogati in outsourcing
Predisposizione di eventuali comunicazioni ai
clienti
64
Registrazione
Registrazione degli
Accessi




• Gli accessi devono essere registrati e tenuti almeno 6 mesi con
garanzia di Inalterabilità, Completezza e di Verifica dell’Integrità
Identificazione “perimetro” dei sistemi
Analisi dei Rischi
Attuazione misure di raccolta, conservazione e
cancellazione
Attuazione delle misure volte ad assicurare
Completezza, Inalterabilità e Verifica
dell’Integrità
65
Definizione del Perimetro

Determinazione analitica dei sistemi afferenti il
Provvedimento
Sono previsti anche i client (FAQ 4)
 Quale impatto sulle applicazioni?


Applicazione: piattaforma che, tramite un
insieme di servizi di front-end, middle-ware e di
data management, supporta l’attuazione di uno
o più processi aziendali
66
Dipendenza


Nell’ambito di una applicazione, i singoli sistemi
trattano i dati secondo modalità e meccanismi
diversi
Il Provvedimento intende l’AdS come

figura dedicata alla gestione ed alla manutenzione di
impianti di elaborazione con cui vengono effettuati
trattamenti di dati personali compresi:



i sistemi di gestione delle basi di dati,
i sistemi software complessi quali i sistemi ERP (Enterprise
resource planning) utilizzati in grandi aziende e
organizzazioni,
le reti locali e gli apparati di sicurezza,
nella misura in cui consentano di intervenire sui dati personali.
67
Dipendenza


Nell’ambito di una applicazione, i singoli sistemi trattano i
dati secondo modalità e meccanismi diversi
Tali sistemi rientrano nel perimetro del Provvedimento se



vengono trattati, anche indirettamente, dati personali
(Completezza dei Log di Accesso)
l’accesso amministrativo ai diversi layer (S.O., DBMS e apparati
di rete) consente di intervenire sui dati personali
la Capacità di Intervento presuppone la possibilità di eseguire
azioni sugli stessi, indipendentemente(?) dalla necessità di
comprenderne il contenuto


Considerazioni preliminari: (…) criticità di mansioni che
comportino la potenzialità di violazione del dato personale
anche in condizioni in cui ne sia esclusa la conoscibilità, come
può avvenire, per esempio, nel caso della cifratura dei dati.
L’accesso avviene nell’ambito di attività “non occasionali”
68
Analisi dei Rischi

Completezza:


Inalterabilità:


(l’analisi dei rischi) aiuta a valutare l'adeguatezza delle misure di
sicurezza in genere, e anche delle misure tecniche per garantire
attendibilità ai log (…)richiesti.
condizioni di ragionevole sicurezza e con strumenti adatti, in
base al contesto in cui avviene il trattamento
Verifica dell’integrità:


Sarà comunque con valutazione del titolare che dovrà essere
considerata l'idoneità degli strumenti disponibili oppure
l'adozione di strumenti più sofisticati, quali la raccolta dei
log centralizzata e l'utilizzo di dispositivi non riscrivibili o di
tecniche crittografiche per la verifica dell'integrità delle
registrazioni…(sistemi client)
Valutazione dei livelli di robustezza lasciata al Titolare, in base al
contesto operativo
69
Verifica
Verifica delle attività




• Verifica, almeno annuale, dell’operato degli AdS
Definizione dei criteri di verifica
Definizione dei ruoli
Definizione delle modalità attuative
Applicazione del processo di verifica
70
Criteri di verifica


Rispondenza alle misure organizzative, tecniche
e di sicurezza riguardanti i trattamenti dei dati
personali previste dalle normative vigenti
…Verificare anomalie nella frequenza degli
accessi e nelle loro modalità (orari, durata,
sistemi cui si è fatto accesso…).
71

Aziende medio-grandi:
Funzione di audit/Security con delega al controllo
dell’applicazione delle misure di sicurezza
 Separazione delle funzioni operative e di controllo


Piccole e medie imprese / PPAA di piccole
dimensioni:
Necessità di reperire competenze
 Difficoltà ad attuare i criteri di controllo in caso di
forte utilizzo di competenze esterne

72
Modalità Attuative

Verifica annuale dell’operato degli amministratori
Possibile utilizzo dei log degli accessi
 Limite (inferiore) della conservazione dei log di
accesso a 6 mesi



Rispetto della normativa sul controllo dei
lavoratori
Efficacia del controllo
Annuale
 Periodico
 Continuo

73
Parte 2: Attuazione
(i.e.: impatti e opportunità)
74
Dalle prescrizioni
all’adeguamento


L’attuazione delle singole prescrizioni non può essere
vista come un insieme disorganico di interventi
Costruendo un Processo di Adeguamento è possibile
definire organicamente gli interventi rispetto agli obiettivi
normativi e di sicurezza aziendali
75
Processo di Adeguamento
Plan
Caratteristiche
Soggettive
Do
Check
Act
Elenco degli AdS
Registrazione degli
Accessi
Verifica delle Attività
Designazioni
Individuali
Elenco degli AdS
76
Plan
Plan
Caratteristiche
Soggettive



Do
Check
Act
Separazione della gestione IT in ambiti di
operatività
Definizione/formalizzazione di (nuovi?) ruoli e
funzioni
Definizione di profili di autorizzazione

Elenco degli AdS


Registrazione degli
Accessi




Identificazione “perimetro” dei sistemi
Analisi dei Rischi
Definizione Misure di raccolta,
conservazione e cancellazione
Definizione Misure di Completezza,
Inalterabilità e Verifica dell’Integrità
Definizione dei criteri di verifica
Definizione delle modalità
attuative
Designazioni
Individuali
Elenco degli AdS
77
Propedeuticità & Interdipendenza
Designazioni
Individuali
Designazioni
Individuali
Registrazione
degli Accessi
Verifica delle
Attività
Registrazione degli
Accessi
•Definizione ambiti di
operatività
•Definizione dei Profili
di Autorizzazione
•Definizione ambiti di
Operatività
•Definizione Ruoli e
Funzioni
•Definizione dei Profili di
Autorizzazione
•Analisi dei Rischi
•Definizione Misure di
Completezza,
Inalterabilità e Verifica
dell’Integrità
•Identificazione
“perimetro” dei sistemi
•Analisi dei Rischi
•Definizione dei criteri
di verifica
•Definizione dei ruoli
•Definizione dei criteri
di verifica
•Definizione dei ruoli
•Definizione delle
modalità attuative
78
WBS
79
Analisi dei Rischi
Nuove Minacce
Nuovi Impatti
Rivalutazione degli Obiettivi
Attuazione degli Adempimenti
•La scelta di effettuare l’analisi dei Rischi è motivata dall’introduzione degli obiettivi di Due
Diligence, dalla considerazione delle nuove minacce (se prima non previste) inerenti abusi o
errori apportati con accessi amministrativi, dalla rivalutazione degli Impatti a seguito delle
prescrizioni normative.
•Resta ovviamente l’obiettivo primario, come suggerito dalle FAQ del Provvedimento, di
individuare tramite l’Analisi dei Rischi i criteri per assicurare Completezza, Inalterabilità e
Verifica dell’Integrità delle registrazioni degli Accessi
80
Dividere la gestione IT in ambiti di
operatività (esempi)

Quale che sia la scelta, questa deriverà dal modello
organizzativo in essere per l’IT
Aree Applicative
Aree Funzionali
Ambiti Tecnologici
81
(Nuovi?) Ruoli e Funzioni (esempi)
Aree Applicative
•Produzione
•DWH:
•ERP
Aree Funzionali
Ambiti Tecnologici
•DWH
•Schema management
•Servizi di Supporto
•System management
•Collection
management
•Progettazione
•DBA
•Collaudo
•Facility
•…
•…
•Vendite
•Vendite
•…
82
Profili di Autorizzazione (esempi)
Aree Applicative
•DWH:
•Schema management
•Collection
management
•…
1. Può modificare la
struttura del DBMS
2. Non può creare utenti
3. Non può accedere ai
dati
4. Ha un accesso non
amministrativo ai
sistemi
Aree Funzionali
•Produzione
•Servizi di Supporto
•Progettazione
•Collaudo
•…
1. Ha un accesso
amministrativo ai
sistemi utente
(dell’area)
2. Gestisce i servizi di
backup e le
applicazioni di
supporto (dell’area)
Ambiti Tecnologici
•DWH
•System management
•DBA
•Facility
•…
1. Ha accesso
all’interfaccia di
amministrazione delle
applicazioni
2. Può eseguire batch e
stored procedure
3. Non ha accesso
amministrativo ai DB ed
ai sistemi
83
Definizione di Ruoli e Funzioni



Obiettivo normativo: determinare e censire
analiticamente ruoli e funzioni degli AdS
Obiettivo di tutela: assicurare che ogni azione sia
ricondotta alla persona che l’ha condotta
Obiettivi di Verifica:




determinare ambiti di operatività ben definiti e rigidamente
perimetrati
individuare le funzioni di audit più adatte ad assicurare
l’osservanza del requisito di verifica
L’obiettivo di sicurezza: segregation of duties?
Obiettivi di Business: minimizzare l’impatto di
adeguamento e assicurare l’efficienza della struttura IT
84
Opportunità…





Ascoltare il Business!
Il governo della funzione IT, se
ben implementato, ha in primo
luogo obiettivi di efficienza ed
efficacia
Disambiguità nella definizione
di ruoli e funzioni, è innanzitutto
un criterio di buona gestione
Rivedere/applicare le policy!
Segregation of duties?
85
Segregation of Duties
Ambiti
Tecnologico/Funzionali





Solo per organizzazioni mediograndi
Prevede/richiede competenze
specialistiche
Necessaria dove il rispetto
dell’ambito di operatività è critico
per l’azienda
Garantisce la riduzione ““…delle
criticità insite nello svolgimento
delle predette mansioni”
(Premessa, comma 9)
Assicura il maggior grado di tutela
•O&M
•User Administrator
•DB Administrator
•System Administrator
•Service Admin
•App. Adm
1. Esegue la manutenzione
ordinaria e
straordinaria del
sistema
2. Non può creare/gestire
utenti
3. Non ha accesso
amministrativo ai
servizi, al DB ed alle
Applicazioni
86
Definizione dei profili di
autorizzazione


Qualunque sia il modello
organizzativo scelto, è bene
considerare che l’applicazione
di nuovi profili di accesso avrà
un impatto rilevante sulle
piattaforme in perimetro
Laddove possibile, è opportuno
valutare la definizione di profili
standard aziendali, da
utilizzare in tutti i casi possibili
su larga scala
87
Criteri di Verifica
Cosa monitorare? A quale scopo? Con quale “profondità?



Efficacia del tracciamento: indica, a partire dall’insieme delle
caratteristiche del sistema di registrazione degli eventi, la
possibilità di determinare informazioni utili all’azienda a partire
dai dati raccolti
Il Provvedimento ha come obiettivi:
In termini di sicurezza, tra gli aspetti più rilevanti è importante
assicurare la verifica che gli AdS operino al’interno del proprio
ambito di operatività
88
Efficacia del tracciamento
Cosa monitorare? A quale scopo? Con quale “profondità?
Limitazione delle
possibili azioni non
riconducibili ad una
specifica sessione
utente
Criteri di custodia
delle password non
nominali e
assegnazione a
seguito di richiesta
espressa e motivata
Modalità di accesso
al sistema mediante
account nominali
Segregare
account di
amministrazione
e/o di gruppo
Attribuire
le azioni
alle
persone
fisiche
Log di tipo
“Audit”
Limitare/impedire
la possibilità di
accesso ai dati di
Compartimentazi log con privilegi
amministrativi
one rigida degli
ambiti di
operatività –
Segregation of
Duties
Utilizzo di specifici
meccanismi di
protezione
dell’integrità e della
completezza dei log
Estensione delle
registrazioni alle
“azioni” svolte dagli
AdS
89
Livelli di implementazione
Segregare gli
account di gruppo
Compartimentazione
ambiti di Operatività
Attribuire le azioni
alle persone fisiche
Prevede che gli
accessi ai sistemi ed
ai DBMS avvengano
esclusivamente
tramite account
nominali, e che
l’accesso alle
credenziali (o ai
privilegi) di
amministrazione sia
parte degli eventi
soggetti a
tracciamento
Impone l’uso di
account
amministrativi solo in
casi eccezionali. Nei
casi di gestione
ordinaria si ricorre a
escalation di privilegi
da account nominali.
Implementato tramite
procedure o
strumenti di
password vault
Impone limitazioni
negli ambiti nei quali
gli utenti possono
acquisire privilegi di
amministrazione.
Presuppone un
regime di operatività
fortemente
regolamentato da
procedure operative
Limitazioni accesso
ai log prodotti
Tramite uno o più
meccanismi tra i
precedenti, assicura
che solo un esiguo
gruppo di AdS
possano intervenire
sui servizi di
accounting o sui dati
di log. In generale, la
separazione dei ruoli
assicura che chi ne
ha diritto non abbia
interesse a svolgere
modifiche
fraudolente.
Log di tipo “audit”
Prevede la
registrazione di tutti
gli eventi significativi
prodotti nell’ambito
delle attività degli
utenti. Misura in
parte deterrente,
deve esserne
valutata la
proporzionalità e la
liceità anche in
relazione ad altri
obiettivi di sicurezza
90
Modalità attuative (Verifica)


Definiti i criteri e l’ambito di operatività, è possibile
stabilire come implementare la Verifica dell’operato
degli amministratori
Questioni di:
Conformità: il Provvedimento impone un controllo
annuale
 Opportunità: una maggiore periodicità consente
l’identificazione ed il trattamento di eventi di sicurezza
 Fattibilità: un controllo “una tantum” può essere, oltre
che inefficace, estremamente oneroso ed a scarso
valore aggiunto (es: estrema numerosità di accessi
legittimi)

91
Raccolta dei Log e Verifica

Questioni di opportunità e conformità portano a
considerare il problema della raccolta degli
eventi da un altro punto di vista:

In quale modo i meccanismi che adotterò mi
permetteranno di riscontrare eventi ascrivibili a
violazioni (es: trattamenti illeciti) o a incidenti di
sicurezza (es: violazioni delle policy e/o degli
ambiti di operatività)?
92
Verifica vs. Raccolta dei Log

Qualunque sia la soluzione di raccolta dei log,
se è previsto che la Verifica li utilizzerà per tutto
o parte dei controlli previsti, è auspicabile che
siano considerati:
Meccanismi di selezione degli eventi significativi
 Procedure di monitoraggio continue o ad alta
frequenza
 Correlazione tra eventi e definizione degli ambiti
di operatività/privilegi assegnati agli utenti

93
Completezza, Inalterabilità e
Verifica dell’Integrità
Completezza
Raccolta
•Log “raw”
mantenuti sul
sistema o prelevati
da log collector
mediante
meccanismi
“stateful”
•Utilizzo di supporti
Conservazione
non riscrivibili (!)
Cancellazione
•Eliminazione
selettiva degli
eventi su base
“timestamp”
Inalterabilità
Verifica Integrità
•Dati
inviati/prelevati
su/da piattaforma
•Marcatura dei
centralizzata(!) in
dati mediante
HA con utilizzo di
hash e cifratura(!)
canali di
trasmissione
sicuri
•Utilizzo di
supporti non
riscrivibili (!)
•Marcatura dei
dati mediante
hash e cifratura(!)
•Costruzione
della base dati
degli eventi su
base “timestamp”
•Controlli
crittografici
trasparenti alla
retention
94
Plan
Plan
Caratteristiche
Soggettive


Attuazione del
piano formativo
Formazione
specifica per
nuovi
ruoli/funzioni
nell’ambito
dell’adeguamento
Do
Check
Caratteristiche
Soggettive


Allocazione dei
ruoli/funzioni di
gestione tecnica
Implementazione dei
profili sui sistemi

Elenco degli AdS

Registrazione degli
Accessi



Act
Allocazione dei ruoli/funzioni di gestione dei
servizi di registrazione
Implementazione dei criteri di efficacia del
tracciamento previsti
Implementazione/configurazione/integrazione
degli strumenti di registrazione
Implementazione degli
strumenti di Verifica
Allocazione dei ruoli/funzioni di
verifica
Designazioni
Individuali
Elenco degli AdS
95
Criteri di monitoraggio e profili
Compartimentazione
ambiti di Operatività
Attribuire le azioni
alle persone fisiche
•Implementazione di
meccanismi di
privilege
management che
consentano
l’escalation dei
privilegi da utenze
nominali ad account
amministrativi e di
gruppo
•Riconfigurazione dei
moduli di
autenticazione
•Cleansing dei file
degli utenti
Segregare gli
account di gruppo
•Implementazione di
soluzioni di password
vault con procedure
di cambio-password
automatizzate o
affidate ad apposita
funzione
•Analisi degli impatti
su script, account
M2M, A2A e A2DB;
bonifica o
implementazioni
applicative
•Controlli di integrità
dei dati inerenti i
profili autorizzativi
•Traduzione degli
ambiti di operatività
in privilegi sui sistemi
in perimetro
•Configurazione dei
meccanismi di
privilege
management perché
consentano
l’escalation di
privilegi solo
nell’ambio di ambiti
di operatività preautorizzati per
ciascun utente.
Limitazioni accesso
ai log prodotti
Rafforzamento di
tutta la catena di
gestione del ciclo di
vita dei log mediante
gestione dei privilegi
sui sistemi,
segregation of
duties, tecniche
crittografiche e
conservazione
centralizzata
Log di tipo “audit”
Adozione di specifici
strumenti di privilege
management,
mediante
installazione di
moduli kernel, nuove
shell utente e moduli
di autenticazione ad
hoc.
96
Soluzione di Registrazione
Quale soluzione scegliere? Make o Buy? Ho veramente
bisogno di una soluzione ad hoc?
Registrazione degli
Accessi
•La scelta è, in questa fase, determinata da tutte le attività definite in fase “PLAN”. E’ tuttavia evidente come
gran parte dello sforzo (interno) sia determinato dal “mettere a posto” l’organizzazione IT, le procedure e
predisporre i sistemi: nessuna soluzione può essere adottata indipendentemente dalle attività
propedeutiche descritte
•La normativa fa riferimento a criteri “minimi” e proporzionali, con valutazioni di sicurezza dipendenti dal
contesto che il Titolare deve svolgere autonomamente
•Al di fuori dell’”onda emozionale” del Provvedimento, l’azienda o l’ente devono considerare di “bilanciare” i
propri investimenti in competenze, tecnologie e nuovi modelli operativi adatti ad interpretare gli obiettivi di
Due Diligence e protezione degli asset “critici” per il business
97
And Now?
Plan
Caratteristiche
Soggettive
Do
Check
Act
Elenco degli AdS
Registrazione degli
Accessi
Designazioni
Individuali
Elenco degli AdS
98
Per rimanere in tema…

Error rates (fonte: Miracle)
40% -Operator error
 40% -Software error
 20% -Hardware error

70% -Building facilities,
power, cooling
 25% -Components
 5% -Disaster

99
Domande?
100
Grazie!
Luca Bechelli
[email protected], [email protected]
www.bechelli.net, www.clusit.it - blog.clusit.it
101
Obiettivi e qualità
della risposta al
Provvedimento
sugli AdS
Sergio Fumagalli - Vice Presidente ZEROPIU Spa
Il problema
Only 30 percent of all theft is committed by externals
70 percent is committed by employees.
Four out of every five thefts are commited by males
The fraud is usually committed by a college-educated,
married person
Worst of all, the person commiting the fraud is
usually a long-time, trusted employee in a position
of authority—not the high school kid working part-time
Forrester Research 2009
103
Il problema
“Each year, I expect the breach cost figures to
decrease, but the numbers are still rising,” Ponemon
says.
“The 2009 study showed a slight increase in the
organizational cost of a data breach -- from $6.65 million
to $6.75 million per incident -- and a slight increase in
the average cost per compromised record, from $202 to
$204.”
Fonte: Ponemon Institute
104
Il problema in relazione ai dati
personali
Dal provvedimento del Garante:


…
CONSTATATO che lo svolgimento delle mansioni di un amministratore di
sistema, anche a seguito di una sua formale designazione quale responsabile o
incaricato del trattamento, comporta di regola la concreta capacità, per atto
intenzionale, ma anche per caso fortuito, di accedere in modo privilegiato a
risorse del sistema informativo e a dati personali cui non si è legittimati ad
accedere rispetto ai profili di autorizzazione attribuiti;

RILEVATA la necessità di richiamare l'attenzione su tale rischio del
pubblico, nonché di persone giuridiche, pubbliche amministrazioni e di
altri enti (di seguito sinteticamente individuati con l'espressione "titolari del trattamento":
art. 4, comma 1, lett. f) del Codice) che impiegano, in riferimento alla gestione di banche
dati o reti informatiche, sistemi di elaborazione utilizzati da una molteplicità di

incaricati con diverse funzioni, applicative o sistemistiche;
…
Il Garante si occupa istituzionalmente della tutela dei dati personali.
Il problema però riguarda tutti i dati aziendali
105
Il problema in relazione ai dati aziendali

A.10.10.2 Monitoring system use


Control
Procedures for monitoring use of information processing facilities shall be established and
the results of the monitoring activities reviewed regularly.

A.10.10.3 Protection of log information


Control
Logging facilities and log information shall be protected against tampering and
unauthorized access.

A.10.10.4 Administrator and operator logs


Control
System administrator and system operator activities shall be logged .

A.11.2.2 Privilege management


Control
The allocation and use of privileges shall be restricted and controlled.

A.11.5.4 Use of system utilities

Control
The use of utility programs that might be capable of overriding system and application
controls shall be restricted and tightly controlled.

ISO 27001 individua specifici controlli relativi all’utilizzo di privilegi
in relazione a tutti i dati aziendali
106
Il problema in relazione ai dati aziendali













11.2.2 Privilege management
Control
The allocation and use of privileges should be restricted and controlled.
Implementation guidance
Multi-user systems that require protection against unauthorized access should have the allocation of
privileges controlled through a formal authorization process. The following steps should be considered:
a) the access privileges associated with each system product, e.g. operating system, database
management system and each application, and the users to which they need to be allocated should be
identified;
b) privileges should be allocated to users on a need-to-use basis and on an event-by-event basis in line
with the access control policy (11.1.1), i.e. the minimum requirement for their functional role only when
needed;
c) an authorization process and a record of all privileges allocated should be maintained. Privileges
should not be granted until the authorization process is complete;
d) the development and use of system routines should be promoted to avoid the need to grant privileges
to users;
e) the development and use of programs which avoid the need to run with privileges should be promoted;
f) privileges should be assigned to a different user ID from those used for normal business use.
Other information
Inappropriate use of system administration privileges (any feature or facility of an information
system that enables the user to override system or application controls) can be a major
contributory factor to the failures or breaches of systems.
ISO 27002 detta best practices non così distanti dalle misure
individuate dal Garante
107
Affrontare il problema
IL BUDGET
1
• Il provvedimento del Garante
risponde ad una esigenza di
sicurezza dei dati
2
• Affronta, in un ambito limitato, una
criticità che riguarda la sicurezza di
tutti i dati aziendali
3
• La motivazione all’investimento non
è solo la compliance ma anche la
sicurezza
108
La compliance: da obbligo a risorsa
Efficiente:
Utilizzare la
tecnologia
a supporto
Efficace Produrre un
risultato
utile per il
business
aziendale
Esimente:
produrre
risultati
opponibili a
terzi
Efficiente, Efficace, Esimente:
Finanziata
109
Le Misure Richieste dal Provvedimento
Valutazione
delle
caratteristiche
soggettive
• valutazione delle
caratteristiche di
esperienza,
capacità e
affidabilità di chi è
designato come
AdS
• L’AdS deve fornire
garanzia del pieno
rispetto delle
vigenti
disposizioni in
materia di
trattamento
1
Designazioni
individuali
• La designazione
quale
amministratore di
sistema deve
essere individuale
e recare
l'elencazione
analitica degli
ambiti di
operatività
consentiti in base
al profilo di
autorizzazione
assegnato.
2
Elenco degli
amministratori
di sistema
• Gli identificativi
degli AdS, con le
funzioni ad essi
attribuite, devono
essere riportati
nel DPS.
• L'identità degli
amministratori di
sistema che
hanno accesso a
dati relativi ai
lavoratori devono
essere conoscibili
dai lavoratori
stessi
3
Verifica delle
attività
Registrazione
degli accessi
• L’operato degli
AdS è oggetto,
con cadenza
almeno annuale,
di un'attività di
verifica in modo
da controllare la
sua rispondenza
alle misure
organizzative,
tecniche e di
sicurezza
• Registrazione
degli accessi
logici ai sistemi di
elaborazione e
agli archivi
elettronici degli
AdS.
4
• Le registrazioni
devono:
• Includere
riferimenti
temporali
• Includere
descrizione
dell'evento che
le ha generate
• Essere
conservate per un
congruo periodo,
non inferiore a sei
mesi
5
110
Le Misure Richieste dal Provvedimento
Valutazione
delle
caratteristiche
soggettive
• valutazione delle
caratteristiche di
esperienza,
capacità e
affidabilità di chi è
designato come
AdS
Designazioni
individuali
• La designazione
quale
amministratore di
sistema deve
essere individuale
e recare
l'elencazione
analitica degli
ambiti di
operatività
consentiti in base
al profilo di
autorizzazione
assegnato.
Elenco degli
amministratori
di sistema
• Gli identificativi
degli AdS, con le
funzioni ad essi
attribuite, devono
essere riportati
nel DPS.
• L'identità degli
amministratori di
sistema che
hanno accesso a
dati relativi ai
lavoratori devono
essere conoscibili
dai lavoratori
stessi
Verifica delle
attività
Registrazione
degli accessi
• L’operato degli
AdS è oggetto,
con cadenza
almeno annuale,
di un'attività di
verifica in modo
da controllare la
sua rispondenza
alle misure
organizzative,
tecniche e di
sicurezza
• Registrazione
degli accessi
logici ai sistemi di
elaborazione e
agli archivi
elettronici degli
AdS.
Per essere conformi e per ottenere un beneficio è
necessario rispondere a tutti i requisiti:
• Sapere chi sono gli AdS
devono:
• Includere
• Sapere chi usa privilegi da AdS
riferimenti
temporali
• Far crescere la consapevolezza
• Includere
descrizione
che
• Attribuire correttamente i privilegi dell'evento
le ha generate
• Controllare periodicamente le attività• Essere
conservate per un
• NON SOLO RACCOGLIERE I LOG DEGLI ACCESSI
congruo periodo,
• L’AdS deve fornire
garanzia del pieno
rispetto delle
vigenti
disposizioni in
materia di
trattamento
1
2
3
4
non inferiore a sei
mesi
5
111
L’architettura di una soluzione
Un ambiente integrato per rispondere a tutti i requisiti
Ogni requisito è affrontato da un modulo specializzato:
A livello organizzativo e/o con un supporto tecnologico/applicativo
1
2
3
5
4
Un
ambiente
dedicato
112
Caratteristiche funzionali
Valutazione delle caratteristiche soggettive
• Valutazione
delle
caratteristiche
di esperienza,
capacità e
affidabilità di chi
è designato
come AdS
• L’AdS deve
fornire garanzia
del pieno
rispetto delle
vigenti
disposizioni in
materia di
trattamento
Soluzione
• Competenze e attitudini degli
AdS (interni ed esterni) già
presenti in azienda sono
verificate mediante questionari
online di autovalutazione
• Le procedure di
reclutamento/trasferimento degli
AdS sono adeguate al
provvedimento
1
113
Elenco amministratori e Designazioni individuali
• La
designazione
quale
amministratore
di sistema deve
essere
individuale e
recare
l'elencazione
analitica degli
ambiti di
operatività
consentiti in
base al profilo
di
autorizzazione
assegnato.
Soluzione
• I ruoli di amministratore
formalmente definiti sono
acquisiti da una fonte
autorevole aziendale
• I ruoli effettivamente presenti
nei sistemi sono rilevati da
sistemi di role discovery
• I risultati di questi due
processi sono validati dal
management responsabile
• L’assegnazione degli incarichi
è riferita all’ambito effettivo di
accesso privilegiato
• la gestione dei profili nel tempo
è monitorata da mediante
tecnologie Policy driven.
2
3
114
Verifica delle attività degli AdS
• L’operato
degli AdS è
oggetto, con
cadenza
almeno
annuale, di
un'attività di
verifica in
modo da
controllare la
sua
rispondenza
alle misure
organizzative,
tecniche e di
sicurezza
Soluzione
• I comportamenti operativi degli
AdS (interni ed esterni) sono
rilevati mediante questionari
online di autovalutazione
• I log di accesso, collezionati per
la conformità al provvedimento
(vedi punto successivo), sono
analizzati e valutati sulla base di
modelli di rischio predefiniti
4
115
Registrazione degli accessi
• Registrazione
degli accessi logici
ai sistemi e agli
archivi elettronici
degli AdS.
devono includere:
• Riferimenti
temporali
• Descrizione
dell'evento che le
ha generate
devono essere
conservate per un
periodo, non
inferiore a sei mesi
Soluzione
• I dati essenziali relativi agli
accessi degli amministratori
contenuti nell’elenco, sono
registrati nel repository
centralizzato e protetto, non
modificabile dagli
amministratori
• I log richiesti sono filtrati alla
fonte e cifrati
• I dati registrati sono
storicizzati e cancellati dopo
sei mesi
5
116
Evoluzione
Nella medesima architettura è possibile far confluire:
• Esigenze specifiche di monitoraggio non solo sui log in,
selezionando gli ambiti critici e le operazioni da controllare
• Allarmi e cruscotti per un controllo online di eventi critici
• Nuovi ambiti di controllo non riferibili a dati personali (listini,
piani marketing, piani di investimento, progetti di ricerca…)
L’architettura consente di integrare la soluzione con i sistemi
aziendali:
• Acquisire informazioni dal sistema di Identity Management
aziendale
• Acquisire i log dal sistema aziendale di log management
117
117
Grazie per l’attenzione
[email protected]
© CLUSIT 2010 - Amministratori di 118
sistema - Faggioli, Bechelli, Fumagalli

Amministratori di Sistema: stato dell`arte e problematiche aperte, a

Transcript

Documenti analoghi

L`AMMINISTRATORE DEL SISTEMA INFORMATICO AZIENDALE

L`Amministratore di Sostegno - Istituzione Gian Franco Minguzzi

Una storia d`amore e... una salumeria

Teatrini Memori - VolterraTeatro

themis - Aleramo Onlus

ISTITUTO TECNICO INDUSTRIALE “G. Bosco Lucarelli”

Scarica la scheda completa di CIA e SpyNetLog

Incontri con gli studenti Architetto Paolo Fumagalli

L`Acqua cheta a Fauglia

scarica regolamento della fiera