Adozione delle misure di sicurezza: il vademecum per gli Enti locali

DPO in pillole/ Data protection e cybersecurity: quali sono le misure di sicurezza da applicare ai vari rischi dopo che si è effettuata la loro valutazione?

20 Febbraio 2023
Scarica PDF Stampa
Modifica zoom
100%
di LUISA DI GIACOMO*

Nell’approfondimento della settimana scorsa, abbiamo analizzato come effettuare una valutazione dei rischi, ovvero l’analisi, da eseguirsi a cura del consulente privacy, o del Data Protection Officer (figure che, soprattutto negli Enti di dimensioni più ridotte, spesso coincidono) di quali rischi corrono i dati trattati dall’Ente Titolare del trattamento, per valutarne l’eventuale impatto sui diritti e sulle libertà fondamentali dei cittadini interessati e decidere quali adempimenti attuare.
Tra gli adempimenti da concretizzare si possono valutare l’adozione di adeguate misure di sicurezza, oppure decidere in quali casi è necessario (oppure obbligatorio) redigere una valutazione di impatto (DPIA – Data Protection Impact Assesment), ed infine, qualora il trattamento si riveli così invasivo e pericoloso, consigliare il Titolare del trattamento di interromperlo.
C’è da specificare che gli Enti locali trattano i dati sempre sulla base di un compito di interesse pubblico o di una norma di legge; pertanto, quest’ultima possibilità rimane meramente di scuola.

Quali sono le misure di sicurezza da applicare ai vari rischi dopo che si è effettuata la loro valutazione?  Sempre tenendo a mente che il rischio zero non esiste, e che nell’attività di trattamento dei dati il massimo a cui si può aspirare è la minimizzazione, ciascun Ente dovrà affrontare il problema della tutela dei dati sulla base dei principi di accountability, privacy by design e by default e approccio basato sul rischio, ossia aumentare le misure di sicurezza tanto quanto il rischio che è stato misurato (e che si deve andare a presidiare) sia risultato elevato. I rischi valutati sono stati divisi in tre macrocategorie: quelli relativi al personale, quelli che riguardano gli strumenti ed infine quelli che sono connaturati al contesto in cui i dati vengono trattati: per ciascuna di queste categorie e per ciascun rischio specifico sarà necessario implementare misure tecnico-organizzative a presidio e minimizzazione.

Le misure di sicurezza suggerite qui di seguito sono in parte di natura organizzativa e in parte di natura tecnica e, come sempre, costituiscono un canovaccio di base, un vademecum di partenza che andrà modellato e personalizzato da ciascun Ente a seconda delle dimensioni e dell’effettiva applicabilità al proprio ambito di operatività quotidiana.

  1. Formazione: l’Ente ha l’obbligo di organizzare ed erogare a tutto il personale dipendente corsi specifici, da svolgersi con periodicità per lo meno annuale, vertenti non solo sulla normativa specifica a tutela del trattamento dei dati (GDPR), ma altresì sulle policy di sicurezza informatica (cybersecurity) al fine di imparare quanto meno a riconoscere in maniera autonoma le minacce informatiche più comuni. La formazione deve essere debitamente documentata, svolta da professionisti o organizzazioni qualificate, e dovrebbe contenere anche test di valutazione (anche in forma di penetration test e campagne di cosiddetto “phishing probing”, ossia finte campagne di phishing per verificare l’effettivo apprendimento della teoria).
  2. Istruzioni per il trattamento: a seguito ed a completamento della formazione, è necessario predisporre le istruzioni e le regole da seguire per il trattamento dei dati, in forma di disciplinare tecnico, modello organizzativo privacy e regolamento informatico. Non c’è un modello prestabilito per la redazione di queste istruzioni, che devono tuttavia coinvolgere necessariamente il DPO ed essere portate a conoscenza di tutto il personale con mezzi idonei. È onere del Titolare del trattamento assicurarsi che il personale applichi effettivamente le policy predisposte, che, qualora si limitino a restare sulla carta, non potranno costituire una valida misura di sicurezza, come invece accade se vengono correttamente applicate.
  3. Nomina per iscritto: abbiamo già specificato che i dipendenti dell’Ente devono essere nominati per iscritto autorizzati a trattare i dati della propria area di competenza lavorativa, così come i responsabili esterni e gli amministratori di sistema devono ricevere le relative nomine formali con istruzioni operative. Anche in questo caso va da sé che le nomine non devono e non possono restare lettera morta, ma affinché possano spiegare la loro funzione di misure di sicurezza dovranno essere riempite di contenuto effettivo (accountability vuol dire anche passare dalla forma alla sostanza).
  4. Redazione delle procedure: anche delle procedure abbiamo già parlato in questa rubrica. Come misure di sicurezza specifiche, a presidio e minimizzazione del rischio, la procedura di data breach e quella di disaster recovery non possono assolutamente mancare all’interno di un Ente che voglia seriamente contenere il rischio, per fare fronte ad un attacco informatico di successo e riprendere la continuità operativa nel minore tempo possibile.
  5. Policy dell’Ente: non di sole procedure informatiche vive la sicurezza dell’Ente, ma anche di buone prassi giornaliere per lo svolgimento delle mansioni quotidiane. Inserire tra le misure di sicurezza la cosiddetta “clean desk policy”, cioè l’obbligo di archiviare i documenti su cui si è lavorato alla fine di ogni giornata e di non lasciare la scrivania ingombra di fascicoli costituisce una buona prassi, così come instaurare l’obbligo di chiusura a chiave delle stanze quando ci si allontana dalla scrivania, di avvio dello screen saver del computer, e della chiusura a chiave degli armadi dove vengono conservati i dati, sia in forma cartacea, sia in forma digitale.
  6. Controllo degli accessi: tra i rischi valutati si è parlato, con riferimento al contesto, del pericolo che possono rappresentare accessi non autorizzati nei locali fisici dell’Ente. Questo negli Enti di maggiori dimensioni avviene più di rado, mentre nei Comuni più piccoli è prassi più usuale. In ogni caso, è considerato accountable predisporre un registro accessi fisici nei locali dell’Ente e tenere traccia dei soggetti esterni che circolano all’interno dei locali (il registro può essere un semplice documento word o Excel, e deve avere in calce la sua relativa informativa).
  7. Firewall: relativamente alle misure di sicurezza tecniche, tra le prime e più importanti, figura certamente il dotarsi di firewall di ultima generazione, che permettono di gestire le porte per i servizi disponibili dall’esterno (telecamere, Posta, server ecc.), mantenerli aggiornati e configurarli correttamente.
  8. Software di protezione: abbiamo detto che la formazione del personale a riconoscere in maniera autonoma le minacce è di importanza vitale, ma spesso non è sufficiente a scongiurare i rischi di perdita di disponibilità o riservatezza dei dati o distruzione. È quindi obbligatorio che ogni device in uso all’Ente sia dotato come minimo di un antivirus, ed è altresì consigliabile anche installare software antispam e anti-phishing (il phishing rimane a tutt’oggi il veicolo più comune per la diffusione dei ransomware).
  9. Accesso ai dati protetto da credenziali di autenticazione: tutti i computer e gli utenti devono essere a dominio e la gestione delle password deve essere centralizzata, con obbligo di cambio periodico. Per quanto riguarda le password, costituisce misura di sicurezza adatta a minimizzare il rischio di perdita di riservatezza o furto di credenziali l’adozione di una policy che obblighi il personale a cambiare le password ogni tre mesi, e che strutturi le chiavi di accesso in maniera robusta (una buona password dovrebbe contenere sequenze di lettere casuali, numeri, maiuscole, minuscole, caratteri speciali e numeri).
  10. Differenziazione degli accessi al gestionale/server: l’accesso alle informazioni e ai dati presenti sul server deve essere effettuato in funzione dei diritti che sono stati assegnati all’utente che si sta identificando, evitando il sistema per cui “tutti vedono tutto” soprattutto evitandolo sulla base della considerazione che “è più comodo” o, peggio, che “si è sempre fatto così”. La sicurezza dei dati porta con sé un minimo di lavoro in più, ma una volta che la procedura entra nella routine lavorativa, diventa parte integrante del lavoro quotidiano.
  11. Implementare un log server amministratore e tracciare tutti i log utenti: per tenere traccia delle attività degli utenti e degli accessi è necessario tracciare i log, in modo da poter risalire alla fonte in caso di incidente.
  12. Attivazione dell’aggiornamento automatico dei sistemi operativi: al fine di evitare le vulnerabilità del sistema, ogni volta che viene rilasciato un aggiornamento deve essere obbligatorio installarlo. Non farlo potrebbe portare conseguenze disastrose, come si è avuto modo di vedere in occasione dell’attacco ransomware al software VMWare, che ha sfruttato una falla di ben due anni fa nelle macchine che non avevano installato la patch (cioè gli aggiornamenti).
  13. Effettuare costante manutenzione dei sistemi hardware: non solo la manutenzione degli hardware in uso, ma anche la dismissione dell’hardware obsoleto dovrebbe rientrare nelle misure di sicurezza dell’Ente. Quando si “manda in pensione” una macchina non basta cancellare i dati al suo interno con un semplice click. È bene sapere che i dati rimangono all’interno dell’hard disk e che un hacker anche solo discreto sarebbe in grado di estrapolarli con relativa facilità. L’hardware va dismesso secondo le procedure implementate dal dipartimento IT dell’Ente (o in mancanza di concerto con il DPO o consulente di Data Protection).
  14. Assessment continui: tutte queste azioni e misure di sicurezza sono inutili se non entrano a fare parte della routine dell’Ente, che deve continuamente e costantemente sottoporre il proprio sistema a verifiche periodiche e Assessment continui, per correggere il tiro laddove sia necessario e realizzare concretamente e praticamente la vera accountability del Titolare.

>> L’ARCHIVIO INTEGRALE DELLA RUBRICA DELL’AVV. LUISA DI GIACOMO.

Cybersecurity - Luisa Di GiacomoL’AUTORE
* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online, già autrice per La Gazzetta degli Enti Locali della rubrica I martedì della cybersecurity.
Le piace definirsi Cyberavvocato.

Redazione

Scrivi un commento

Accedi per poter inserire un commento