Come tutti sanno, il Garante per la protezione dei dati personali ha stabilito che entro il 28 Febbraio 2009 (termine prorogato al 30 Giugno 2009) tutte le aziende - private e pubbliche - dovranno registrare e conservare i dati relativi agli accessi degli Amministratori di Sistema ai sistemi da loro gestiti, al fine di agevolare la “verifica sulla loro attività da parte di chi ha la titolarità delle banche dati e dei sistemi informatici” (Gazzetta Ufficiale n. 300, 24 Dicembre 2008).

Ogni azienda, dopo aver individuato i sistemi (dispositivi di rete, database, apparati di sicurezza e sistemi software complessi) che contengono i dati più critici ed averne nominato gli amministratori, dovrà dotarsi di un sistema di Log Management in grado di tracciare gli accessi degli operatori ai dispositivi ed alle applicazioni che gestiscono. Questo sistema dovrà conservare i dati in maniera sicura per un periodo minimo di sei mesi e dovrà essere consultabile dall’azienda e dalle autorità.

Le misure da adottare per gli Enti e le Aziende che trattano dati personali sanitari e giudiziari entro il 30/06/2009 sono quindi:

1. Designazioni individuali
2. Verifica delle attività
3. Registrazione degli accessi
4. Elenco degli amministratori di sistema e loro caratteristiche

DESIGNAZIONI INDIVIDUALI
Riguarda la natura individuale dell'attribuzione del ruolo qui analizzato. In sede di commento si può qui dire che ciò è da intendere, ai limitati fini della privacy e con effetti giuridici ad essa attinenti, nel senso che si debba individuare come Amministratore di sistema solo una persona fisica. Considerando le numerose prassi in atto in cui molte Imprese e Studi professionali agiscono, per la supervisione e per la manutenzione del loro sistema informativo, affidandosi a Società esterne, è necessario che i titolari di trattamento svolgano un'individuazione, all'interno delle realtà organizzative che forniscono i predetti servizi, del soggetto (o, nei casi complessi, dei soggetti) che assume formalmente il ruolo in esame. La designazione deve anche precisare, come chiarisce il documento, in modo analitico "gli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato".

VERIFICA DELLE ATTIVITA'
Il Garante pone, degli ulteriori obblighi, da valutare alquanto impegnativi per la maggior parte delle Imprese e degli Studi professionali. Una prima attiene all'obbligo di effettuare, con cadenza almeno annuale, un'"attività di verifica" nei confronti del soggetto-Amministratore di sistema atta a "controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti". Tale prescrizione non risulta, obiettivamente, di facile applicazione: come può un'Impresa o uno Studio professionale mettere in atto un controllo di tale complessità? Evidentemente l'unica soluzione è quella di affidare all'esterno e ad ulteriori soggetti i profili più strettamente tecnici della verifica annuale.

REGISTRAZIONE DEGLI ACCESSI
Adozione di sistemi di controllo per monitorare gli accessi effettuati dagli amministratori di sistema agli archivi elettronici e ai sistemi di elaborazione dati. Le registrazioni possono essere conservate per 6 mesi . Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste.

ELENCO DEGLI AMMINISTRATORI DI SISTEMA E LORO CARATTERISTICHE
Ciascuna azienda o soggetto pubblico dovrà inserire nel documento programmatico della sicurezza o in un documento interno (disponibile in caso di accertamenti da parte del Garante) gli estremi identificativi degli amministratori di sistema e l'elenco delle funzioni loro attribuite. (Documento da stilare previa consultazione del DPS e degli amministratori già presenti.
Un'ulteriore prescrizione è connessa al trattamento di informazioni di carattere personale di lavoratori qualora, evidentemente, sia presente una figura di Amministratore di sistema. In tale ipotesi i titolari privati sono tenuti a rendere nota o conoscibile, nell'ambito delle proprie Organizzazioni, l'identità degli Amministratori ai lavoratori-interessati.

Fasi di attuazione dell’intervento per l’adeguamento

• FASE A – Analisi Fabbisogni e documentazione
• FASE B – Sviluppo software
• FASE C – Server di Log Centralizzato

FASE A – Analisi Fabbisogni e documentazione
1) Analisi DPS
2) Sopralluogo per verifica attuale situazione hardware/software e colloqui con gli attuali amministratori e titolari del trattamento dati
3) Individuazione del software/hardware da acquistare o sviluppare per migliorare la sicurezza con il rilevamento fraud detection e la registrazione degli accessi ai sistemi informatici dell'Ente
4) Installazione e testing del software di registrazione accessi
5) Stesura documentazione:
A)Elenco dettagliato degli amministratori e dei soggetti equipollenti ai fini del trattamento dei dati
B) Individuazione o reindividuazione degli ambiti di operatività consentiti all'amministratore e ai soggetti equivalenti ai fini del trattamento dei dati
C) Informativa ai lavoratori interessati della nomina dell'amministratore e suoi equivalenti con indicazione delle principali attività nell'ambito del Codice della Privacy e della gestione hardware/software dell'Ente
D) Informativa ai lavoratori interessati della gestione degli accessi realizzata e delle sue proprietà di fraud detection
E) Informativa agliamministratori di sistema delle modalità di verifica annuale da parte del responsabile del trattamento dati
6) Colloqio finale con i responsabili dell'Ente e formazione degli interessati sulle prescrizioni attuate ai sensi del provvedimento del Garante e sulle modalità di attuazione

FASE B – Sviluppo software
Per l’acquisizione dei log Amministratore di Sistema provenienti daiserverè previsto lo sviluppo di applicazioni software personalizzate che dovranno gestire la trasmissione in SSL dei log desiderati su un unico server che rappresenta il log Server del sistema.
Su quest’ultimo server verrà installata una procedura sviluppata per l’occasione che mediante opportune pagine di consultazione (riservate al titolare del trattamento dati e ai suoi delegati) permette la verifica delle attività degli amministratori di sistema per qualsiasi periodo di riferimento mantenendo in memoria per oltre 6 mesi i log filtrati dei soli amministratori.

FASE C – Server di Log Centralizzato
Acquisto, installazione e configurazione di un server con unità di backup per la funzionalità di log Server centralizzato con requisiti di completezza e inalterabilità e con strumenti di report per le verifiche.