Gestione degli Accessi e Autenticazione
Il controllo degli accessi costituisce la prima linea di difesa. Le misure tecniche devono garantire che solo personale autorizzato possa accedere a sistemi e dati.
Credenziali di Accesso: È obbligatorio l’utilizzo di credenziali univoche (nome utente e password) per ogni dipendente, per l’accesso a computer, software aziendali e caselle di posta elettronica. La condivisione delle credenziali è vietata.
Password Forti: Le password devono essere robuste, preferibilmente di almeno 16 caratteri, comprendendo lettere maiuscole, minuscole, numeri e simboli. È fondamentale evitare parole di dizionario, sequenze comuni o informazioni personali.
Gestione delle Password: Per gestire molteplici credenziali, si raccomanda l’uso di un *password manager*. Le password non devono essere conservate in luoghi non protetti.
Autenticazione Multifattore (MFA): Per trattamenti a rischio elevato, l’accesso a sistemi e programmi critici dovrebbe essere protetto con MFA, implementabile tramite smart card che memorizzano in modo cifrato i privilegi di accesso dell’utente.
Blocco Automatico: I computer devono essere configurati per attivare il blocco dello schermo dopo un periodo di inattività.
2. Protezione di Dispositivi e Supporti
I dispositivi, specialmente quelli mobili, richiedono protezioni specifiche per mitigare i rischi di furto o smarrimento.
Crittografia: È una misura essenziale per la protezione dei dati *at-rest*. Devono essere crittografati i dischi di computer portatili, supporti di memorizzazione rimovibili (chiavette USB, dischi esterni) e, ove possibile, i database che contengono dati sensibili. La crittografia di file tramite programmi di archiviazione (es. ZIP con password) è una misura aggiuntiva valida.
Dispositivi Mobili: Smartphone e tablet devono essere protetti con PIN, pattern o, preferibilmente, password. Devono essere implementate funzioni di cancellazione remota dei dati dopo ripetuti tentativi di accesso falliti.
Uso Aziendale: I dispositivi aziendali devono essere utilizzati esclusivamente per scopi lavorativi. L’installazione di software non autorizzato è da vietare.
3. Protezione delle Reti e Comunicazioni
La sicurezza della rete aziendale è cruciale per prevenire accessi non autorizzati dall’esterno.
Firewall: È necessario implementare firewall (software o hardware) per filtrare il traffico di rete in entrata e in uscita,
proteggendo i dispositivi interni da attacchi esterni.
Router Internet: Il router, being the gateway to the internet, must be secured by:
Modifica delle credenziali di amministrazione predefinite.
Aggiornamento regolare del *firmware*.
Utilizzo degli standard di sicurezza Wi-Fi WPA2 o WPA3 e disattivazione del protocollo WPS, noto per essere vulnerabile.
Disattivazione dell’accesso amministrativo remoto e del protocollo UPnP se non strettamente necessari.
Protezione fisica del dispositivo.
Reti Private Virtuali (VPN): Per il collegamento sicuro di sedi remote o per il lavoro da remoto, è obbligatorio l’uso di una
VPN che crei un “tunnel” cifrato attraverso Internet.
Switch di Rete: Le apparecchiature di rete devono essere fisicamente protette (in armadi chiusi a chiave) e, ove possibile,
configurate per limitare l’accesso non autorizzato.
4. Manutenzione e Aggiornamento dei Sistemi
La sicurezza proattiva si basa sulla manutenzione continua dei sistemi informativi.
Aggiornamenti di Sicurezza: Sistemi operativi e programmi software devono essere mantenuti aggiornati all’ultima versione disponibile per applicare le *patch* di sicurezza che risolvono vulnerabilità note. L’uso di software non più supportati dal produttore (es. Windows XP) è da considerarsi inaccettabile.
Software Antivirus/Antimalware: Tutti i computer e i dispositivi mobili devono essere dotati di software antivirus, mantenuto costantemente aggiornato con le ultime definizioni di virus.
5. Procedure di Backup e Ripristino
Il backup dei dati è una misura tecnica fondamentale per garantire la disponibilità e l’integrità dei dati, come richiesto dall’Art. 32.
Pianificazione: La strategia di backup deve identificare i dati critici, definire la frequenza di backup (giornaliera, settimanale, ecc.), il supporto (dischi esterni, cloud) e i tempi di conservazione.
Separazione e Sicurezza: Le copie di backup devono essere conservate in un luogo fisico separato e sicuro, protette da accessi non autorizzati e da eventi calamitosi.
Test di Ripristino: È obbligatorio eseguire test periodici di ripristino dei dati per verificare l’integrità e l’efficacia dei backup. Un backup non testato non è da considerarsi affidabile.
6. Protezione Fisica e Dati Cartacei
Le misure tecniche includono anche la protezione fisica dell’infrastruttura e dei supporti cartacei.
Controllo Accessi Fisico: L’accesso ai locali che ospitano server, armadi di rete e archivi cartacei deve essere limitato al personale autorizzato.
Dati Cartacei: I documenti contenenti dati personali devono essere conservati in archivi o mobili chiusi a chiave. Al termine del periodo di conservazione, devono essere distrutti in modo sicuro (es. mediante distruggi-documenti).
Postazioni Lavoro: Gli schermi dei computer devono essere orientati in modo da impedire la visualizzazione a soggetti non autorizzati (“shoulder surfing”).
Questa è una sintesi che trasforma le istruzioni tecniche dettagliate in un framework di sicurezza strutturato e di immediata utilità operativa. Insieme alle Misure Organizzative e Registro dei Trattamenti, fornisce ora una procedura completa e integrata degli adempimenti di sicurezza richiesti dal GDPR, pronta per essere implementata e documentata nel proprio sistema di gestione.
Concludiamo questa serie di analisi con una sintesi sulla Valutazione d’Impatto sulla Protezione dei Dati (DPIA), uno degli strumenti più importanti e prescrittivi del GDPR, strutturando il processo in fasi logiche.
