quali sono le normative sulla privacy per amministratori di sistema - effizient informa

Amministratore di sistema e privacy: facciamo un po’ di chiarezza

Prima di approfondire il tema “amministratore di sistema e privacy” è bene capire di che cosa si occupa e quali sono le responsabilità di questa figura professionale. L’amministratore di sistema è di fondamentale importanza all’interno delle aziende; sempre di più la ricchezza, il valore aggiunto di un’azienda risiede nei suoi server, nei dati che tratta e nelle informazioni che raccoglie nel corso degli anni di attività.

Queste informazioni e questi dati devono essere protetti: l’azienda deve avere la garanzia che i propri sistemi informatici siano sicuri da attacchi esterni ma anche in caso di errori umani o problemi tecnici.

L’evoluzione tecnologica oggi ci permette di salvare le informazioni fondamentali per la vita della nostra azienda ovunque nel mondo, permettendoci di accedervi da qualsiasi luogo e in qualsiasi momento: è necessario però sapere come vengono trattati i nostri dati, dove possono risiedere e quali sono le misure di sicurezza adottate per evitare violazioni o perdite dei dati.

Il Garante Privacy si è preoccupato della sicurezza dei dati e ha emanato uno specifico provvedimento dedicato agli Amministratori di sistema (ovverosia quelle figure professionali finalizzate alla gestione e manutenzione di un sistema informativo; rientrano nella definizione fornita dal Garante Privacy anche gli amministratori di basi di dati, di reti e di apparati di sicurezza e di software complessi).

amministratore di sistema

Il provvedimento in materia di amministratori di sistema

Il Provvedimento in materia di Amministratore di sistema del 27 novembre 2008 prescrive al titolare del trattamento alcuni adempimenti affinché il trattamento dei dati da parte di questa figura sia in linea con la normativa. In aggiunta a ciò l’Allegato B – Disciplinare tecnico in materia di misure minime di sicurezza indica quali sono le modalità tecniche da adottare in caso di trattamento dei dati con strumenti elettronici (a titolo esemplificativo e non esaustivo vi rientrano l’adozione di credenziali di autenticazione, le previsioni sul cambio delle password, l’adozione di antivirus e firewall, le modalità di backup, la creazione di profili di autorizzazione etc.).

Il provvedimento in materia di Amministratore di sistema richiede al Titolare del trattamento di valutare attentamente le caratteristiche professionali dell’amministratore di sistema, sotto il punto di vista delle sue capacità, dell’affidabilità e dell’esperienza, e del pieno rispetto da parte sua della normativa.

L’amministratore di sistema scelto, sia esso sia un dipendente della struttura, sia che si decida di affidarsi ad una società esterna specializzata, dev’essere designato con elencazione dei compiti svolti ed è necessario tenere traccia delle persone fisiche che possono accedere ai server e dati.

Almeno annualmente è doveroso effettuare una verifica delle attività svolte dagli amministratori di sistema.

Il provvedimento richiede infine che gli accessi logici ai server da parte degli amministratori di sistema siano registrati; tali registrazioni devono contenere i riferimenti temporali e la descrizione dell’operazione svolta. Gli access log (registrazioni degli accessi) devono avere caratteristiche specifiche e devono essere conservati per almeno 6 mesi.

Il mancato rispetto del Provvedimento in materia di amministratore di sistema e dell’Allegato B – Disciplinare tecnico in materia di misure minime di sicurezza comporta la comminazione di pesanti sanzioni amministrative nonché la commissione di un illecito penale.

Perché è utile la nostra consulenza?

  • Per proteggere i dati e le informazioni che costituiscono parte del patrimonio dell’azienda;
  • Per non incorrere nelle pesanti sanzioni previste dalla normativa;
  • Per allineare alla normativa vigente la struttura.

In cosa consiste la nostra consulenza?

  • Valutazione dell’organizzazione informatica della struttura e stesura del manuale riepilogativo;
  • Supporto nella valutazione delle risorse interne ed elaborazione dello specifico documento di valutazione;
  • Individuazione formale dei soggetti che ricoprono la carica di Amministratore di sistema, siano essi dipendenti interni oppure una società specializzata esterna;
  • Verifica ed attestazione della presenza del sistema di log per la registrazione degli accessi degli amministratori di sistema;
  • Verifica ed attestazione della presenza delle misure di sicurezza previste dall’Allegato B del Codice Privacy;
  • Formazione privacy specifica per gli amministratori di sistema interni;
  • Attività di audit periodico per la verifica della corretta gestione dei modelli adottati e per l’adeguamento del modello organizzativo in caso di modifiche tecniche od organizzative.

Hai qualche dubbio o hai bisogno di un chiarimento? Compila il form e richiedi una consulenza, oppure prova a fare il test di autovalutazione per scoprire se la tua struttura è in linea con la normativa vigente!

Scopri se sei a norma >>