La recente norma emessa del Garante per la Protezione dei Dati Personali definisce le misure e gli accorgimenti richiesti alle funzioni aziendali con ruolo di amministratore di sistema.
Considerata la mansione che gli "amministratori di sistema" rivestono nella gestione e protezione delle banche dati e del sistema informativo in generale, il Garante "ha prescritto l'adozione di specifiche misure tecniche ed organizzative che agevolino la verifica della loro attività da parte di chi ha la titolarità delle banche dati e dei sistemi informatici". Le misure richieste dovranno essere attuate "entro quattro mesi da parte di tutte le aziende private e da tutti i soggetti pubblici, compresi gli uffici giudiziari, le forze di polizia, i servizi di sicurezza". Le misure richieste riguardano: - la Registrazione degli Accessi, ovvero l'dozione di sistemi di controllo che consentano la registrazione degli accessi effettuate dagli amministratori di sistema ai sistemi di elaborazione e agli archivi elettronici;
- la Verifica delle Attività, richiesta almeno con cadenza annuale da parte dei titolari del trattamento sulla rispondenza dell'operato degli amministratori di sistema alle misure organizzative, tecniche e di sicurezza previste dalla legge per i trattamenti di dati personali;
- l'Elenco degli amministratori di sistema e loro caratteristiche. Ciascuna azienda o soggetto pubblico dovrà inserire nel documento programmatico della sicurezza o in un documento interno (disponibile in caso di accertamenti da parte del Garante) gli estremi identificativi degli amministratori di sistema e l'elenco delle funzioni loro attribuite.
IKS operando da molti anni in questo particolare ambito ha maturato molteplici esperienze.
Vi possiamo perciò supportare sia da un punto di vista normativo (interpretazione ed attuazione della norma) sia nel proporvi la soluzione più appropriata per lo scopo.
Segnaliamo a tal proposito due soluzioni che rispondono pienamente all'esigenze manifestata dal Garante: - I’m® User Audit Management.
Prodotto nato specificamente per la gestione della compliance degli accessi. La soluzione può integrarsi con I’m® IAM, l'omonimo framework di Identity & Access Management; - RSA Envision.
Soluzione appliance nata per la gestione e correlazione di tutti gli eventi di sicurezza prodotti dal sistema informativo del Cliente.
Entrambe le soluzioni risultano avere caratteristiche di non invasività rispetto al sistema informativo "controllato" e di semplicità/rapidità di implementazione.
Per maggiori informazioni sul Provvedimento del Garante:
|
