Lo scorso novembre 2008 è stato emanato un provvedimento (pubblicato nella Gazzetta Ufficiale n.300 del 24 dicembre 2008, ndr) che ha regolarizzato la figura del cosiddetto amministratore di sistema, individuando misure e accorgimenti ai quali questa figura professionale si deve attenere. La scadenza per l’adeguamento alla normativa era prevista per fine aprile 2009 ma i termini sono stati prorogati perché sono ancora molti i quesiti legittimi relativi all’esatta interpretazione delle norme. ZeroUno ha approfondito il tema (già affrontato nello scorso numero del Security Journal di marzo, vedi anche il Web Security Journal su www.zerounoweb.it) con Wilmana Malatesta (nella foto), Integration Specialist di Visiant Security. “Va innanzitutto ricordato che la figura dell’amministratore di sistema è stata inserita per migliorare e agevolare la verifica delle norme sulla privacy”, esordisce Malatesta. “L’amministratore di sistema, secondo quanto stabilito dal Garante, è colui che gestisce e mantiene un sistema elaborativo e le sue componenti. Ciò significa che rientrano in questa categoria anche figure come l’amministratore di rete o il responsabile della singola applicazione custom, l’amministratore del data base o del sistema operativo, ecc. È immaginabile dunque la preoccupazione di enti e aziende che per essere compliant a questa norma devono prima di tutto capire chi, al loro interno, è o meno un amministratore di sistema secondo quanto stabilito dalla legge italiana”.
Analizzando quindi quali sono i passi da intraprendere per regolarizzarsi, Malatesta sottolinea come sia fondamentale, come primo step, “Sensibilizzare il titolare del trattamento dei dati sull’importanza di questa figura, ossia far capire in azienda di che tipo di skill si tratti per poter quindi individuare le persone preposte a tale ruolo”.
La persona competente, infatti, deve essere nominata individualmente e deve avere determinate caratteristiche: “Oltre alle competenze in materia – prosegue Malatesta -, deve naturalmente essere una persona di fiducia vista la tipologia di reato a cui si va incontro con l’inosservanza di queste regole (non c’è solo la responsabilità sulla privacy ma è prevista anche una responsabilità amministrativa che può tradursi in reato penale, ndr)”.
Il passo successivo è legato alle attività che deve svolgere l’amministratore di sistema. “In aziende di medio-grandi dimensioni possono coesistere più amministratori di sistema ed è quindi fondamentale che, una volta nominati individualmente, vengano elencate in modo dettagliato le loro aree di competenza e le singole attività che devono svolgere”, spiega Malatesta ponendo l’accento anche sull’outsourcing. “Anche se un’azienda decide di esternalizzare le attività legate all’amministratore di sistema, deve comunque redigere l’elenco delle persone che possono accedere ai propri sistemi e delle attività che queste svolgono”.
Le misure prescritte dal provvedimento, infatti, puntano i riflettori sulla registrazione degli accessi e sull’adozione di sistemi di controllo efficaci per monitorare tali accessi. “Non solo, le attività degli amministratori sono soggette a controllo annuale”, sottolinea Malatesta
In conclusione, gli interventi necessari per adeguarsi a queste normative vanno almeno in due direzioni: “Da una parte sono necessari interventi organizzativi e di processo – conclude Malatesta – attraverso l’individuazione di ruoli e attività; dall’altra parte, servono anche interventi tecnologici finalizzati al monitoraggio e al controllo”.
Amministratori di sistema: è tempo di nuove regole
La privacy è ormai un tema sentito anche grazie all’interesse mostrato dal Garante e dalle varie normative che ne prescrivono gli ambiti di applicazione. Prorogato al 30 giugno l’adeguamento alle regole dedicate agli amministratori di sistema. ma sono ancora tanti i dubbi
Pubblicato il 03 Giu 2009
Argomenti
Canali
Speciale Digital360Awards e CIOsumm.it
Articolo 1 di 2