Entro dicembre le imprese dovranno recepire il Codice di protezione dei dati personali e blindare i database
Per difendere reti e computer dall'offensiva di hacker e virus è necessario mettere a punto nuove strategie. La scadenza del 31 dicembre 2004, stabilita da apposito decreto della presidenza del Consiglio dei ministri relativamente all'applicazione dei dettami previsti dalla nuova legge privacy, si sta avvicinando. Le aziende, di qualsiasi grandezza, che si stanno adeguando solo ora alla norma sono ancora moltissime. Per questo può risultare utile una serie di controlli sui requisiti di base che le aziende dovrebbero soddisfare per garantire un minimo di compliance con la legge 196/2003. Le misure di sicurezza indispensabili. La legge 196/2003 effettua una serie di distinzioni tra le varie categorie di utenza che possono trattare a vario titolo i dati sensibili. In questo caso si cercherà di guardare all'utenza in generale piuttosto che seguire queste distinzioni. In questo modo sarà possibile utilizzare il contenuto dell'articolo anche per situazioni più generali. Un'importanza rilevante in questo periodo è data alle credenziali di accesso ai sistemi informativi e a Internet in generale. Di solito ogni utente è dotato di password e username univoci e personali costituenti le sue credenziali di autenticazione. Le password sono cambiate almeno ogni tre mesi (per i dati particolari) con le procedure previste dalla legge. La 196/2003, infatti, contiene delle informazioni di dettaglio sulla manutenzione e gestione di queste credenziali di accesso. Ad ogni modo per i dati personali le password sono cambiate almeno ogni sei mesi. In generale, i codici identificativi personali dovrebbero venire disattivati in caso di non utilizzo per più di sei mesi. Si tratta di una misura di sicurezza che ha anche il compito di evitare che terzi non autorizzati utilizzino account di personale in aspettativa, pensionamento e congedi vari. Questi casi sono in aumento. La legge. Un'altra esigenza dettata dall'introduzione della nuova legge privacy è quella della granularizzazione degli accessi. Ai dati particolari, infatti, dovrebbero avere accesso solo ed esclusivamente gli incaricati previsti nelle politiche di sicurezza e nei documenti correlati, grazie ad un sistema di verifica che gli permette di accedere alle parti degli elaboratori in cui sono conservati i dati particolari. Questo sistema si basa su un paradigma tecnologico/organizzativo chiamato identity management, sul quale sono molte le aziende che stanno investendo. A dire il vero l'identity management, oltre a garantire una certa aderenza ai dettami normativi italiani, garantisce anche un miglioramento del sistema di controllo degli accessi alle applicazioni, anche in ordine alla prevenzione e repressione delle linee guida e delle policy aziendali. Una governance migliore, insomma. Sia la legge 196/2003 sia gli standard di gestione della sicurezza delle informazioni prevedono una sorta di inventario delle misure di protezione. Ogni azienda dovrebbe avere una mappa delle proprie tecnologie, che dovrebbe essere inserita in una tabella appositamente compilata, dalla quale dovrebbe emergere, per esempio, che gli antivirus sono aggiornati con le nuove impronte virali con un tempo minimo di una settimana (la legge richiede sei mesi, in realtà si consiglia almeno quotidianamente). Il firewall, inoltre, dovrebbe essere verificato periodicamente nella sua efficienza dagli amministratori di sistema che scrivono l'aggiornamento in apposito verbale.
Il Sole 24 Ore - @lfa - art. pag. 5