Corso privacy unità 4

Privacy e tutela dei dati personali

MODULO 4

Le misure minime di sicurezza

I dati oggetto del trattamento devono essere custoditi e controllati, anche in relazione alle natura dei dati e alle caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di misure di sicurezza, i rischi di:

- distruzione o perdita;

- accesso non autorizzato;

- trattamento non consentito;

- trattamento non conforme alla finalità del trattamento.

Il codice, a tal proposito, distingue tra trattamenti effettuati con e senza l'ausilio di strumenti elettronici.

Le misure minime di sicurezza

La normativa impone l'adozione delle misure minime di sicurezza dei dati. Si distinguono tre tipologie di misure:

• Tecniche-informatiche;

• Organizzative;

• Logistiche-procedurali.

- Identificazione dell'incaricato al trattamento dei dati;- Inserimento di password nei computer;- Utilizzo di antivirus aggiornati;- Salvataggio dei dati (backup);- Controllo periodico dei supporti di memorizzazione;- Ecc.

Le misure minime di sicurezza:misure tecnico-informatiche

- Analisi dei rischi che incombono sui dati;- Definizione dei ruoli e dei compiti;- Assegnazione delle responsabilità;- Formazione del personale;- Stesura del Documento Programmatico sulla Sicurezza (D.P.S.);- Ecc.

Le misure minime di sicurezza:misure organizzative

- Ingresso controllato nei locali in cui avviene il trattamento dei dati;- Custodia dei dati e delle informazioni in classificatori, cassetti o armadi non accessibili e protetti;- Verifica sui dati ed i trattamenti;- Dispositivi antincendio e/o anti-allagamento;- Continuità dell'alimentazione elettrica;- Controllo di manutenzione;- Sistemi di allarme;- Ecc.

Le misure minime di sicurezza:misure logistico-procedurali

Rischi che incombono sui dati

- Furto;- Interruzione di corrente;- Guasto del computer;- Danno volontario;- Incendio;- Virus informatici;- Errore umano;- Guasti tecnici;- Software difettoso o dannoso;- Uso del computer non autorizzato;- Cancellazione accidentale o volontaria dei dati;

.....................................continua

……………………….- Scarsa manutenzione;- Mancanza di protezione fisica dell'edificio (porte, finestre, ecc.);- Mancanza di controllo di accesso ai locali in cui avviene il trattamento dei dati;- Carenza di precauzione nell'eliminazione dei dati;- Non controllo delle copie;- Mancanza di personale;- Connessioni a linee non protette;- Intrusioni nelle rete informatica;- Gestione delle password carente;- Mancanza delle copie di backup;- Formazione insufficiente sulla sicurezza;- Mancanza di consapevolezza;- ecc.

Rischi che incombono sui dati

Trattamento senza l’ausilio di strumenti elettronici

Il trattamento dei dati e delle informazioni personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se sono adottate determinate misure di sicurezza, soprattutto se si tratta di dati sensibili e/o giudiziari. Le regole fondamentali da seguire sono le seguenti:

- Custodire e controllare i documenti e gli atti contenenti dati personali in maniera che ad essi non accedano persone prive di autorizzazione: utilizzare, quindi, supporti muniti di serratura e/o di lucchetto;- Controllare l'accesso agli archivi contenenti dati personali: le persone ammesse devono essere identificate e autorizzate, inoltre, al di fuori delle ore lavorative, o nei momenti in cui i dati vengono lasciati incustoditi, assicurarsi che i supporti ed i locali siano chiusi a chiave;- Dare istruzioni scritte agli incaricati finalizzate al controllo e alla custodia dei documenti e degli atti contenenti dati e informazioni personali.

Nell’ambito informatico, il termine “sicurezza” si riferisce a tre aspetti distinti:

- Riservatezza: prevenzione contro l’accesso non autorizzato alle informazioni;- Integrità: le informazioni non devono essere alterate da incidenti o abusi;- Disponibilità: il sistema deve essere protetto da interruzioni impreviste.

Trattamento con l’ausilio di strumenti elettronici

Un PC è sicuro quando protegge i dati personali, le informazioni e, più in generale, le attività svolte. Quando, cioè, garantisce che tutto quanto elaborato sia mantenuto in funzione, senza manomissioni, ritardi, cancellazioni.

Per rendere sicuro il PC, proteggendo lavoro e privacy, basta seguire una serie di accorgimenti.

Trattamento con l’ausilio di strumenti elettronici:nove regole per rendere sicuro il PC


Regola n. 1

Assicurare il PC dal punto di vista fisico:

- Posizionare i PC in aree che possano essere chiuse a chiave o in cui si possano installare allarmi;- Assicurarsi che l’accesso alla stanza con i PC sia controllato visivamente da qualcuno;- Chiudere a chiave i locali quando non c’è nessuno;- Conservare i numeri seriali dei PC nel caso di furto;- Fare installare generatori di corrente continua (utili nel caso di black-out o di sbalzo di corrente);- Considerare, oltre quello di furto, anche il rischio di incendio e adottare i sistemi di prevenzione.


Regola n. 2

Utilizzare un antivirus aggiornato:

- Installare un antivirus su ogni PC;- Aggiornare frequentemente l’antivirus;- Non disattivare mai le protezioni antivirus sulla posta in entrata e in uscita;- Lanciare periodicamente un controllo completo del PC;- Adottare qualsiasi meccanismo di autoprotezione disponibile, in particolare l’avvio automatico dell’antivirus.


Regola n. 3

Archiviare le informazioni (eseguire il backup):

- Eseguire regolarmente il backup del PC.

Il backup è una prassi necessaria, soprattutto per salvaguardare l’attività lavorativa o la conservazione di dati e informazioni.La normativa impone a chi conserva dati di terzi, mediante l’ausilio di strumenti elettronici, di fare la copia periodica dei database che contengono i dati e le informazioni.


Regola n. 4

Inserire la password in tutti i PC:

- L’assenza della password è un errore gravissimo: la regola è quella di inserirla sempre;- Ogni password deve avere almeno otto caratteri: più è lunga meglio è;- È’ consigliabile inserire una combinazione di numeri, lettere e simboli. Ovviamente la difficoltà è quella di ricordarla;- Cambiare periodicamente la password, oltre che nel primo utilizzo (ad es. ogni 3 mesi): nel momento in cui si cambia, è opportuno apportare significative variazioni rispetto a quelle precedenti;- È’ sconsigliabile immettere il nome reale dell’utilizzatore del PC o il nome della società: troppo immediato;- Evitare parole comuni (come “password” o forme del tipo “1234”);- Non farsi spiare durante la digitazione della password;- Custodire la password in un luogo sicuro: è consigliabile non scriverla mai ma impararla a memoria.


Regola n. 5

Adottare le cifrature per i file più importanti:

- Per i singoli file che contengono informazioni riservate esistono sistemi di difesa che impediscono l’accesso indesiderato da parte di persone indiscrete, ladri o hacker. Come fare? Tramite software che permettono di crittografare le informazioni oppure (metodo più semplice) scegliendo le proprietà di un file con il tasto destro e la voce “crittografia” nelle opzioni avanzate (quando si condivide un file su un server con sistema Windows server);- Mediante la crittografia l’unica persona autorizzata a modificare il file diventa il proprietario stesso del file.


Regola n. 6

Navigare su Internet in modo prudente:

- Non accedere a siti che non considerate affidabili;- Non eseguire transazioni utilizzando circuiti bancari sconosciuti;- Non navigare sul Web direttamente dal server di una rete;- Accedere a Internet con un Firewall (vedere regola n. 7);- Non navigare in siti illegali, violenti, pornografici, ecc.;- Ecc.


Regola n. 7

Installare un Firewall:

Un Firewall è un sistema in grado di decidere quali informazioni e dati far passare e quali fermare in una rete. Ispeziona, cioè, il flusso di dati che passa sulla rete locale, intervenendo nel momento in cui identificasse qualcosa di non permesso dalle regole che l’amministratore del Firewall ha deciso;Il Firewall è uno degli strumenti più utili per contrastare i tentativi di intrusione su un PC e in una rete;Un Firewall può essere sia un dispositivo fisico esterno al PC, sia una componente software che collabora con il sistema operativo e i programmi installati (Windows XP, Vista e 7 ad esempio, ha in dotazione un Firewall, chiamato Windows Firewall, a protezione dei dati personali e contro le intrusioni non autorizzate).


Regola n. 8

Usare la posta elettronica in maniera sicura:

Considerato il crescente bisogno di utilizzare la rete per comunicare e condurre attività commerciali, tenere sotto controllo le e-mail è fondamentale per dare continuità, sicurezza e protezione al proprio lavoro. La posta elettronica tuttavia, essendo il servizio più usato su Internet, è anche il più sfruttato sistema per portare attacchi alla sicurezza dei PC. Le minacce più sofisticate arrivano oggi proprio via e-mail: virus, spam, ecc.

- Tenere aggiornato il software per la posta elettronica;- Installare un antivirus che controlli la posta in entrata e quella in uscita;- Filtrare lo spamming, creando regole;- Non aprire e rispondere a messaggi di dubbia provenienza o sconosciuti;- Non aprire allegati considerati pericolosi o di dubbia provenienza;- Non partecipare a “catene di S. Antonio” e simili;- Non rispondere allo spamming;- Non fornire mai dati sensibili o importanti via e-mail.


Regola n. 9

Aggiornare il sistema periodicamente:

- Mantenere i sistemi operativi e le applicazioni aggiornati con regolarità ed efficacia;- Con il download e l’installazione degli aggiornamenti disponibili si eliminano i rischi e le nuove minacce (per fare ciò esistono due modalità: collegarsi al sito www.windowsupdate.microsoft.com oppure utilizzare la componente di Windows che permette gli aggiornamenti automatici).

Corso privacy unità 4

Documents

Transcript of Corso privacy unità 4