Il T.U. sulla privacy impone l'adozione di una serie di misure di minima che si traducono in precise funzionalità dell'hardware e del software.
Le misure, ovviamente, valgono per tutti, diverso è invece l'approccio per quanto concerne la loro implementazione, che varia a seconda della tipologia dell'infrastruttura informatica.
Per quanto concerne quello che il Legislatore identifica con i termini "autenticazione informatica", "credenziali di autenticazione", "sistema di autorizzazione", tecnicamente si traducono nell'obbligatorietà di adottare un Sistema Operativo in grado di gestire e documentare l'accesso ai dati.
La nostra azienda ha deciso di implementare sistemi basati su Linux, in quanto, oltre a rispondere alle prescrizioni di Legge, è un Sistema Operativo moderno, professionale, a sorgente aperto, liberamente disponibile (non si compra ma si usa), il cui aggiornamento e sviluppo è curato in modo preciso e puntuale da una comunità di esperti molto vasta oltre che da aziende di primaria importanza quali IBM, HP, Sun Microsystem.
Ciò ci permette di proporre soluzioni server
a partire da 1.499,99 euro
hardware e Sistema Operativo compreso.
Le misure di minima da adottare variano inoltre in funzione della configurazione complessiva del sistema (singola postazione o rete di macchine, accesso a internet, gestione della posta elettronica).
Nel caso di un piccolo studio professionale o una piccola azienda con un unico posto di lavoro, sebbene, tecnicamente è preferibile slegare il server dal posto di lavoro, la stessa macchina server potrebbe essere utilizzata come posto di lavoro, purchè vengano adottate le necessarie procedure operative di sicurezza.
Nel caso di una rete e dell'accesso a internet invece, è necessario fare un ulteriore distinzione.
Il T.U. pone infatti particolare rilievo alla protezione dei dati e degli strumenti elettronici da accessi non consentiti e programmi "maligni".
Ciò comporta la necessità di dotarsi di un router firewall a protezione della rete interna con registrazione dei tentativi di accesso alla rete provenineti da internet su una macchina diversa dal router firewall stesso (normalmente sul server, provvedendo a inserire anche queste informazioni fra i dati che vengono salvati periodicamente) e software antivirus su tutte le macchine interne. L'aggiornamento degli antivirus dovrà essere automatizzato con apposite procedure e verificato periodicamente dai singoli operatori (ci sono in circolazione diversi virus in grado di disabilitare l'aggiornamento ed il funzionamento dei software antivirus).
Per evitare questi problemi e tutti gli altri connessi e derivanti dalla ricezione per posta elettronica di virus e cavalli di troia, la nostra azienda ha deciso di adottare anche sui posti di lavoro (oltre che sul server) il Sistema Operativo Linux notoriamente NON ATTACCABILE DAI VIRUS.
Gli obblighi di copia dei dati (backup) vengono assolti da procedure automatiche sul server mediante l'uso di dischi rimuovibili mentre per la conservazione delle copie sono state definite particolari procedure operative.
L'accesso ai dati sensibili viene protetto e limitato a specifici operatori solo da determinati posti di lavoro mediante opportune politiche di sicurezza implementate direttamente sul server a livello di singolo documento e singolo operatore incaricato.
Inoltre, i dati sensibili vengono fisicamente allocati su supporti diversi da quelli destinati ai dati personali e, mediante un file system specifico, vengono codificati e cifrati con il sistema della doppia chiave, pubblica e privata.
Ultimo aspetto meritevole di approfondimento e specifica personalizzazione è quello inerente l'alimentazione di soccorso dei server e di certi client.
Al fine di evitare perdite o danneggiamento dei dati in caso di mancanza improvvisa di energia elettrica, è necessario che i server siano dotati di apposito gruppo di soccorso di adeguata capacità e potenza.
Dipendentemente dal tipo di servizio, potrebbe essere necessario dotare anche certi client specifci di gruppo di continuità.
Compito dell'Amministratore del Sistema compiere le periodiche verifiche di funzionamento ed efficienza dei gruppi di soccorso.
Documento predisposto a cura del Supporto Marketing e Comunicazione di e. tel. elettronica e telecomunicazioni - Trieste - ITALIA - Tutti i diritti sono riservati.
Teniamoci in contatto
