3
Capitolo 1: IL TESTO UNICO SULLA PRIVACY
Introduzione
Il primo gennaio del 2004 è entrato in vigore in Italia il Testo Unico sulla Privacy,
Decreto Legislativo 30/06/2003 n. 196, comunemente denominato “Codice della
Privacy” [DL196] che razionalizza e in molte parti rinnova la normativa
precedentemente in vigore, la legge 676 del 1996, che aveva già introdotto la
problematica ma era molto meno stringente negli obblighi a cui ottemperare.
Il Codice impone a tutti coloro che “trattano” informazioni che ricadono sotto la
definizione di “dato personale” l’adozione di una serie di misure che ne tutelino
specifiche caratteristiche di sicurezza, tenendo presente le seguenti definizioni di cui
all’articolo 4 del Codice stesso:
“Dato Personale”: qualunque informazione relativa a persona fisica,
persona giuridica, ente od associazione, identificati od identificabili, anche
indirettamente, mediante riferimento a qualsiasi altra informazione, ivi
compreso un numero di identificazione personale.
“Trattamento”: qualunque operazione o complesso di operazioni, effettuati
anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la
registrazione, l’organizzazione, la conservazione, la consultazione,
l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto,
l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la
cancellazione e la distruzione di dati, anche se non registrati in una banca
dati.
Si tralascia l’esame della parte di Codice che esula le problematiche che non hanno
ricadute di tipo tecnico, ma è comunque evidente che il suo rispetto coinvolge gran
parte di coloro che utilizzano strumenti informatici. Per un esame complessivo del
provvedimento si rimanda ad esempio a [GD03].
Le misure di sicurezza
Il titolo V del Codice, “Sicurezza dei dati e dei sistemi”, indica una serie di misure di
sicurezza in generale, e di misure minime in particolare, da adottare per proteggere non
solo le informazioni ma anche i Sistemi che le contengono.
L’articolo 31 impone tra l’altro misure che evitino rischi di distruzione o perdita, di
accesso o trattamento illeciti, sia che ciò avvenga in maniera volontaria che accidentale.
L’articolo 32 affronta il problema dell’utilizzo di reti e dei relativi sistemi di
comunicazione elettronica.
4
L’articolo 34 elenca le misure minime di sicurezza da adottare per il trattamento
elettronico di dati personali:
• autenticazione informatica.
• adozione di procedure di gestione delle credenziali di autenticazione.
• utilizzazione di un sistema di autorizzazione.
• aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito
ai singoli incaricati ed addetti alla gestione o alla manutenzione degli strumenti
elettronici.
• protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati,
ad accessi non consentiti e a determinati programmi informatici.
• adozione di procedure per la custodia di copie di sicurezza, il ripristino della
disponibilità di dati e dei sistemi.
• tenuta di un aggiornato documento programmatico sulla sicurezza.
• adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti
di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi
sanitari.
L’articolo 36 precisa che tutte le misure adottare devono comunque seguire l’evoluzione
tecnica e le nuove esperienze maturate nel settore e quindi viene richiesto uno sforzo
costante nel tempo per l’adozione di contromisure nei confronti di minacce che derivino
dall’evoluzione delle abilità tecniche di coloro che possono avere l’intenzione di violare
i dati e i Sistemi oggetto di tutela.
Il disciplinare tecnico e il documento programmatico sulla
sicurezza
Le misure indicate nel paragrafo precedente (articoli dal 33 al 36 del Codice) devono
essere adottate rispettando un disciplinare tecnico (allegato B al Codice) che esplicita
punto per punto gli obblighi che ciascuna delle misure minime di sicurezza sopra
elencate comporta.
Particolare novità è la norma che al punto 17 impone “gli aggiornamenti periodici dei
programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a
correggerne difetti”, cioè le cosiddette patches. E’ noto infatti che l’applicazione
regolare delle patch che riguardano la sicurezza permetterebbe di evitare la quasi totalità
delle intrusioni non autorizzate all’interno di sistemi informatici [Rog01] [SANS00], ed
è quindi rimarchevole il fatto che legislatore abbia voluto esplicitare una norma del
genere.
Il punto 19 prescrive l’obbligo di redigere ogni anno il cosiddetto “Documento
programmatico sulla sicurezza”, contenente “idonee informazioni” riguardo alcune
problematiche tra le quali si citano:
• l’elenco dei trattamenti.
• la distribuzione di compiti e responsabilità.
• l’analisi dei rischi che incombono sui dati.
• le misure da adottare per garantire integrità e disponibilità dei dati, nochè la
protezione delle aree e dei locali rilevanti ai fini della loro custodia ed accessibilità.
5
• la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati a
seguito di distruzione o danneggiamento. Questo punto rimanda al successivo punto
23 nel quale cui si estende il concetto di ripristino della disponibilità anche ai
sistemi e quindi richiamando a problematiche di disaster recovery. Tale
disponibilità, tra l’altro, è da ripristinare in tempi tecnicamente strettissimi.
• la formazione sulla sicurezza.
I punti 21 e 22 parlano dell’utilizzo dei supporti removibili come strumento per la
memorizzazione di dati e della loro distruzione in caso di non utilizzo. Il concetto di
supporto removibile è tuttavia estendibile alle memorie di massa (hard disk)
normalmente installate all’interno di elaboratori, tenendo presente che al termine del
ciclo di vita del Sistema esse dovranno essere opportunamente trattate prima di essere
avviate in discarica (insieme al Sistema o in maniera indipendente) o ad altro tipo di
recupero.
L'analisi dei rischi
Ciò che la normativa richiede è che si identifichino tutte le minacce che incombono sui
dati e sui sistemi che li ospitano e che di conseguenza si adottino tutte le contromisure
necessarie per ripristinare un livello di sicurezza minimo.
Per molte organizzazioni l’obbligo della stesura del documento programmatico sulla
sicurezza è stato il pretesto per fare una seria analisi dei rischi e programmare un piano
di contromisure.
L’analisi dei rischi deve portare alla presa di coscienza da parte dell’organizzazione del
fatto che le proprie risorse informative possono essere oggetto di minaccia, e questo
naturalmente a prescindere che trattino dati personali.
La molteplicità delle aree coinvolte – gestione del personale e degli accessi, gestione dei
Sistemi, gestione delle reti, smaltimento – e il livello di complessità che ciò comporta
implica che il processo di analisi sia svolto utilizzando criteri e metodologie allo scopo
di non ridurlo ad un esercizio fine a sé stesso, o fine solo all’adempimento legislativo,
ma in modo che sia un’occasione da sfruttare da parte dell’organizzazione coinvolta.
Conclusioni
In questo capitolo è stata esaminata la nuova normativa sulla privacy. Essa ha
implicazioni dal punto di vista tecnico più onerose ma anche più innovative rispetto alla
situazione precedente, imponendo tra l’altro l’effettuazione di un’approfondita analisi
dei rischi. Nel prossimo capitolo verrà esaminato il processo di analisi dei rischi da un
punto di vista metodologico.
6
Capitolo 2: IL RISCHIO NEI SISTEMI INFORMATICI
Introduzione
Benchè si voglia nella presente trattazione porre l’accento principalmente sugli aspetti
tecnici il problema del rischio, e della sicurezza in genere, per la grande quantità di
aspetti che coinvolge richiede di considerare moltissimi aspetti non tecnici, quali le
politiche, le procedure operative e la formazione del personale.
Nell’affrontare quindi il problema della sicurezza ogni organizzazione dovrebbe
comunque seguire una serie di principi generali, comunemente accettati ed applicati
dalla comunità informatica.
Si elencano alcuni di questi principi, rimandando per una trattazione più approfondita a
[SHF04]:
• I presupposti della sicurezza:
o stabilire una chiara politica come base per la progettazione della sicurezza.
o trattare la sicurezza come parte integrale nella progettazione di ogni sistema.
o delineare chiaramente i confini fisici e logici governati da diverse politiche di
sicurezza.
o assicurarsi che ogni persona coinvolta sia addestrata su come implementare
sistemi sicuri.
• Affrontare i rischi:
o ridurre il rischio a un livello accettabile.
o ritenere i sistemi esterni come insicuri.
o identificare i compromessi da accettare tra una riduzione del rischio (e un
aumento dei costi) rispetto alla diminuzione dell’efficienza di altri aspetti
operativi dell’organizzazione.
o implementare sistemi di gestione della sicurezza personalizzati per la realtà in
cui devono effettivamente operare.
o proteggere le informazioni mentre vengono elaborate, memorizzate o trasportate.
o proteggersi contro tutte le tipologie note di attacco.
• Facilità di utilizzo:
o usare sempre un linguaggio comune ed accettato da tutti i soggetti coinvolti.
o progettare la sicurezza in modo da poter effettuare in ogni momento integrazioni
per l’adozione di nuove tecnologie o per l’evoluzione dell’organizzazione.
o privilegiare la facilità d’uso di ogni strumento adottato.
• Resilienza:
o evitare singoli punti di vulnerabilità.
o provvedere che il sistema sia resiliente e continui a funzionare anche in seguito a
reali minacce.
o isolare gli accessi pubblici dai sistemi critici.
o stabilire un confine tra sistemi critici e infrastruttura di rete.
o implementare un sistema che permetta di tracciare comportamenti fraudolenti e
sia di supporto per successive investigazioni.
o predisporre procedure di disaster recovery.
7
• Ridurre le vulnerabilità:
o privilegiare la semplicità.
o minimizzare i componenti del sistema di cui ci si deve fidare.
o implementare i privilegi d’uso al minimo livello necessario.
o non implementare meccanismi di sicurezza non necessari.
o stabilire procedure di sicurezza per lo smaltimento di sistemi non più in
produzione.
o identificare e prevenire le più comuni vulnerabilità.
• Progettare sempre tenendo presente le problematiche di rete:
o implementare la sicurezza attraverso la combinazione di misure distribuite
fisicamente e logicamente.
o implementare misure di sicurezza che tengano presente la possibile
sovrapposizione tra diversi domini nei quali vigono politiche diverse.
o autenticare gli utenti in modo da poter applicare gli appropriati controlli sia
all’interno sia all’esterno del dominio.
o usare per gli utenti identificativi unici al fine di assicurarne la tracciabilità.
Nella prosieguo della trattazione emergeranno spesso riferimenti ai principi sopra
elencati.
Il ciclo di vita di un sistema informatico
Come ogni sistema complesso anche un sistema informatico è caratterizzato da diverse
fasi che vanno dalla progettazione fino allo smantellamento, denominate nel loro
insieme “ciclo di vita”. Ognuna delle fasi deve essere opportunamente caratterizzata al
fine di poter effettuare su ciascuna di esse un’analisi del rischio di tipo mirato. Nella
tabella 2.1 è mostrato un modello di ciclo di vita di un sistema informatico [SGF04]
[WTS03].
In ogni fase del ciclo di vita il responsabile della sicurezza è tenuto all’osservanza delle
norme di legge. È chiaro che nessuna autorità potrà fare osservazioni di alcun tipo su un
Sistema non ancora in produzione (fasi 1, 2 e 3 del ciclo di vita) ma è altrettanto chiaro
che le scelte implementative in fatto di sicurezza non potranno non influire sul
successivo rispetto della normativa, a prescindere dal naturale interesse che
un’organizzazione ha affinchè i propri Sistemi siano sicuri.
La valutazione del rischio
È il primo processo da effettuare nell’ambito delle metodologie di gestione del rischio.
Viene utilizzato per valutare l’entità di potenziali minacce e i rischi associati ad un
sistema informatico nel corso del suo ciclo di vita. A tal fine si consideri il rischio come
la probabilità che una determinata fonte di minaccia sfrutti una particolare vulnerabilità
con un conseguente impatto sull’organizzazione attaccata.
Per valutare la probabilità di eventuali eventi futuri indesiderati, le minacce devono
essere analizzate congiuntamente con le potenziali vulnerabilità e con i controlli
implementati nel sistema informatico. Il livello dell’impatto è determinato dai potenziali
impatti sull’organizzazione, sui suoi scopi, sui suoi beni e di conseguenza fa scaturire
una valutazione sul sistema informatico e sulle risorse che da esso dipendono.
Ricevi informazioni sui nostri servizi, sulle offerte e non perdere news e consigli su università e lavoro.
