Scompare il DPS ma non gli amministratori di Sistema!

Da quest’anno, gli addetti ai lavori della privacy hanno la vita più facile. Con il Decreto sulle semplificazioni, è stato eliminato l’obbligo di predisporre e aggiornare il documento programmatico sulla sicurezza (DPS) al 31 marzo di ogni anno. Il DPS era un obbligo previsto dal DL 196/2003 inerente la normativa sulla protezione dei dati personali. Doveva essere redatto da tutti coloro che trattavano dati personali utilizzando elaboratori elettronici. La conservazione doveva avvenire in azienda ed il documento di procedure doveva essere portato a conoscenza di tutti gli incaricati. Serviva sostanzialmente per attestare l’adeguamento alla normativa sulla tutela dei dati personali di dipendenti, collaboratori, etc.

Il garante per la protezione dei dati personali, dopo aver individuato una figura responsabile per il trattamento dei dati, prevedeva che all’interno del DPS fossero inseriti gli estremi identificativi dell’Amministratore di Sistema e l’elenco delle funzioni a lui attribuite. Questo perché tale figura può accedere a tutti i dati che passano sulle reti aziendali ed istituzionali, ha un ruolo chiave nella gestione delle reti telematiche e per la sicurezza delle banche dati e verifica il corretto utilizzo dei sistemi informatici di un’azienda. Si è richiamata l’attenzione su questa figura professionale e sulle sue attività dal momento in cui le verifiche effettuate negli ultimi anni, hanno messo in evidenza quanta poca consapevolezza si avesse del ruolo dell’ADS. Una delle misure cautelative messe in atto per correre ai ripari rispetto a questa situazione prevede l’utilizzo di software specifici per la Registrazione degli accessi. Sono sistemi che permettono di monitorare e registrare gli accessi degli ADS ai sistemi di elaborazione e agli archivi elettronici.

Con il nuovo decreto quindi, non si ha più l’obbligo di redigere il DPS ma rimangono obbligatorie le misure di sicurezza minime a protezione dei dati personali e, non meno importante, rimangono le numerose e pesanti sanzioni amministrative e penali! Un sondaggio di VansonBourne (http://www.vansonbourne.com) rivela come la perdita o cattiva gestione di dati personali o, in taluni casi, sensibili, possa costare alle aziende fino a 2,7 milioni di Euro in termini di ricavi e sanzioni. Va da se che è fondamentale, per l’azienda, dotarsi di un apposito software per la gestione dei log. Un software che permette di raccogliere, analizzare ed archiviare i log fornendo un’accurata reportistica sugli accessi degli Amministratori di sistema. Esistono molti prodotti di log management però, sono pochi quelli che offrono una reportistica semplice e già pronta per soddisfare le richieste del Garante della Privacy.

 Uno di questi fa parte della suite di prodotti ManageEngine ed è Eventlog Analyzer.