Amministratori di sistema
In una logica di sicurezza, riveste particolare importanza il ruolo di quelle figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti: i cosiddetti “amministratori di sistema” o “AdS”.
Il Garante per la privacy ha approvato:
- il provvedimento del 27 novembre 2008 “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema” [doc. web n. 1577499]
- il successivo provvedimento modificativo del 25 giugno 2009 [doc. web n. 1626595].
L’autorità di supervisione ha inteso disciplinare in modo specifico il ciclo di vita di un AdS:
- selezione e valutazione delle caratteristiche soggettive degli AdS
- designazione individuale
- compiti assegnati
- censimento degli AdS in attività e tenuta degli elenchi contenenti gli estremi identificativi e le funzioni ad essi attribuite
- registrazione log di accesso
- controllo delle attività svolte e relazione periodica degli AdS (almeno annuale) riguardo alle implementazioni più significative effettuate al sistema informativo.
Con questi provvedimenti l’autorità si prefigge come obiettivo l’adozione di specifiche cautele nello svolgimento delle mansioni svolte dagli AdS, unitamente ad accorgimenti e misure tecniche e organizzative, volte ad agevolare l’esercizio dei doveri di controllo da parte del titolare del trattamento.
Definizione – Si considera AdS (come da chiarimenti dello stesso Garante nelle FAQ al provvedimento) la figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali nella misura in cui consentano di intervenire sui dati personali, mentre non rientrano in tale definizione tutti quei soggetti che hanno potere d’intervento solo occasionale sui sistemi di elaborazione e sui sistemi software.
Selezione – L’individuazione dei soggetti idonei a svolgere le mansioni di amministratore di sistema riveste una notevole importanza, costituendo una delle scelte fondamentali che, unitamente a quelle relative alle tecnologie, contribuiscono a incrementare la complessiva sicurezza dei trattamenti svolti, e va perciò curata in modo particolare evitando incauti affidamenti.
Considerata la delicatezza della mansione, il Titolare del trattamento ha l’obbligo di scegliere un soggetto che per esperienza, capacità e affidabilità offra «idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza».
Recita il paragrafo 4.1 del provvedimento:
«L’attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione dell’esperienza, della capacità e dell’affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza».
Scarica esempio di “criteri di selezione”
Scarica esempio di “modulo di valutazione”
Inserire chi ha la responsabilità di individuare e valutare i soggetti in azienda.
Esiste un processo specifico?
Quali sono i requisiti professionali?
Gli amministratori di sistema, pur non essendo preposti ordinariamente a operazioni che implicano una comprensione del dominio applicativo (significato dei dati, formato delle rappresentazioni e semantica delle funzioni), nelle loro consuete attività sono, in molti casi, concretamente assegnatari di specifiche fasi lavorative che possono comportare elevate criticità rispetto alla protezione dei dati personali.
Il paragrafo 4.2 del provvedimento dell’autorità così stabilisce:
«La designazione quale amministratore di sistema deve essere in ogni caso individuale e recare l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato».
La designazione “individuale” vuol dire che ciascun AdS deve essere nominato con apposita comunicazione a lui/lei diretta e che si deve poterne produrre prova, mediante conservazione del documento di designazione.
La «elencazione (…) degli ambiti di operatività consentiti» indica la formale attribuzione delle mansioni affidate all’AdS mediante la loro menzione nel medesimo documento di designazione individuale. Le mansioni devono specificare, in dettaglio (“elencazione analitica”), cosa effettivamente l’AdS può fare coerentemente «al profilo di autorizzazione assegnato». Nel rispetto dei principi di minimizzazione e pertinenza, il livello di autorizzazione dovrà essere quello necessario – e non sovrabbondante – per lo svolgimento delle mansioni affidate.
L’atto di designazione va rivisto dal titolare con cadenza almeno annuale per eventuale aggiornamento. In tal modo, può essere controllata la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti. Si prospettano due scenari, che contemplano AdS interni o esterni all’organizzazione:
- AdS interni all’organizzazione: possono essere autorizzati per iscritto allo svolgimento delle mansioni e dei compiti assegnati da elencare in maniera analitica;
- AdS esterni all’organizzazione: in questo caso se gli AdS sono singoli professionisti autonomi sarà necessaria la stipula di un atto giuridico che regola i rapporti tra l’azienda nominante (titolare) ed il professionista (responsabile del trattamento) ai sensi dell’articolo 28 del GDPR. Nel contratto verrà anche disciplinato il rispetto delle prescrizioni del Garante in tema di AdS. Qualora, invece, il rapporto che include un servizio di amministrazione di sistema è concluso con un’impresa, il contratto titolare / responsabile vincolerà l’azienda responsabile del trattamento all’esecuzione delle prescrizioni del provvedimento con l’obbligo di elencare i dati identificativi degli AdS designati e, in maniera analitica, tutte le attività che verranno svolte da ciascuno. L’elenco aggiornato dovrà essere messo a disposizione del titolare, su richiesta, in modo da consentire a quest’ultimo di rispondere alla pertinente prescrizione del provvedimento (v. al riguardo il successivo capitolo “4. Censimento”).
Scarica esempio di “atto di designazione di AdS”
Prevedere una procedura per la revoca dei privilegi per effetto di un cambio ruolo e/o della cessazione dell’incarico di AdS con apposita tabella RACI.
Lo svolgimento delle mansioni di un amministratore di sistema, a seguito di una sua formale designazione, comporta di regola la concreta capacità, per atto intenzionale, ma anche per caso fortuito, di accedere in modo privilegiato a risorse del sistema informativo e a dati personali cui non si è legittimati ad accedere rispetto ai profili di autorizzazione attribuiti.
Attività tecniche quali il salvataggio dei dati, l´organizzazione dei flussi di rete, la gestione dei supporti di memorizzazione e la manutenzione hardware comportano infatti, in molti casi, un´effettiva capacità di azione su informazioni che va considerata a tutti gli effetti alla stregua di un trattamento di dati personali; ciò, anche quando l´amministratore non consulti “in chiaro” le informazioni medesime.
Riguardo alle mansioni dell’AdS, esso principalmente
- gestisce e manutiene il dominio che è oggetto del suo ambito di applicazione (rete, data base, sistema operativo, applicativo complesso)
- implementa i sistemi di sicurezza di pertinenza
- definisce le procedure di autenticazione e di autorizzazione all’accesso ai dati da parte degli utenti
- cura interventi di conservazione dei dati attraverso debite soluzioni di “backup”
- progetta le attività di supporto al “disaster recovery”.
I domini su cui operano gli AdS sono:
- sistemi di gestione delle basi di dati (data base administrator o amministratore di data base)
- sistemi operativi (system administrator o ammininistratore sistemi operativi)
- sistemi software complessi quali i sistemi ERP (application administrator o amministratore applicativo)
- reti locali e gli apparati di sicurezza (network administrator o amministratore di rete).
Ambito a livello applicativo
Fatta eccezione per gli amministratori dei sistemi software complessi, risultano esclusi dall’ambito di applicazione delle prescrizioni dei provvedimenti dell’autorità, gli utenti che operano a livello applicativo, ivi inclusi gli utenti che possiedono privilegi di accesso elevati (cosiddetti “privileged users”) sul layer applicativo.
Recita la FAQ 22 del provvedimento:
«L’accesso applicativo non è compreso tra le caratteristiche tipiche dell’amministratore di sistema e quindi non è necessario, in forza del provvedimento del Garante, sottoporlo a registrazione»
Questa esclusione si giustifica in quanto tale tipo di accesso è tipicamente regolato da profili autorizzativi che, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all’inizio del trattamento, in modo da limitare l’accesso ai soli dati necessari per svolgere le operazioni assegnate. I profili autorizzativi di accesso a livello applicativo, infatti, consentono di assegnare i privilegi di accesso in base a necessità (need to know) e quindi consentire l’effettuazione delle operazioni sui dati che siano pertinenti con la mansione; questa granularità non può essere assicurata invece a livello di data base, sistemi operativi e apparati di rete/sicurezza, ambiti per i quali l’accesso degli operatori è di tipo amministrativo.
Tipologie di AdS e ambiti di operatività
Il provvedimento del Garante prescrive che siano individuati gli ambiti di operatività consentiti agli AdS; per facilitare l’operazione in base al profilo di autorizzazione assegnato, la tabella di cui al file scaricabile ipotizza la suddivisione in quattro distinte categorie di Amministratore di Sistema con evidenza dei corrispondenti compiti principali.
La lettera di designazione di ciascun AdS riporteranno la tipologia (secondo la classificazione e il relativo ambito di operatività mostrati nel file).
Scarica esempio di “tipi di AdS e ambito di operatività”.
AdS come presidio di sicurezza
L’AdS svolge un’essenziale funzione di presidio nell’ambito della sicurezza delle informazioni monitorando costantemente lo stato di sicurezza di tutti i processi di elaborazione dati di propria competenza, mantenendo aggiornati i supporti hardware e software e, se necessario, comunicando al titolare le attività da attuare al fine di garantire un adeguato livello di sicurezza, in proporzione alla tipologia e alla quantità dei dati personali trattati.
A titolo esemplificativo segue l’elencazione di possibili compiti propri dell’amministratore di sistema:
- classificare analiticamente le banche dati e impostare/organizzare un sistema complessivo di trattamento dei dati personali comuni e sensibili, predisponendo e curando ogni relativa fase applicativa nel rispetto della normativa vigente in materia di protezione dei dati personali;
- individuare per iscritto il/i soggetto/i incaricato/i della custodia delle parole chiave per l’accesso al sistema informativo e vigilare sulla sua/loro attività;
- individuare per iscritto gli altri soggetti, diversi dall’/dagli incaricato/i della custodia delle parole chiave, che possono avere accesso a informazioni che concernono le medesime;
- impostare e gestire un sistema di autenticazione informatica per i trattamenti di dati personali effettuati con strumenti elettronici;
- impostare e gestire un sistema di autorizzazione per gli incaricati dei trattamenti di dati personali effettuati con strumenti elettronici;
- assicurare e gestire sistemi di salvataggio e di ripristino dei dati (backup/recovery) anche automatici, nonché approntare adeguate misure e/o sistemi software di salvaguardia per la protezione dei dati personali (antivirus, firewall, IDS ecc.);
- impartire a tutti gli incaricati istruzioni organizzative e tecniche che prevedano le modalità di utilizzo dei sistemi di salvataggio dei dati con frequenza almeno settimanale;
- adottare procedure per la custodia delle copie di sicurezza dei dati e per il ripristino della disponibilità dei dati e dei sistemi;
- organizzare i flussi di rete, la gestione dei supporti di memorizzazione, la manutenzione hardware, nonché la verifica di eventuali tentativi di accessi non autorizzati al sistema provenienti da soggetti terzi, quali accesso abusivo al sistema informatico o telematico, frode, danneggiamento di informazioni, dati e programmi informatici, danneggiamento di sistemi informatici e telematici;
- predisporre un piano di controlli periodici, da eseguire con cadenza almeno semestrale, atti a verificare l’efficacia delle misure di sicurezza adottate in azienda;
- coadiuvare, se richiesto, il titolare del trattamento nella predisposizione e/o nell’aggiornamento e/o nell’integrazione di tutti i documenti necessari per il rispetto del GDPR.
I titolari del trattamento sono tenuti a predisporre il censimento degli AdS (da rendere disponibile in caso di accertamenti da parte del Garante), sia interni che in outsourcing, completo di dati identificativi (nome, cognome, funzione o organizzazione di appartenenza) e gli ambiti di operatività assegnati (ad esempio: operatore tecnico, operatore back up, amministratore data base, amministratore sicurezza). Il documento va mantenuto aggiornato.
Il paragrafo 4.3 del provvedimento dell’autorità così recita:
«Gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite, devono essere riportati in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante».
Se gli AdS, nell’espletamento delle proprie mansioni, trattano dati personali dei lavoratori, il titolare del trattamento dovrà rendere conoscibile al personale l’identità ed i servizi informatici cui tali AdS sono preposti.
«Qualora l’attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale di lavoratori, i titolari (…) nella qualità di datori di lavoro sono tenuti a rendere nota o conoscibile l’identità degli amministratori di sistema nell’ambito delle proprie organizzazioni, (…) in relazione ai diversi servizi informatici cui questi sono preposti».
Se i servizi di amministrazione di sistema sono in tutto o in parte affidati a terzi
«il titolare o il responsabile del trattamento devono conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema».
Scarica esempio di “elenco di AdS”.
Il Titolare deve adottare idonei sistemi di controllo che consentano la registrazione degli accessi logici (access log) da parte degli amministratori ai sistemi di elaborazione e agli archivi elettronici.
Per access log si intende la registrazione degli eventi generati dal sistema di autenticazione informatica all’atto dell’accesso o tentativo di accesso da parte di un amministratore di sistema o all’atto della sua disconnessione nell’ambito di collegamenti interattivi a sistemi di elaborazione o a sistemi software. Gli event records generati dai sistemi di autenticazione contengono
- lo “username” utilizzato,
- la data e l’ora dell’evento (timestamp),
- una descrizione dell’evento
- indicazione del sistema interessato.
Le registrazioni dei log di accesso access devono avere caratteristiche di completezza, integrità ed inalterabilità e devono essere conservate per almeno sei mesi.
Recita il paragrafo 4.5 del provvedimento:
«Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste.
Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi».
Il Provvedimento del Garante richiede che, nel caso in cui i servizi di amministrazione di sistema siano esternalizzati, l’elenco di cui sopra sia conservato, indifferentemente, dal titolare o dal responsabile del trattamento (cioè dall’outsourcer).
La rispondenza dell’operato dell’AdS alle misure organizzative, tecniche e di sicurezza relative ai trattamenti dei dati personali previste dalle norme, va verificata dal titolare o dal responsabile del trattamento, con cadenza almeno annuale.
Obiettivi del controllo dei log: verificare anomalie nella frequenza degli accessi e nelle loro modalità (orari, durata, sistemi cui si è fatto accesso…). L’analisi dei log può essere compresa tra i criteri di valutazione dell’operato degli amministratori di sistema.
Recita il paragrafo 4.4 del provvedimento:
«L’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari o dei responsabili del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti».
Quest’obbligo di verifica trova ulteriore conferma in attuazione del principio di accountability introdotto dal GDPR in base al quale il Titolare del trattamento debba mettere in atto (nonché riesaminare ed aggiornare) adeguate misure tecniche ed organizzative, per garantire ed essere in grado di dimostrare che le operazioni di trattamento vengano effettuate in conformità ai principi fondamentali della disciplina in materia [artt. 5(2) e 24, GDPR].
Scarica esempio di “registro delle verifiche”
Altra forma di verifica può consistere nel richiedere agli AdS di redigere una relazione annuale circa le implementazioni più significative effettuate negli ultimi dodici mesi al sistema informativo rientrante nel proprio ambito di operatività.
Nella relazione andrebbero inclusi, in un linguaggio non tecnico e comprensibile, le attività svolte in relazione ai compiti affidati e gli eventi migliorativi in materia di sicurezza e protezione dei dati previsti nel successivo periodo temporale. Vanno riportati i test di penetrazione effettuati, eventuali attività straordinarie svolte, le sessioni di formazione realizzate.
Nella relazione andrebbero altresì esaminati eventuali modifiche e/o criticità rilevate nell’anno di riferimento.