Misure di sicurezza informatiche a protezione dei dati: quali quelle più adeguate?

Parliamo qui dei rootkit hypervisor-level, ma anche di quale piattaforma mobile preferire o delle ripercussioni di Facebook sulla nostra privacy.
Regole del forum
Rispondi
Avatar utente
x-free
Livello: Chiavetta USB (8/15)
Livello: Chiavetta USB (8/15)
Messaggi: 450
Iscritto il: ven mag 03, 2013 12:57 pm

Misure di sicurezza informatiche a protezione dei dati: quali quelle più adeguate?

Messaggio da x-free »

Vorrei sapere la vostra opinione in merito all'adeguatezza delle misure informatiche a protezione dei dati personali degli utenti.
Questi erano gli obblighi legislativi fino a settembre 2018 (misure minime, al di sotto non si poteva andare, ma bastava questa base per essere in regola).
Trattamenti con strumenti elettronici

Modalità tecniche da adottare a cura del titolare, del responsabile ove designato e dell'incaricato, in caso di trattamento con strumenti elettronici:

Sistema di autenticazione informatica

1. Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.

2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave.

3. Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l'autenticazione.

4. Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato.

5. La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi.

6. Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi.

7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica.

8. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all'incaricato l'accesso ai dati personali.

9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento.

10. Quando l'accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l'autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l'incaricato dell'intervento effettuato.

11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione.

Sistema di autorizzazione

12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione.

13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento.

14. Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione.

Altre misure di sicurezza

15. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione.

16. I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale.

17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento è almeno semestrale.

18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale.

Oggi non esistono più, ma spetta a ciascuno trovare le misure più adeguate al caso specifico (chiaro, se sono una banca o un ospedale dovrò adottare misure di sicurezza più strong rispetto ad una piccola azienda di macchinari agricoli).
Ma secondo voi, qual è il "minimo sindacale" oggi? Ad esempio, a mio avviso, le password di 8 caratteri non sono più adeguate (per me, almeno 10 caratteri con obbligo di numeri, caratteri speciali, maiuscole/minuscole e deve avere una scadenza programmata). Così come l'aggiornamento annuale (o semestrale in casi sensibili) per risolvere le vulnerabilità emerse è di certo lasso di tempo troppo lungo nel contesto odierno (a cui occorrerebbe star dietro alle news di sicurezza pressoché quotidianamente).
:ciao
People keep thinking that I care. Weird
System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Misure di sicurezza informatiche a protezione dei dati: quali quelle più adeguate?

Messaggio da System » mer mag 22, 2019 9:53 pm


Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 12443
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: Misure di sicurezza informatiche a protezione dei dati: quali quelle più adeguate?

Messaggio da crazy.cat »

x-free ha scritto: mer mag 22, 2019 9:53 pm (chiaro, se sono una banca o un ospedale dovrò adottare misure di sicurezza più strong rispetto ad una piccola azienda di macchinari agricoli).
Ho fatto assistenza per quasi tre anni in due ospedali e ho visto cose che voi umani...
Le password più usate erano "12345678" o per cambiare "87654321", tutti sapevano le password di tutti, forse anche qualche paziente le sapeva, chiedevi che ti inserissero le password per aprire il pc "faccia pure lei, la mia password è ...."
Era normale per loro.
Dal cliente dove sono adesso ho invece visto password da 18 caratteri e persone che sono rimaste con noi fino a quando non gli abbiamo finito di sistemare il pc perché non volevano darci la password e abbandonare i loro dati.
x-free ha scritto: mer mag 22, 2019 9:53 pm Così come l'aggiornamento annuale (o semestrale in casi sensibili) per risolvere le vulnerabilità emerse è di certo lasso di tempo troppo lungo nel contesto odierno (a cui occorrerebbe star dietro alle news di sicurezza pressoché quotidianamente).
Il problema è poi sempre di costi, di programmi non più compatibili con i sistemi più nuovi, così ti trovi nella rete aziendale il windows 2000 o xp a cui non si può rinunciare.

Tanto dipende dal ced e dai responsabili che lo gestiscono, se non sono capaci, o non hanno voglia, o si scontrano con budget limitati, a un certo punto rimane tutto come si trova,
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Re: Misure di sicurezza informatiche a protezione dei dati: quali quelle più adeguate?

Messaggio da System » gio mag 23, 2019 5:07 am


Rispondi
  • Argomenti simili
    Risposte
    Visite
    Ultimo messaggio