Gli adempimenti. L’amministratore del Sistema Informatico Aziendale: Regime Normativo e Obblighi di Legge.

Pubblicato il 7 aprile 2011 da admin

amministratore-di-sistema2.1) La valutazione delle caratteristiche soggettive

In ragione della criticità del ruolo di amministratore di sistema, la relativa designazione deve avvenire previa valutazione dell’esperienza, dalla capacità e dell’affidabilità dell’incaricato.

La regola, che impone all’azienda di attenersi a criteri di selezione equipollenti a quelli richiesti per la nomina dei responsabili del trattamento, non ammette deroghe: il titolare dovrà, quindi, vagliare attentamente le qualità (tecniche, professionali o di condotta) del soggetto individuato, anche in considerazione delle responsabilità, specie di ordine civile e penale , che possono conseguire ad una designazione inidonea o incauta.

La natura fiduciaria delle mansioni affidate non viene meno allorchè le funzioni proprie dell’amministratore di sistema (o parte di esse) vengano esternalizzate, secondo una prassi assai diffusa in ambito aziendale.

Non è, dunque, inopportuno sottolineare che la selezione dell’outsourcer deve essere compiuta con particolare rigore e che la scelta dovrà necessariamente ricadere su soggetti alle cui dipendenze operino, quali amministratori di sistema, persone aventi le caratteristiche richieste .

2.2) Le designazioni individuali

E’obbligo designare individualmente i singoli amministratori di sistema, a mezzo di un atto che deve elencare partitamente gli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.

Ciò che il Garante intende evitare è, dunque, l’attribuzione di ambiti non sufficientemente definiti, analogamente a quanto richiesto dal comma 4 dell’art. 29 del Codice in relazione ai responsabili del trattamento.

2.3) L’elenco degli amministratori di sistema

I titolari sono tenuti a riportare in un documento interno gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad esse attribuite.
Qualora gli amministratori, nell’espletamento delle proprie mansioni, trattino (o, semplicemente, possano trattare, anche in via fortuita) dati personali dei lavoratori, questi ultimi hanno diritto di conoscere l’identità dei predetti.

In tal caso, è fatto onere all’azienda di rendere noto ai lavoratori dipendenti detto loro diritto.

Sono possibili diverse modalità: a mezzo dell’informativa resa agli interessati ai sensi dell’art. 13 del Codice o tramite il disciplinare interno relativo all’utilizzo del sistema informatico o mediante altri strumenti di comunicazione interna (per esempio, l’intranet aziendale) o, ancora, avvalendosi di procedure formalizzate, attuabili ad istanza del lavoratore.

2.4) I servizi di amministrazione affidati in outsourcing

Il Provvedimento richiede che, nel caso in cui i servizi di amministrazione di sistema siano esternalizzati, l’elenco di cui al punto che precede sia conservato, indifferentemente, dal titolare o dal responsabile esterno del trattamento (id est, dall’outsourcer).

L’opzione (invero non prevista dal Garante prima della modifica del Provvedimento del 25 giugno 2008) risponde a criteri di buon senso, atteso che per l’azienda può essere molto disagevole recuperare il predetto elenco.

Giova, comunque, rilevare una “distonia” tra la prescrizione in esame (lett. d) del Provvedimento) e l’indicazione di cui si è detto al paragrafo 2.3 (lett. c) del Provvedimento).

Ed invero, mentre la lettera c) prescrive che l’elenco degli amministratori di sistema sia conservato presso il titolare (siano essi amministratori interni o meno, poiché nulla è previsto in relazione ai servizi in outsourcing), la lettera d) consente che l’elenco sia tenuto anche dal solo responsabile esterno, come già osservato.

Riteniamo che l’antinomia tra i due precetti sia frutto di una mera svista del Garante, che, dopo aver modificato la lettera d), non si è curato di intervenire parimenti sulla lettera c), introducendo un’opportuna “clausola di riserva ”.

2.5) La verifica delle attivitĂ  degli amministratori di sistema

Allo scopo di contrastare la diffusa sottovalutazione, da parte dell’azienda, dei rischi derivanti da eventuali azioni “incontrollate” degli amministratori di sistema, il Provvedimento introduce verifiche ispettive a carico del titolare o del responsabile esterno.

L’operato degli amministratori di sistema, infatti, deve essere oggetto di verifica, con cadenza almeno annuale, per acclarare che le attività svolte dall’amministratore siano in effetti conformi alle mansioni attribuite.

2.6) La registrazione degli accessi logici

Accanto agli oneri di cui ai paragrafi che precedono (di ordine prettamente “organizzativo”), all’azienda è richiesta anche l’adozione di un’importante misura di carattere tecnico: la registrazione degli accessi logici degli amministratori di sistema.

Il Provvedimento, in particolare, prescrive l’impiego di sistemi idonei alla registrazione
degli accessi logici da parte degli amministratori ai sistemi di elaborazione e agli archivi elettronici.

Ciascun amministratore, quindi, deve poter essere identificato.
Va da sé che la cattiva prassi di utilizzare un unico “user-name” (di norma “admin”, o simili) condiviso tra tutti gli amministratori non è in linea con le disposizioni del Provvedimento.

In verità, l’anzidetto comportamento costituisce violazione, ad un tempo, del Provvedimento e delle regole dell’Allegato B al Codice (il quale richiede che ciascun incaricato sia dotato di credenziali di autenticazioni univoche).

“Le registrazioni” – si precisa – “devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate”.

L’indicazione appare tutt’altro che esaustiva e, al cospetto di detta previsione, molte imprese sono disorientate.

Che fare, dunque, in concreto?

Chiariamo, da subito, che, nel contesto che ci occupa, per “access log” si intende la registrazione degli eventi generati dal sistema di autenticazione informatica a sistemi di elaborazione o di reti o a sistemi gestionali di basi di dati (c.d. “DBMS”) o ad archivi elettronici.

Trattasi di evidenze informatiche generate all’atto dell’accesso (o del tentativo di accesso) ad un sistema o all’atto della disconnessione da esso.

Per espressa indicazione del Garante, dette devono contenere, oltre che i riferimenti allo “user-name” impiegato, anche informazioni relative alla data e all’ora dell’evento (timestamp), unitamente ad una sintetica descrizione dell’evento medesimo (sistema di elaborazione o software utilizzato, qualificazione dell’evento come “log-in”, “log-out” o “condizione di errore”).

Ferme le criticità che precedono, il periodo del Provvedimento che dà luogo alle maggiori perplessità operative è, tuttavia, il seguente: “Le registrazioni devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste”.

Quale completezza e, soprattutto, quale inalterabilitĂ  e quale integritĂ  il log deve, quindi, possedere?

Il quesito è di centrale rilevanza: se, per esempio, a garanzia dell’inalterabilità e dell’integrità si individuassero dei livelli di robustezza rigorosi, le aziende sarebbero sicuramente onerate di aggravi economici significativi (conseguenti all’impiego della firma digitale e della marca temporale in fase di conservazione dei log).

Il Garante è opportunamente intervenuto sul punto, precisando che non vi è alcuna pretesa di instaurare in modo generalizzato un rigoroso regime di registrazione degli “usage data” dei sistemi informativi.

E’stato, anzi, specificato che il requisito dell’inalterabilità dei log può essere ragionevolmente soddisfatto con la strumentazione software già in dotazione alle aziende, e con l’eventuale esportazione periodica dei dati dei log su supporti di memorizzazione non riscrivibili.

Solo in casi più complessi (da valutare in rapporto alle condizioni, organizzative e operative, della struttura) i titolari potranno ritenere di adottare sistemi più sofisticati, quali i log server centralizzati e “certificati”.

Ci sentiamo di condividere tale impostazione, che, peraltro, riteniamo aderente al dato letterale del Provvedimento.

Detto, infatti, non richiede che il log sia inalterabile “di per sé”, ma, piuttosto, esso deve possedere caratteristiche di inalterabilità e possibilità di verifica della loro integrità “adeguate al raggiungimento dello scopo per cui sono richieste”. Scopo che, nel caso di specie, è (unicamente) quello, minimale, di verificare “anomalie nella frequenza degli accessi e nelle loro modalità (orari, durata, ecc.)” (così, testualmente, il Garante).

Giova sottolinearlo: il Provvedimento non prescrive “misure di polizia” nei confronti dell’attività compiuta dagli amministratori di sistema.

L’operato di questi ultimi, infatti, deve essere oggetto di analisi nel rispetto del principio di proporzionalità (art. 11 del Codice), oltre che, in relazione agli amministratori di sistema “interni” all’azienda, anche della regola di condotta di cui all’art.4 L.300/70.

Nessun margine di errore, peraltro, è ammesso in relazione alla tempistica di conservazione dei log, imposta per un “congruo periodo”, comunque “non inferiore a sei mesi”.

Avv. Luca Giacopuzzi
STUDIO LEGALE GIACOPUZZI
D I R I T T O d’ I M P R E S A
http://www.studiogiacopuzzi.it/

Questa voce è stata pubblicata in Internet e Web. Contrassegna il permalink.

Una risposta a Gli adempimenti. L’amministratore del Sistema Informatico Aziendale: Regime Normativo e Obblighi di Legge.

  1. Pingback: Considerazioni Preliminari. L'amministratore del Sistema Informatico Aziendale: Regime Normativo e Obblighi di Legge. | Legisnet

Lascia un Commento

L'indirizzo email non verrĂ  pubblicato. I campi obbligatori sono contrassegnati *

*

È possibile utilizzare questi tag ed attributi XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>