Analisi della sicurezza
  Security Policy
  Risk Assessment
  Risk Management
  Adeguamento Privacy
  Scadenziario e Verifiche
  Perché adeguarsi subito?
  Cosa fare per adeguarsi?
  Titolare sicurezza
  Resp. della sicurezza
  Resp. della gestione
  Custodia delle credenziali
  Compiti degli incaricati
 

 

 Il servizio Privacy Protection Service – PPS -, che Nethouse Italia propone è un vero e proprio sistema di gestione aziendale in materia di adozione delle misure minime di sicurezza  e per il trattamento dei dati personali in azienda

I nostri esperti recependo tutti quelli che sono gli adempimenti e gli obblighi imposti dalla normativa, hanno definito nel servizio PPS  una gestione sistematica e programmatica dei processi di adeguamento che ciascun soggetto (persona fisica, giuridica, la pubblica amministrazione o qualsiasi altro ente/associazione) nell'ambito della propria attività lavorativa, deve obbligatoriamente redigere ed aggiornare.

 Le componenti del servizio PPS si possono sintetizzare in: 

  • Check up per la verifica dell'organizzazione aziendale in materia di sicurezza dei dati attraverso l’assistenza di un nostro legale presso l’azienda cliente
  • Check up per verifica di reti LAN/WAN
  • Check up configurazione di server dati/backup, posta, web.
  • Analisi dello stato attuale del sistema informativo (auditing);
  • Analisi dei rischi (risk assessment);
  • Progettazione e implementazione (su richiesta) delle misure di sicurezza;
  • Verifica delle soluzioni adottate dopo determinato lasso di tempo
  • Formazione al personale;
  • Consulenza ed adeguamento al testo unico sulla privacy (dlgs 196/03).
  • Supporto nella individuazione delle figure coinvolti negli adempimenti normativi (titolare, responsabile, amministratore di sistema, custode delle chiavi, …)
  • Analisi aziendale mediante check-list
  • Stesura di programmi di intervento
  • Stesura del documento programmatico della sicurezza
  • Integrazione documentale degli adempimenti al sistema di gestione qualità già esistente
  • Sopralluoghi periodici per revisioni periodiche / verifica dell'applicazione
  • Formazione ed informazione delle figure aziendali
  • Fornitura, e assistenza tecnica del software “Privacy 2004”
  • Aggiornamento continuativo relativamente alle novità normative in materia
  • Assistenza annua con aggiornamento del DPSS

 
Analisi della sicurezza

 

Le aziende devono essere in grado di salvaguardare la riservatezza, l’integrità e la disponibilità delle informazioni conservate in azienda, in modo da poter garantire la tutela dei dati e la continuità del business aziendale.

Nel dettaglio la RISERVATEZZA consiste nell’assicurare che l’informazione sia accessibile solo a chi e’ autorizzato all’accesso; L’INTEGRITA’ consiste nel salvaguardare l’accuratezza e la completezza dell’informazione e dei metodi per processarla; la DISPONIBILITA’ consiste nell’assicurare che gli utenti autorizzati abbiano accesso all’informazione.

   - Top Page


 
Information Security Policy

 

L’azienda innanzitutto deve stabilire la politica di sicurezza delle informazioni, in base a come e’ strutturata, al settore di appartenenza, al tipo di informazioni possedute.

Tale politica non sarà un documento operativo, ma una comunicazione breve, ma chiara, da distribuire al proprio personale, che spiegherà: cosa e’ soggetto a protezione nell’azienda; a chi sono delegate le responsabilità; le direzioni nelle quali l’azienda intende investire risorse per la sicurezza;i riferimenti normativi e legislativi a cui attenersi.

   - Top Page

 

Risk Assessment

 

E’ la fase più delicata; bisogna stabilire esattamente i requisiti di sicurezza, mediante un attenta e metodica analisi dei rischi, applicata all’intera organizzazione o a parte di essa.

Nel dettaglio, si parte dalla catalogazione di ciò che si vuole proteggere (banche dati di informazioni, hardware, software, ecc…) per valutare con precisione le minacce a cui e’ soggetto, le debolezze per poi determinare quali azioni intraprendere per abbassare il rischio in valori accettabili.

Questa operazione non deve essere fatta una sola volta, bensì reiterata nel tempo, in modo da poter rimanere al passo con gli adempimenti del nuovo dlgs, con le nuove tecnologie, e con i nuovi business aziendali.

   - Top Page

 

Risk Management

 

E’ la fase mediante il quale l’azienda deve decidere come trattare il rischio partendo dall’analisi effettuata.

Si parte dallo studio degli attuali sistemi di difesa dell’azienda e successivamente si identificano i nuovi strumenti di controllo della sicurezza. Si mettono a punto le policy (regole) e le procedure ed infine si decide come trattare il rischio residuo.

In sintesi, si identificheranno le azioni da effettuare per ridurre, eliminare, accettare o trasferire (mediante, per esempio, un assicurazione) il rischio.

A questo punto si devono scegliere quali contromisure attuare per gestire il rischio. La norma elenca una serie innumerevole di controlli, fermo restando che essi potrebbero anche non bastare per la tipologia dell’azienda, che e’ libera di apportare tutte le modifiche/innovazioni che ritiene opportuno.

   - Top Page

 

Adeguamento al testo unico sulla privacy (dlgs 196/03)

Il servizio di Privacy Protection Service di NetHouse Italia produrrà la modulistica richiesta sia per l'esterno che per l'interno dal testo unico sulla privacy (dlgs 196/03) :  

ü      Produzione del documento programmatico della sicurezza (DPSS)

ü      Implementazione delle misure minime di sicurezza

ü      Analisi dei rischi

ü      Relazione tecnica dei provvedimenti di tutela dei dati

ü      Produzione della modulistica da produrre verso l'interno ( Incarichi, mansionario..)

ü      Lettera agli incaricati al trattamento.

ü      Lettera di incarico al custode delle password.

ü      Lettera di incarico all'amministratore del sistema.

ü      Formula di acquisizione del consenso dell'interessato;

ü      Informativa ex art.13 D. Lgs. 196/2003 per il trattamento di dati sensibili;

ü      Formula di acquisizione del consenso per il trattamento di dati sensibili;

ü      Opposizione al trattamento dei dati per motivi legittimi;

ü      Esercizio dei diritti dell'interessato di essere informato sull'esistenza di suoi dati personali presso archivi e sul trattamento che ne viene fatto;

ü      Esercizio dei diritti dell'interessato di ottenere la cancellazione o il blocco di dati dei quali già conosce l'esistenza presso gli archivi cui si rivolge e per i quali si è constatato il trattamento in violazione di legge;

ü      Esercizio dei diritti dell'interessato di ottenere la rettifica o l'aggiornamento di dati dei quali già conosce l'esistenza presso gli archivi cui si rivolge;

ü      Accesso al registro dei trattamenti tenuto dal Garante per la protezione dei dati personali.  

 

   - Top Page

 

Scadenziario e Verifiche

 

Particolare attenzione verrà data al controllo delle scadenze. Infatti tra gli adempimenti previsti dal D.Lgs 30/06/2003 n.196, il nuovo codice della Privacy richiede un costante e puntuale aggiornamento di tutta la documentazione obbligatoria.

Lo Scadenzario è quindi uno strumento molto utile per tutte le nuove scadenze stabilite:

ü      assegnazione periodica delle credenziali di autenticazione (password);  

ü      pianificazione delle scansioni 'anti-virus'

ü      programmazione delle copie di sicurezza dei dati (Back-up)  

Inoltre il sistema di sicurezza adottato dovrà essere sottoposto periodicamente a verifiche di  controllo per definire la VALIDITA’ nel tempo della soluzione implementata, riguardante:

ü      L’efficacia del controllo; il responsabile della sicurezza deve assicurarsi che tutte le normative di sicurezza siano applicate.  

Sulle nuove tecnologie:

ü      aggiornamenti e/o sostituzioni con altre più performanti

ü      Verifiche tramite Penetration Test

ü      Verifiche periodiche delle Vulnerabilità

ü      Hardening di sistema

ü      Analisi delle Intrusioni

 
Home - Indietro - Top Page

 
© Nethouse Italia 2001. Tutti i diritti riservati.