Differenze e punti di convergenza tra il dps ed il piano di sicurezza

Differenze e punti di convergenza tra il dps ed il piano di sicurezza

Guzzo Antonio

Versione PDF del documento

Quali sono gli elementi fondamentali di un piano di sicurezza?. Un piano di sicurezza non è qualcosa che viene calato dall’alto ma dovrebbe essere dato attraverso alcuni processi organizzativi. Gli elementi più importanti di un piano di sicurezza sono l’analisi dei processi e l’analisi dei rischi. E’ di fondamentale importanza mappare tutti i processi organizzativi. Un piano di sicurezza può essere limitato, essere mirato ad alcune unità organizzative e ad alcuni processi nell’ambito dell’unità organizzativa e cioè ad analizzare quelli che sono le reazioni fra quell’unità organizzativa ed alcuni processi nell’ambito dell’unità organizzativa (demarcare i punti di confine) stessa oppure può essere relativo ad un’intera organizzazione, un’azienda. Alla base di questi due documenti però dapprima risulta necessario instaurare all’interno dei processi organizzativi di un azienda o di ente pubblico il cosiddetto sistema qualità a norma degli standard ISO 9000 e ISO 9001. Un sistema qualità mappa i processi all’interno dell’azienda ed esamina le diverse relazioni che si verificano all’interno dei processi organizzativi aziendali. Il piano di sicurezza ed il dps, pur nascendo da due contesti differenti, hanno fondamentalmente una base comune che è l’organizzazione sulla quale vengono analizzati e che ci permette di analizzare quali sono gli elementi che fra di loro vanno a sovrapporsi e quali son i modi per tenerli correlati. In Italia è stato introdotto con testo unico sulla privacy il dps che da un punto di normativo non ha preso in considerazione gli standard di riferimento BS 7799. Adesso esamineremo il documento programmatico sulla sicurezza ed il piano di sicurezza applicati all’analisi dei processi ed all’analisi del rischio. A tale scopo giova ricordare che nell’ambito della sicurezza esistono due standard di riferimento: le BS7799 e le ISO/IEC 27001.
Un piano di sicurezza è difficilissimo da controllare, in quanto l’uomo tende sempre a semplificarsi la vita nell’utilizzo di alcune aree organizzative. La sicurezza deve essere applicabile e ragionevole ma anche non troppo blindata perché comunque deve rispettare il principio dell’accessibilità fisica e logica allo stabile oggetto del piano di sicurezza. Il dps a differenza del piano di sicurezza, è centrato sui dati. L’approccio per processi proprio della BS7799 guida alla realizzazione di un ISMS (Information Security Management System) attraverso i seguenti step:
1)      Definizione della politica di sicurezza dell’organizzazione per salvaguardare e garantire i requisiti di riservatezza, integrità e disponibilità delle informazioni;
2)      L’identificazione degli asset, l’analisi del rischio cui questi sono soggetti, la valutazione e la gestione del rischio (su cui si è ulteriormente focalizzata l’attenzione nella revisione del 2005);
3)      L’utilizzo del modello PDCA (Plan-Do-Check-Act, ovverossia pianifica, fai, controlla e agisci);
4)      L’utilizzo di procedure per effettuare il monitoraggio dell’ISMS e il suo miglioramento continuo.
E’ utile, a questo punto, ricordare i 10 capitoli in cui sono raccolte le 127 linee guida per la sicurezza come già in precedenza citate. Da ciò si evince che lo standard BS7799- ISO27001 fondamentalmente si basa sui processi organizzativi e sulla loro interazione, in realtà le BS7799 si basano principalmente sulla valutazione e gestione del rischio. Tutto ciò perché l’analisi del rischio è un processo continuativo (modello PLAN-DO-CHECK-ACT).
Passiamo ora ad esaminare un DPS. L’approccio dettato dal dlgs.196/2003 è orientato sulla protezione dei dati personali e al controllo del loro trattamento. I punti fondamentali sono:
1)      L’individuazione dei trattamenti cui sono soggetti i dati personali;
2)      L’individuazione delle responsabilità in merito al trattamento dei dati;
3)      L’analisi dei rischi;
4)      Misure per garantire disponibilità e protezione dei dati;
5)      Ripristino della disponibilità dei dati;
6)      Formazione.
I punti di contatto del dps con il piano di sicurezza si possono vedere ad esempio citando gli ultimi due punti e collegarli alla disponibilità mentre gli altri punti restanti sono da collegarsi alla riservatezza. Per quanto concerne l’integrità, invece, è poco affrontata ed implicita. Questi in realtà sono dei processi, i quali mentre nelle BS7799 di fatto abbiamo un’individuazione dei processi ben definita mentre nel dps il legislatore italiano si focalizza essenzialmente su persone e ruoli.
Sia le regole dello standard BS7799 – ISO 27001 che le regole dettate dal dlgs. 196/2003 devono comunque essere attuate senza scordare mai le regole basilari della gestione della sicurezza di un sistema (nel caso un sistema informativo):
1)      la prevenzione: cioè il controllo e la vigilanza sul corretto funzionamento di un sistema;
2)      la protezione: cioè la protezione dei flussi di comunicazione, dei dati e delle componenti tecnologiche del sistema;
3)      l’intervento: cioè le azioni correttive conseguenti ad un allarme di sicurezza, rilevato dalle componenti di controllo e vigilanza, teso a violare la protezione del sistema.
Sia il dps che il piano di sicurezza devono essere correlati a queste tre regole tecniche. Non bisogna però mai dimenticare che l’obiettivo è quello di ridurre al minimo i rischi di distruzione o perdita, anche accidentali, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta (dlgs. 196/2003). In caso di distruzione bisogna prevedere non solo sistemi di disaster recovery ma soprattutto regole di conservazione (parliamo di “migrazione tecnologica” per garantire la disponibilità e autenticità del dato nel tempo). Risulta necessario anche verificare l’accesso non autorizzato per cui stabilire delle misure di protezione ma anche di controllo e verifica. Risulta anche necessario verificare il trattamento non consentito: oltre alla protezione serve il controllo “interno” all’ente (o agli enti nel caso di procedimenti che coinvolgono più soggetti): si pensi al caso Laziomatica. Tutto questo procedimento organizzativo diventa più complesso quando si ha a che fare con una pluralità di enti (è il caso dei cosiddetti Centri Servizi Territoriali). Da questo punto di vista chi si occupa di sicurezza deve pensare lontano. Oggi una firma digitale emessa è sicura ma forse fra qualche anno non lo sarà più da un punto di vista tecnologico in quanto non garantirà più l’attestazione di colui che lo ha firmato digitalmente. Bisogna pensare sempre nel lungo periodo quando redigiamo un dps. Quindi quando facciamo riferimento al concetto di disponibilità esaminato nelle BS7799, in realtà nel dps ci riferiamo al concetto di distruzione o perdita intesa come perdita di capacità di rendere fruibile quel dato e non solo come semplice perdita perché ad esempio si è distrutto l’hard-disk.
Gli elementi fondamentali nel dps e nel piano di sicurezza sono l’analisi dei rischi, i sistemi di controllo allarme, che ci consentono di controllare lo stato del sistema mentre per quanto concerne la fase della disponibilità del dato, cioè per quanto riguarda la conservazione questa non sarà oggetto di analisi.
Esaminiamo ora alcuni elementi fondamentali presenti all’interno del DPS e del piano di sicurezza confrontandoli che sono i seguenti:
1)      L’analisi del rischio che è richiamata dalla regola 19.3 dell’allegato B del Dlgs. 196/2003 (Analisi dei rischi che incombono sui dati). Inoltre è stata fatta anche una classificazione delle minacce e delle vulnerabilità e valutazione del rischio (Sicurezza materiale ed ambientale Sviluppo e manutenzione dei sistemi, sicurezza del personale che è trasversale alle 10 politiche di sicurezza delle BS7799). Di fatto la classificazione delle minacce e delle vulnerabilità e la valutazione del rischio, a seguito della modifica del 2005, è trasversale a tutti i 10 capitoli delle BS7799;
2)      La gestione dei disastri che è richiamata dalla Regola 19.5 che descrive i criteri e le modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento. Inoltre essa richiama il punto 9 delle BS7799 “Gestione della business continuity (Business Continuity Planning);
3)      L’assegnazione delle responsabilità che è richiamata dalla regola 19.2 che riguarda la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati. Inoltre questo richiama il punto 2 delle BS7799 che riguardano l’organizzazione per la sicurezza;
4)      Le misure da adottare per garantire l’integrità e la disponibilità dei dati che richiamano la regola 19.5 concernente la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento. Inoltre essa concerne anche i piani di business continuity che devono garantire il ripristino dei servizi in tempi brevi in presenza di guasti, malfunzionamento e/o altre possibili anomalie che comportano interruzioni di sevizio.
Da questo punto di vista qui si va ad interagire con alcuni aspetti che non siano attinenti alla sicurezza e che sembrano non avere un senso, ossia la disponibilità di un sistema informatico nel senso di ripristino, disaster recovery sembrerebbero un oggetto che viene trattato a parte rispetto a un discorso di organizzazione della sicurezza. Viene fatto giustamente confluire nella sicurezza, perché la sicurezza non è soltanto la protezione ma è soprattutto la garanzia della disponibilità del dato e la garanzia del corretto uso di quel dato. Alcuni esempi ci sono dati dal Piano di Sicurezza del Centro Nazionale dei Servizi Demografici basato sullo standard BS7799 – ISO IEC 27001 e dal DPS di una struttura universitaria basato sull’allegato B del Dlgs. 196/2003. Un piano di sicurezza parte da un contesto ambientale e normativo, citando quali sono gli standard di riferimento ma quello che conta è l’organizzazione che viene data all’ambito organizzativo. Nel caso del CNSD ogni capitolo del piano viene calato in un contesto di riferimento reale e vengono anche definite delle unità organizzative che sono o trasversali o specifiche sul tema del capitolo di riferimento. Le unità organizzative sono le unità che svolgono funzioni specifiche all’interno del processo organizzativo del Centro. Per cui abbiamo un primo livello che è quello trasversale a tutti i processi ed è il processo che controlla tutti i processi ed il secondo livello interno che sono le unità funzionali ed applicative. Per ogni unità sono definiti i ruoli che possono accedere a quella determinata unità e le relative responsabilità. Successivamente si esamina cosa fa ogni unità organizzativa. Un piano di sicurezza si divide in 10 capitoli così come previsto dalle BS7799.
Nel caso invece del dps di un ministero per esempio, questo documento dovrebbe essere redatto per tutta la struttura e non per settore. Invece il piano di sicurezza tipicamente è fatto per settori. Questa è una differenza fondamentale tra i due documenti. Ad esempio in un comune esiste un piano di sicurezza della cie che comprende i processi dell’INA e della CIE. In realtà in un comune esistono altri processi organizzativi che non sono contemplati nel piano di sicurezza della cie ma che devono essere esplicitati nel documento programmatico sulla sicurezza. D’altronde io non posso pensare di fare un piano di sicurezza di un ente o di un’azienda perché spesso e volentieri non è esattamente necessaria la stessa articolazione del piano di sicurezza per tutti gli uffici in quanto diventa uno strumento poco manutenibile perché di notevole dimensione cartacea. Oltretutto se possediamo ad se. un piano di sicurezza sulla cie e ad es. un piano di sicurezza dei servizi dell’ufficio tecnico, a questo punto è necessario redarre un meta-piano che ci dice quali sono le relazioni fra le eventuali unità organizzative e ci da tutti gli elementi di base e di dettaglio degli altri piani.
Il piano di sicurezza deve quindi gestire i processi organizzativi per cui deve affrontare sia il processo vero e proprio sia i processi che vanno verso l’esterno e quindi la protezione dei dati che servono a garantire quel servizio. Il dps invece ci dice di esaminare i dati per cui a questo punto io devo esaminare i dati che noi trattiamo all’interno della nostra struttura (ad es. un CST) per cui non sto ancora analizzando il processo che mi permette di avere questi dati. Io nel dps andrò a vedere come tratto i dati, ad esempio sia quelli interni che esterni al CST. Viceversa se io se la fatturazione del servizio non la faccio con l’anagrafe che mi carico nel cst ma faccio un’interrogazione alle anagrafi dei comuni per il cui il processo di fatturazione viene fatto all’interno di ciascun ente, allora avremo un processo che avviene contestualmente sul cst e su una banca dati esterna. In questo caso il dps quei dati teoricamente non li va a vedere, in quanto questi dati non sono trattati a livello di cst, in quanto il cst stesso non fa altro che chiedere ogni volta alcuna informazione. Il dps invece  dovrebbe dire come dovrebbe essere gestita l’informazione integrata.
E’ chiaro che sia il dps che il piano di sicurezza cambiano a seconda di quello che scelgo come modello organizzativo.
A tal scopo cerchiamo di non scordarci mai che i nostri obiettivi sono:
1)      la prevenzione da raggiungere con un adeguato livello di controllo e vigilanza. In questo ambito facciamo rientrare anche il controllo degli accessi non autorizzati o di trattamento non consentito dei dati;
2)      la protezione, da raggiungere con un adeguato livello di contromisure. In questo ambito facciamo rientrare anche la garanzia della disponibilità (conservazione, integrità, autenticità…) del dato:
3)      l’intervento: cioè le azioni correttive conseguenti ad una violazione di sicurezza o a un semplice allarme di sicurezza, rilevato dalle componenti di controllo e vigilanza, teso a violare la protezione del sistema.
Da questo discorso si capisce che gli elementi fondamentali sono:
1)      l’analisi del rischio;
2)      adeguati sistemi di controllo e allarme in grado di rilevare potenziali violazioni della sicurezza;
3)      metodologie atte a garantire la prevenzione dell’obsolescenza tecnologica cosi da garantire la disponibilità, l’autenticità e l’integrità delle informazioni nel tempo.
 
 
 

a cura del Dottor Antonio Guzzo
Responsabile CED – Sistemi Informativi del Comune di Praia a Mare

© RIPRODUZIONE RISERVATA


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it