Biancamaria Consales
Con circolare n. 135 del 3 dicembre 2012, l’Inps ha predisposto una serie di misure volte alla riduzione del rischio derivante dall’uso improprio degli strumenti forniti in dotazione. Tale cautela si è resa necessaria stante l’utilizzo sempre più intensivo di strumenti informatici per lo svolgimento delle attività istituzionali.
Ancorché molteplici siano state le misure tecnologiche ed organizzative introdotte dall’Inps a garanzia dell’integrità e della riservatezza dei dati e delle transazioni informatiche, il livello di rischio in tale ambito può ulteriormente essere ridotto intervenendo anche sulle regole comportamentali in relazione all’uso degli asset informatici, richiamando le regole del loro impiego e monitorando la loro applicazione.
La circolare in oggetto, in particolare, definisce i ruoli e le responsabilità delle principali strutture dell’Inps coinvolte nel processo di gestione dei servizi informatici; le raccomandazioni generali e le regole comportamentali cui devono attenersi gli utenti interni, al fine di garantire l’utilizzo in sicurezza dei servizi informatici; le attività di monitoraggio e di tracciamento dei servizi di posta elettronica e di navigazione Internet degli utenti, in conformità con le indicazioni del Garante stabilite nel Provvedimento Generale del 1° marzo 2007 (Linee guida del Garante per posta elettronica e internet).
Si riportano i principali punti tracciati nel provvedimento:
a) il personale è responsabile di tutte le attività che svolge utilizzando le risorse informatiche dell’Istituto assegnate (computer, telefono, procedure informatiche, ecc.), il cui utilizzo deve sempre ispirarsi al principio di diligenza e correttezza. In particolare, il personal computer (postazioni fisse e notebook) deve essere utilizzato esclusivamente per scopi professionali ed in relazione alle attività di presidio del proprio ruolo;
b) non sono consentite l’installazione o la rimozione di hardware o software, né la modifica delle configurazioni impostate (ad es. parametri di rete, configurazioni di sistema, ecc.), se non espressamente autorizzate dalla Direzione Centrale Sistemi Informativi e Tecnologici;
c) devono essere consentiti l’aggiornamento dell’antivirus e l’installazione degli aggiornamenti di sistema almeno ogni 15 giorni;
d) è necessario assicurarsi che il software antivirus sia installato e attivo;
e) i supporti di memoria rimovibili (floppy disk, CD/DVD, chiavi USB, hard disk esterni, ecc.) contenenti dati sensibili o giudiziari devono essere conservati in luoghi protetti o protetti da una chiave di accesso di protezione. I dati in essi contenuti devono essere cancellati, quando non sono più necessari, o, nel caso non fosse possibile cancellarli, i supporti devono essere distrutti;
f) in caso di furto o smarrimento di risorse informatiche o di supporti contenenti dati dell’Istituto, oltre che presentarne denuncia alle autorità di pubblica sicurezza, l’utente deve tempestivamente darne comunicazione anche alla Direzione Centrale Sistemi Informativi e Tecnologici;
g) senza specifica autorizzazione della Direzione Centrale Sistemi Informativi e Tecnologici, l’utente non deve utilizzare modem o dispositivi affini che consentono la connessione diretta della postazione di lavoro a reti esterne pubbliche (Internet) o private (sistemi di altre società), ivi incluso il collegamento tramite telefoni cellulari o apparati hardware wireless (ad es. router wireless o access point). In nessun caso, inoltre, il modem ed i dispositivi affini possono essere utilizzati quando la postazione di lavoro è collegata contemporaneamente alla rete dell’Istituto;
h) laddove possibile il monitor delle postazioni di lavoro dovrà essere posizionato in modo da non rendere possibile, se non per il suo utilizzatore, la lettura delle informazioni visualizzate;
i) il lavoratore ha a disposizione un indirizzo di posta elettronica aziendale da utilizzare per finalità inerenti all’attività lavorativa. Nell’ambito della corrispondenza elettronica, l’utente avrà cura di trasmettere comunicazioni concise, professionali e rispettose, nei toni, della dignità dei destinatari, utilizzando un linguaggio appropriato e una forma espositiva adeguata. Gli utenti hanno l’obbligo di comunicare con i vari livelli della struttura aziendale seguendo le stesse vie gerarchiche utilizzate per la posta convenzionale;
l) è vietato scaricare sulla propria postazione di lavoro software, file e qualsiasi tipologia di materiale multimediale che viola, o per mezzo dei quali può essere violata, la normativa in tema di diritto d’autore.
Le Direzioni regionali, attraverso i Gruppi regionali di assistenza informatica, svolgeranno azioni di monitoraggio e supporto ai fini dell’applicazione delle disposizioni contenute nella circolare in oggetto. Infine, nell’ambito della Direzione Centrale Sistemi Informativi e Tecnologici opera una struttura funzionale denominata IRT (Incident Response Team), con compiti di ricezione, analisi e gestione delle segnalazioni pervenute dagli utenti per sospette violazioni di sicurezza.
Scrivi un commento
Accedi per poter inserire un commento