{"id":5185,"date":"2014-10-21T00:00:00","date_gmt":"2014-10-20T22:00:00","guid":{"rendered":"http:\/\/192.168.2.57\/index.php\/2014\/10\/21\/home_n3_2014-3\/"},"modified":"2024-12-06T14:40:13","modified_gmt":"2024-12-06T13:40:13","slug":"home_n3_2014-3","status":"publish","type":"post","link":"https:\/\/infonews.notartel.it\/index.php\/2014\/10\/21\/home_n3_2014-3\/","title":{"rendered":"Proteggersi nella Rete. Hacker, phishing, antivirus. La sicurezza in Notartel"},"content":{"rendered":"

Quando parliamo di sicurezza ci vengono in mente definizioni anglosassoni e strumenti <\/strong>sofisticati, spesso patrimonio di tecnici specializzati, formati appositamente per occuparsene con un bagaglio culturale molto distante da quello del giurista, eppure ciascuno di noi sa che deve farsene carico ed occuparsene, il che qualche volta comporta tutta la fatica di entrare in un mondo che non ci \u00e8 congeniale. Forse partire dal dettato normativo pu\u00f2 aiutare a meglio comprendere questa materia e perch\u00e9 ognuno di noi \u00e8 chiamato a conoscerla ed applicarla.<\/p>\n

Gi obblighi riguardanti la sicurezza sono contenuti nel D.Lgs 196\/2003 ovvero nel c.d. \u201ccodice privacy\u201d <\/b>e la dizione \u201cvolgare\u201d con la quale \u00e8 comunemente \u00e8 indicata questa legge tradisce in parte il suo vero contenuto: oggetto di tutela, infatti, non \u00e8 solo la riservatezza, intesa quale diritto di privativa, ma nella Societ\u00e0 dell\u2019Informazione, oggetto di tutela \u00e8 soprattutto il corretto utilizzo dei dati – attraverso la regolamentazione dei flussi informativi, secondo regole conoscibili per l\u2019interessato e finalit\u00e0 ben definite e lecite -, nonch\u00e9 la conservazione in sicurezza degli stessi; da questo punto di vista molto pi\u00f9 completo e significativo \u00e8 il vero titolo del Decreto Legislativo 196 che \u00e8 rubricato \u201ccodice in materia di protezione<\/i> dei dati personali\u201d.<\/p>\n

Le evoluzioni pi\u00f9 recenti testimoniano come questa seconda accezione del concetto <\/b>della \u201cprotezione dei dati personali\u201d sia in realt\u00e0 quello pi\u00f9 attuale, in quanto il diritto alla riservatezza in senso stretto sempre pi\u00f9 spesso cede il passo ad altri interessi ritenuti dal legislatore superiori rispetto a quello c.d. alla privacy \u2013 come quello pubblicistico della trasparenza amministrativa – rendendo oltremodo attuale l’aspetto della sicurezza e del corretto utilizzo del dato, pi\u00f9 che della sua segretezza.
\n
\nLa tutela dell’identit\u00e0 personale che permane in ambito privatistico \u00e8 quella correlata al <\/b>diritto di ciascuno a non veder profilati i propri comportamenti solo a fini commerciali, quasi un moderno \u201clate biosas\u201d,<\/i> ovvero al diritto a non veder invasa la propria proiezione digitale<\/i> del s\u00e9 – posta elettronica, profili personali sui social network – con comunicazioni commerciali n\u00e9 gradite n\u00e9 sollecitate. L’ambito di applicazione del D.Lgs.196, inoltre, \u00e8 particolarmente vasto ed arriva a coinvolgere anche il privato cittadino in quanto esso prevede che, ai trattamenti di dati effettuati per fini esclusivamente personali dai privati, si applicano in ogni caso le disposizioni in tema di responsabilit\u00e0 e di sicurezza previste dal \u201cCodice\u201d stesso, che quindi non soffrono alcuna eccezione. Ricordare qui le misure di sicurezza previste dalla legge in caso di trattamento dei dati con strumenti elettronici pu\u00f2 essere un utile promemoria prima ancora che nella vita professionale nella propria quotidianit\u00e0, ed il notaio conservatore di professione \u00e8 chiamato prima e pi\u00f9 degli altri a conoscerle ed implementarle.<\/p>\n

La prima misura di sicurezza obbligatoria per tutti \u00e8 la c.d. autenticazione informatica, <\/b>essa pu\u00f2 essere costituita alternativamente da:<\/p>\n

– una caratteristica biometrica dell\u2019interessato, quale un\u2019impronta digitale o l\u2019iride eventualmente in associazione con un codice identificativo o una parola chiave (<\/i>something you are);
\n– un dispositivo di autenticazione come una smart card o un badge eventualmente in associazione con un codice identificativo o una parola chiave (something you have);
\n– l\u2019insieme di parole chiave e codice identificativo: nome utente e password (something you know) la pi\u00f9 semplice sicuramente tra le modalit\u00e0 di autenticazione ma soggetta a ripetuta \u201cmanutenzione\u201d, in tal caso \u00e8 richiesto che:<\/p>\n

a) la sostituzione della parola chiave avvenga autonomamente da parte dell\u2019interessato, evitando quindi che la stessa sia conosciuta e comunicata a terzi;
\nb) la parola chiave abbia una lunghezza minima di otto caratteri (o, se minore, comunque utilizzi la lunghezza massima permessa dal sistema);
\nc) la parola chiave venga sostituita almeno ogni sei mesi e immediatamente quando viene assegnata inizialmente all\u2019incaricato (nel caso di trattamento di dati sensibili la sostituzione della parola chiave deve avvenire almeno ogni tre mesi);
\nd) non sia facilmente riconducibile all\u2019incaricato;
\ne) l\u2019eventuale custode delle parole chiave deve informare tempestivamente l’interessato dell\u2019intervento di accesso effettuato sulle sue credenziali di autenticazione.<\/p>\n


\nLa seconda misura di sicurezza, non obbligatoria ma oramai molto diffusa anche nei <\/b>nostri studi, \u00e8 l’adozione di un sistema di autorizzazione, inteso come l\u2019insieme delle informazioni, univocamente associate a una persona, che abilitano l\u2019accesso ad una serie di dati e alle modalit\u00e0 del loro trattamento, per fare un esempio nel sistema IAM (acronimo che sta per Identity Access Management) adottato per l’accesso alla nostra R.U.N., il profilo del notaio consente l’uso e la consultazione dell’intero patrimonio informativo del Notariato (banche dati, applicativi, sistemi di comunicazione) mentre quello dei nostri collaboratori \u00e8 limitato e pu\u00f2 essere\u00a0configurato in modo da prevedere che solo alcuni accedano a determinati dati e\/o programmi. Anche in assenza di un vero e proprio sistema di autorizzazione il Codice prevede l\u2019obbligo di individuazione dei trattamenti consentiti ai singoli incaricati per iscritto, con l’obbligo inoltre di verifica, almeno annuale, di tali incarichi.<\/p>\n

Terzo pilastro della sicurezza, anch’esso obbligatorio, \u00e8 la protezione degli strumenti<\/b> elettronici attuata mediante l’adozione di:
\n– Protezione Antivirus,<\/i> il cui aggiornamento deve essere almeno semestrale.
\n– Aggiornamento del Software,<\/i> attraverso le \u201cpatch\u201d, le \u201c service release\u201d o le nuove versioni che diminuiscano la vulnerabilit\u00e0 o correggano errori, almeno entro un anno dal loro rilascio (sei mesi nel caso di trattamento di dati sensibili).
\n– Sistemi Antintrusione<\/i>, come firewall (software o hardware) eventualmente integrato da \u201cintrusion detection system\u201d, obbligatorio nel caso di trattamento di dati sensibili e giudiziari mediante sistemi informatici.
\n<\/b><\/p>\n

Quarta misura obbligatoria sono le copie di sicurezza, <\/b>per assicurare il salvataggio dei dati con cadenza almeno settimanale. Qualora siano oggetto di trattamento dati sensibili il sistema di salvataggio deve permettere, in caso di incidente, la possibilit\u00e0 di accesso agli stessi (cio\u00e8 di ripristino del sistema) in tempi certi e predefiniti e comunque non superiori a sette giorni.<\/p>\n

Quinta ed ultima misura obbligatoria \u00e8 la cifratura o separazione di dati sensibili, ovvero <\/b>i dati relativi allo stato di salute ed alla vita sessuale devono essere cifrati o separati dagli altri dati dell\u2019interessato. Data la complessit\u00e0 di utilizzare sistemi di cifratura, l\u2019obbligo pu\u00f2 essere assolto mediante l\u2019utilizzo di sistemi od applicazioni specifici il cui utilizzo \u00e8 consentito solo con sistemi di autenticazione appositamente dedicati. Tale prescrizione non \u00e8 direttamente applicabile agli atti notarili che – per obbligo di legge – contengano riferimenti a dati sensibili; mentre, qualora tali dati siano in qualche modo schedati ed archiviati separatamente dal contesto dell\u2019atto notarile, riemerge in toto<\/i> l\u2019obbligo di cifratura degli stessi.<\/p>\n

Se queste sono le misure minime da adottare nell’utilizzo dei propri strumenti informatici <\/b>bisogna per\u00f2 sempre ricordare che la sicurezza non \u00e8 un prodotto acquistabile sul mercato, ma un processo, un insieme di misure organizzative da adottare e condividere con i propri collaboratori, e generare una cultura della sicurezza significa comprendere in prima persona i concetti e gli strumenti dedicati ad assicurarla, mettendo in pratica comportamenti corretti mediante un impegno diretto e personale.<\/p>\n

La sicurezza in una organizzazione aziendale ancor prima di essere la messa in opera di una serie di componenti tecnici<\/b>, \u00e8 un <\/b>metodo di lavoro sorretto da un processo che si avvale di strumenti tecnologici atti ad aumentare la capacit\u00e0 di resistenza di una organizzazione. Pi\u00f9 precisamente \u00e8 la capacit\u00e0 di programmare una struttura in maniera tale da evitare che la operativit\u00e0 della struttura stessa evolva verso \u201csituazioni indesiderate\u201d, possano essere queste intrusioni non autorizzate, accessi malevoli, alterazione di informazione e quanto altro si possa immaginare nell\u2019ambito strettamente ICT.<\/p>\n

\u00c8 questo l\u2019approccio di Notartel sia per quanto riguarda le strutture interne sia per<\/b> ci\u00f2<\/b> che interessa l\u2019ambito dei servizi erogati ai notai. Logico complemento di tale modus<\/i> operandi<\/i> nell\u2019impiego di processi organizzativi aziendali volti a migliorare costantemente e nel tempo le prestazioni di sicurezza della struttura \u00e8 l\u2019impegno volto al traguardo della certificazione ISO 27000. Tre sono i pilastri da cui si \u00e8 partiti in Notartel per l\u2019implementazione di base del sistema di sicurezza informatico.<\/p>\n

Sicurezza fisica<\/b>. La protezione materiale dei luoghi in cui sono conservate le apparecchiature e le componenti che a loro volta contengono ed elaborano i dati mediante:<\/p>\n

–\u00a0vigilanza H24 con sistemi di allarme e telecamere;<\/div>\n
–\u00a0un edificio principale altamente automatizzato in termini di \u201cdomotica\u201d (controllo temperatura, umidit\u00e0, etc.);<\/div>\n
–\u00a0la duplicazione in due ambienti separati del CED;<\/div>\n
–\u00a0il controllo degli accessi tramite identificazione e riconoscimento (ovvero inibizione alle persone non autorizzate all\u2019ingresso nei locali contenenti apparecchiature e dati);<\/div>\n
–\u00a0blindatura di tutte le aree ritenute critiche per la conservazione delle apparecchiature e dei dati.<\/div>\n
<\/div>\n

\nSicurezza logica<\/b>. L\u2019affidabilit\u00e0, integrit\u00e0, resilienza sia delle apparecchiature che dei dati. In pratica sono stati predisposti sistemi che potessero garantire:<\/div>\n
–\u00a0bilanciamento del traffico dati e conversione automatica di detto traffico su apparecchiature funzionanti in caso di \u201cfault\u201d di una singola componente;<\/div>\n
–\u00a0disponibilit\u00e0 di strutture di back up duplicate in due siti distinti per poter recuperare informazioni in caso di compromissione di un sito;<\/div>\n
–\u00a0ridondanza dati. Ogni dato che transita nella struttura \u00e8 scritto contemporaneamente sui due siti che ospitano le apparecchiature;<\/div>\n
–\u00a0gestione degli accessi amministrativi ai dati con un modello basato su regole per il controllo dell\u2019accesso (Roled Based Access Control RBAC) per garantire l\u2019accesso ai contenuti solo ed esclusivamente agli utenti ed al personale autorizzato.<\/p>\n
<\/div>\n
Sicurezza perimetrale<\/b>. La protezione da parte di attacchi provenienti da sistemi esterni (principalmente da Internet, ma anche da violazioni interne). Per tale motivo sono state predisposte e configurate apparecchiature e applicazioni che consentissero:<\/div>\n
–\u00a0l\u2019accesso amministrativo ai sistemi limitato al personale autorizzato (privileged account management);<\/div>\n
–\u00a0la protezione da intrusioni non autorizzate tramite firewall per il controllo di tutti i sistemi elaborativi;
\n– la protezione da attacchi spam e virus mediante (tipicamente) prodotti antispam e antivirus.<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Quando parliamo di sicurezza ci vengono in mente definizioni anglosassoni e strumenti sofisticati, spesso patrimonio di tecnici specializzati, formati appositamente per occuparsene con un bagaglio culturale molto distante da quello del giurista, eppure ciascuno di noi sa che deve farsene carico ed occuparsene, il che qualche volta comporta tutta la fatica di entrare in un mondo che non ci \u00e8 congeniale. <\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_editorskit_title_hidden":false,"_editorskit_reading_time":0,"_editorskit_is_block_options_detached":false,"_editorskit_block_options_position":"{}","footnotes":""},"categories":[202],"tags":[415],"class_list":["post-5185","post","type-post","status-publish","format-standard","hentry","category-come-fare-per","tag-newsletter-infonews-del-21-10-2014-n-3"],"acf":[],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/infonews.notartel.it\/index.php\/wp-json\/wp\/v2\/posts\/5185"}],"collection":[{"href":"https:\/\/infonews.notartel.it\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/infonews.notartel.it\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/infonews.notartel.it\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/infonews.notartel.it\/index.php\/wp-json\/wp\/v2\/comments?post=5185"}],"version-history":[{"count":8,"href":"https:\/\/infonews.notartel.it\/index.php\/wp-json\/wp\/v2\/posts\/5185\/revisions"}],"predecessor-version":[{"id":6145,"href":"https:\/\/infonews.notartel.it\/index.php\/wp-json\/wp\/v2\/posts\/5185\/revisions\/6145"}],"wp:attachment":[{"href":"https:\/\/infonews.notartel.it\/index.php\/wp-json\/wp\/v2\/media?parent=5185"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/infonews.notartel.it\/index.php\/wp-json\/wp\/v2\/categories?post=5185"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/infonews.notartel.it\/index.php\/wp-json\/wp\/v2\/tags?post=5185"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}