
Garantire la protezione dei dati e il loro trattamento in conformità al GDPR è obbligatorio per tutte le aziende ed è particolarmente delicato nelle realtà in cui i sistemi informatici gestiscono dati sanitari.
Abbiamo creato di seguito un vademecum con 14 provvedimenti basilari che ogni azienda deve assicurare:
- Password temporanea sicura da fornire ai neo-assunti con obbligo imposto dal sistema di modificarla al primo accesso;
- Scadenza password obbligatoria (tipicamente almeno 90 giorni);
- Impossibilità di rinnovare la password usando semplicemente la vecchia già in uso;
- Criteri di costruzione della password che aiutino la risorsa a sceglierne una adeguatamente sicura (minimo 8 o 16 caratteri con presenza di simboli, numeri e caratteri maiuscoli);
- Disattivazione temporanea dell’account dopo un certo numero di tentativi non andati a buon fine (tipicamente 3 tentativi);
- Adottare un protocollo SSL (HTTPS) obbligatoriamente se lavora con applicazioni WEB, ma utile anche se si lavora su reti intranet;
- Disattivare tramite policy di rete le funzioni che memorizzano la password nel browser a meno che il terminale sia in uso esclusivo e dedicato;
- Verifica ciclica (mensile) degli accessi avvenuti al sistema\software. Il sistema deve poter consentire di reperire i file di log di accesso agilmente al vostro Amministratore di Sistema;
- Adeguata analisi della distribuzione dei permessi di accesso alle funzioni del software soprattutto se soggette al trattamento di dati sensibili. I sistemi devono agevolare il lavoro del DPO generando un file riepilogativo e facilmente consultabile di come è avvenuta tale distribuzione;
- Archiviazione automatica dei dati non in uso (es. archiviazione dei dati sensibili dopo un numero di giorni dalla dimissione dell’utente);
- Evitare di dare i diritti di stampa quando non strettamente necessario. Talvolta la fuga di informazioni avviene semplicemente dimenticando fogli stampati in luoghi non protetti;
- Verifica ciclica degli account (data ultimo accesso) per disattivare gli account che non usano il sistema da più di 90 giorni. Oppure applicazione di un protocollo interno per il corretto monitoraggio degli account a rischio obsolescenza;
- Se i dispositivi contengono dati sensibili (soprattutto i dispositivi mobili) accertarsi che vengano sempre riposti in luoghi protetti e che sono sempre custoditi;
- Impostare un tempo di sessione (spegnimento display o savescreen) adeguato all’uso che eviti di mostrare troppo a lungo dati potenzialmente sensibili (un PC dovrebbe avere una sessione di 15 minuti e un Tablet\Smartphone di 5 minuti).
Questi 14 punti rappresentano alcuni dei provvedimenti minimi attuabili, la questione è però molto più ampia e tocca tutti i livelli aziendali e i processi di gestione di dati e informazioni e non solo il software!