L’Amministratore di Sistema, spesso indicato con la sigla AdS, rappresenta una figura cruciale per la sicurezza dei dati e la gestione efficiente dei sistemi e delle reti. L’AdS si occupa, tra le varie cose, di configurare i sistemi informatici aziendali sulla base delle esigenze e delle regole organizzative oltre che di gestirli nel tempo al fine di garantirne il buon funzionamento e la sicurezza.
È stato il provvedimento del Garante della Privacy del novembre 2008, soggetto poi a modifiche e integrazioni successive, a richiamare l’attenzione su questa figura, definendo i cosiddetti “criteri di adeguatezza” e imponendo la verifica del suo operato da parte del Titolare del Trattamento grazie a misure come il tracciamento degli accessi. Nonostante ciò, ancora oggi molte imprese faticano a cogliere l’importanza dell’AdS, sottovalutando profondamente i rischi che possono derivare da una sua scarsa preparazione e/o da scarse risorse a suo supporto.
Sebbene il GDPR non parli espressamente di Amministratori di Sistema, ancora oggi il loro ruolo rimane chiave per tutte le imprese. D’altronde, l’AdS è fondamentale per garantire il rispetto dei principi di protezione dei dati personali tramite una gestione attenta e puntuale dei sistemi, l’adozione di misure di sicurezza adeguate e il supporto al Titolare nell’espressione dell’accountability.
Chi è l’Amministratore di Sistema: una definizione
L’Amministratore di Sistema, noto anche come System Administrator, è un a figura che riveste un ruolo cruciale nella protezione dei dati personali all’interno delle imprese. Questo professionista si occupa di gestire, amministrare e mantenere i sistemi informatici aziendali oltre che di gestire le minacce di sicurezza che incombono sui dati e sui sistemi.
Ma chi è, quindi, l’Amministratore di Sistema?
La definizione a oggi più esaustiva rimane quella proposta dal Provvedimento del Garante del 2008 che identifica l’Amministratore di Sistema come “la figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione o di sue componenti con cui vengono effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza”. Ad ogni modo, al di là del focus posto sui dati personali dal Garante, l’Amministratore di Sistema può definirsi come la figura che si occupa del buon funzionamento di tutti i sistemi informativi aziendali assicurandosi la protezione dei dati personali e/o la business continuity. Ciò anche progettando, implementando e gestendo progetti di implementazioni con fornitori esterni.
Insomma, il ruolo dell’AdS va oltre ad un aspetto meramente tecnico per impattare significativamente sulla responsabilità dei dati aziendali. La sua centralità nella tutela della privacy e della continuità operativa non deve quindi sorprendere, considerato l’accesso privilegiato, di cui può godere in modo diretto o incidentale, a tutti i dati personali trattati dall’azienda e che transitano nelle reti.
I compiti e le responsabilità dell’Ads
L’Amministratore di Sistema riveste un ruolo cruciale nella gestione delle reti informatiche. Tra le sue responsabilità vi è certo l’assicurare il regolare funzionamento dell’infrastruttura tecnologica aziendale e garantire la sua protezione fornendo, quando necessario, supporto diretto agli utenti.
Tra i compiti e le attività di cui deve occuparsi un Amministratore di Sistema possiamo citare:
- Progettazione, implementazione e configurazione dei sistemi operativi sui server, sulle postazioni aziendali, sui dispositivi di rete e, in generale, sui servizi interni.;
- Configurazione, manutenzione ordinaria e straordinaria delle reti aziendali, compresi router, firewall e antivirus, per garantire sicurezza e stabilità alle reti e accesso sicuro e autorizzato alle risorse;
- Amministrazione delle business application, cioè dei software gestionali e dei sistemi di controllo della produzione;
- Gestione degli account utente all’interno dell’azienda e dei relativi privilegi di accesso a dati e servizi nel pieno rispetto di quanto previsto dall’organizzazione aziendale, anche attraverso l’implementazione di misure per il monitoraggio di eventuali accessi non autorizzati;
- Gestione dei dati, dividendo i dati a seconda dell’ambito operativo, concedendo il privilegio minimo possibile per l’accesso e applicando la crittografia laddove possibile.
- Pianificazione e gestione dei backup dei dati aziendali, per garantire, grazie a verifiche relative la buona riuscita dei backup e all’effettuazione dei test di ripristino, la protezione dei dati e il loro ripristino (restore, disaster recovery o business continuity) in caso di incidenti o guasti;
- Difesa della sicurezza informatica aziendale, per implementare le giuste e adeguate misure di sicurezza a seconda dei risultati emersi dalle valutazioni dei rischi e d’impatto (DPIA).
Parte integrante del suo ruolo è informare il Titolare a proposito delle attività necessarie per garantire un adeguato livello di sicurezza in relazione alla tipologia e alla quantità dei dati personali trattati. Da questo punto di vista, insomma, possiamo aggiungere ai compiti dell’AdS anche quello consulenziale verso il Titolare del trattamento per sostenerlo nell’espressione dell’accountability.
L’importanza della nomina ad Amministratore di Sistema
Detto ciò, non sorprenderà sapere che quello dell’Amministratore di Sistema, proprio per via della sua importanza e responsabilità, è un ruolo particolarmente temuto. Eppure, ci sono buone ragioni per preferire una nomina.
Infatti, chiunque di fatto acceda in modo privilegiato e autorizzato al sistema (dal System Integrator all’MSP fino al dipendente particolarmente abile con la tecnologia) assume agli occhi della legge il ruolo di Operatore di Sistema. Ciò significa che l’Operatore di Sistema diventa automaticamente corresponsabile di eventuali attività illecite, dai danni al data breach.
La nomina ad Amministratore di Sistema diventa perciò preferibile all’alternativa, consentendo di definire in modo preciso modi e tempi dell’attività oltre che limitare con chiarezza l’ambito di responsabilità.
Gli obblighi previsti dal Garante della Privacy
Nell’allegato B del provvedimento del 2008, noto anche come “Misure Minime”, il Garante della Privacy impone alcune misure e accorgimenti ai Titolari dei Trattamenti. In particolare:
- Criteri di adeguatezza: l’attribuzione delle funzioni di Amministratore di Sistema deve avvenire solo ed esclusivamente previa valutazione dell’esperienza, della capacità e dell’affidabilità della figura individuata. È perciò necessario che il System Administrator sia in possesso delle conoscenze necessarie a gestire i sistemi con profonda consapevolezza dei rischi e competenza in materia di buone pratiche per la sicurezza.
- Designazione individuale: la nomina di AdS è individuale e accompagnata da un elenco dettagliato degli ambiti di responsabilità. La designazione individuale decade nel caso in cui si preferisca nominare una ditta esterna, la quale dovrà occuparsi di conservare il registro aggiornato di chi opera sui sistemi.
- Elenco degli amministratori sempre aggiornato: gli estremi identificativi degli Amministratori di Sistema e l’elenco delle funzioni ad essi attribuite devono essere conservati per essere resi disponibili al Garante in caso di accertamento.
- Verifica dell’operato: le attività dell’Amministratore di Sistema devono essere vagliate quantomeno con cadenza annuale, per verificare la diligenza e puntualità dell’AdS rispetto alla gestione e manutenzione dei sistemi, ad esempio relativa alle patch di sicurezza.
- Tracciamento degli accessi: è necessario adottare sistemi per la registrazione degli accessi da parte dei System Administrator. Gli access log, oltre che essere completi, inalterabili e verificabili, devono essere conservati per un periodo non inferiore ai 6 mesi.
Le misure di cyber security previste dal Provvedimento
Insomma, per assicurarsi il pieno rispetto del Provvedimento del Garante della Privacy, un Amministratore di Sistema dovrà occuparsi, stando all’allegato B, di:
- Implementare un sistema di autenticazione sicuro
- Formare gli utenti in merito alla gestione delle credenziali di accesso
- Implementare un sistema di autorizzazione
- Partizionare i dati per ambito operativo
- Concedere agli operatori il minimo privilegio di accesso ai dati
- Implementare misure per ridurre il rischio di intrusione
- Effettuare backup e test di ripristino dei dati
- Individuare i rischi per i dati ed implementare misure per mitigarli
- Applicare la cifratura, gestire i supporti rimovibili e usare la cancellazione sicura (se e quando necessario)
Ma queste misure minime, che risalgono al 2008, posso ancora considerarsi utili nel 2023? La risposta è decisamente affermativa. Naturalmente, i rischi informatici sono aumentati esponenzialmente in questi anni, rendendo quelle misure minime una condizione necessaria imprescindibile per implementarne di nuove, adeguate al rischio di oggi.
Amministratore di Sistema e GDPR
Il Regolamento europeo sulla protezione dei dati personali (EU 2016/679 – GDPR) ha l’obiettivo di armonizzare le leggi sulla gestione dei dati sensibili in Europa. Per farlo, ha di fatto reso necessario implementare misure di sicurezza informatica adeguate tenendo conto dei rischi cui sono esposti i dati, dello stato dell’arte delle misure e dei costi di attuazione.
Sebbene non faccia riferimento esplicito all’Amministratore di Sistema, il Regolamento richiama implicitamente questa figura in alcune norme, riconoscendone le competenze tecniche specifiche utili a garantire un livello di sicurezza adeguato al rischio.
In particolare, l’art. 32, parlando di cifratura dei dati personali, del loro ripristino tempestivo in caso di incidenti e delle periodiche verifiche da effettuare sulle misure tecniche ed organizzative adottate, indica chiaramente la necessità di coinvolgere personale specializzato nella gestione e trattazione informatica dei dati personali.
Insomma, per quanto il GDPR non menzioni direttamente il System Administrator, è evidente che la nomina di questa figura da parte del Titolare del trattamento rientra nel pieno rispetto dei principi fondamentali di protezione dei dati, stabiliti dall’art. 5. D’altronde, l’Amministratore di Sistema svolge un ruolo significativo nella progettazione e innovazione dei processi organizzativi, contribuendo all’accountability (citata all’art. 24) e all’adozione di misure di sicurezza adeguate al rischio (all’art. 32 del GDPR).
Le misure per la conformità al GDPR dell’Amministratore di Sistema
Ma che cosa può fare un Amministratore di Sistema per mantenere salda la compliance? L’AdS potrà, a seconda dei casi, occuparsi di:
- Predisporre e tenere aggiornato un inventario dei dati e dei sistemi
- Implementare una strategia di backup e ripristino
- Pianificare test cadenzati di ripristino di dati e sistemi
- Implementare un sistema di autenticazione centralizzato
- Implementare politiche sicure per l’autenticazione (se possibile, 2FA)
- Implementare un sistema per il monitoraggio degli accessi
- Implementare un sistema di gestione dei profili di autorizzazione
- Configurare privilegi di accesso a dati e servizi, seguendo il principio del privilegio minimo
- Gestire i supporti rimovibili in modo sicuro
- Monitorare l’accesso ai dati da parte degli utenti
- Predisporre e tenere aggiornato un inventario dei software e dei sistemi
- Implementare un processo per la gestione degli aggiornamenti di sicurezza di software e sistemi
- Implementare un antivirus centralizzato
- Installare un sistema di log management conforme alle norme.
Conclusione
Come abbiamo visto in questo articolo, la figura dell’Amministratore di Sistema o System Administrator è di cruciale importanza per la sicurezza dei dati e per la gestione efficiente delle reti ed è quindi un lavoro è certamente complesso.
Forse proprio per questo motivo, e per le responsabilità che il ruolo porta con sé, la nomina dell’Amministratore di Sistema si accompagna spesso a grandi preoccupazioni. Eppure, la responsabilità non è certo esclusiva di chi ha la nomina, al contrario.
La nomina ad Amministratore di Sistema può essere una grande opportunità in quanto consente di concordare e circoscrivere l’ambito di responsabilità e acquisire forza nel richiedere le risorse utili all’implementazione delle misure.
Grazie alla soluzione Intrusa, una piattaforma in Cloud semplice all’uso e sempre aggiornata, le PMI possono dotarsi di un valido supporto, anche per l’AdS meno esperto.
Per il Titolare del Trattamento, Intrusa rappresenta:
- Uno strumento a norma di legge
- Un tool che non prevede costi né per l’allestimento né per la gestione di una infrastruttura
- La soluzione per controllare l’accesso ai dati aziendali e proteggerli
Per l’AdS, Intrusa può intendersi come uno strumento:
- Facile da usare e sempre aggiornato
- Capace di identificare vulnerabilità e fornire istruzioni semplici per risolverle
- Pronto a fornire visualizzazione chiare e concise dei dati rilevanti in pochi click.
Contattaci per saperne di più e per accedere a una demo gratuita della soluzione.