Amministratore di sistema, ruolo alla luce del GDPR - Riskmanagement

Normative europee

Amministratore di sistema: ruolo, responsabilità e rischi alla luce del GDPR

La sua funzione ha lo scopo di garantire il regolare funzionamento dell’infrastruttura tecnologica aziendale e il corretto utilizzo della stessa da parte degli utenti interni ed esterni all’organizzazione. Svolge attività che comportano un’effettiva capacità di azione sul dato, per cui risulta un ruolo molto importante per la protezione dei dati personali

22 Giu 2021

Raffaele Riccio

Dal provvedimento dell’Autorità Garante sulle funzioni di amministratore di sistema del 2008 all’applicazione del Regolamento europeo 679/2016, l’amministratore di sistema è tutt’oggi una delle figure più significative nel contesto della protezione dei dati personali.

Ragioni della regolamentazione normativa

La regolamentazione normativa della figura dell’amministratore di sistema può ritenersi storicamente dovuta a una serie di preoccupazioni condivise in relazione al ruolo, alle responsabilità e ai rischi connessi alla figura dell’amministratore di sistema. Tali preoccupazioni, quindi, sono divenuti gli obiettivi e i princìpi ispiratori della disciplina normativa sull’amministratore di sistema, che possono sostanzialmente identificarsi nei seguenti punti:

[QUIZ] SECURITY/BACKUP
Protezione dei dati: sei sicuro di avere una strategia efficace? Scoprilo nel Quiz
Big Data
Sicurezza
  • prevenire e accertare eventuali accessi non consentiti ai dati personali, specie quelli realizzati con abuso della qualità di amministratore di sistema (“abusi di potere” nello svolgimento delle proprie attività);
  • valutare con particolare cura l’attribuzione di funzioni tecniche propriamente corrispondenti o assimilabili a quelle di amministratore di sistema, ove sia tecnicamente possibile l’accesso (anche fortuito) a dati personali;
  • richiamare tutti i titolari di trattamenti effettuati mediante strumenti elettronici alla necessità di prestare massima attenzione ai rischi connessi nell’affidamento degli incarichi di amministratore di sistema: in particolare, si rifletteva sull’opportunità di considerare con debita attenzione le caratteristiche soggettive, di condotta, affidabilità e professionalità dei soggetti cui attribuire tale ruolo e di definirne le responsabilità in caso di incosciente o inidonea designazione;
  • individuare misure di carattere organizzativo e tecnico che favoriscano una più agevole conoscenza dell’esistenza di determinati ruoli tecnici, delle responsabilità connesse a tali mansioni e dell’identità dei soggetti che operano quali amministratori di sistema.
  • amministratore di sistema

Chi è l’amministratore di sistema

L’Autorità Garante per la protezione dei dati personali, con il Provvedimento del 27 novembre 2008 (“Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”), ha “recuperato” la figura dell’amministratore di sistema che, in origine, era prevista in epoca anteriore al Codice Privacy del 2003.

L’art. 1, comma 1, lett. c) d.P.R. 318/1999 definiva l’amministratore di sistema in questi termini: “soggetto al quale è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di banca dati e di consentirne l’utilizzazione”, viste anche le specificità professionali mirate alla protezione dei dati ed alla sicurezza degli stessi.

Nel provvedimento del Garante, che continua ad applicarsi anche a seguito delle modifiche introdotte al Codice privacy dal D.lgs. 101/2018, l’amministratore di sistema è la figura dedicata alla gestione ed alla manutenzione di impianti di elaborazione con cui vengono effettuati trattamenti di dati personali, compresi sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP (enterprise resource planning) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali. In particolare, quindi, con l’espressione “amministratore di sistema” possono individuarsi una pluralità di figure con ruoli e responsabilità ben definite:

  • amministratore di sistema: personale addetto alla gestione dei sistemi, sia a livello hardware, sia a livello software (sistema operativo e applicazioni);
  • amministratore di rete: personale addetto alla manutenzione, configurazione ed aggiornamento delle componenti di rete (router, switch), nonché alla struttura stessa della rete:
  • amministratore di database: personale addetto alla gestione delle base dati aziendali;
  • amministratore di sicurezza: personale addetto alla gestione di utenze, ruoli e profili d’accesso; è responsabile di assicurare l’installazione, la configurazione, l’amministrazione e la risoluzione dei problemi legati agli apparati di sicurezza;
  • amministratore di software complessi: figura professionale responsabile di assicurare l’installazione, la configurazione, l’amministrazione e la risoluzione dei problemi legati ai sistemi software complessi (e.g. SAP, sistemi CRM).

La funzione di amministratore ha lo scopo di garantire il regolare funzionamento dell’infrastruttura tecnologica aziendale e il corretto utilizzo della stessa da parte degli utenti interni ed esterni all’organizzazione. Quindi, in virtù di queste sue funzioni, l’amministratore svolge attività che comportano un’effettiva capacità di azione sul dato, anche quando l’amministratore non consulti in chiaro il dato stesso. Per tale motivo è un ruolo molto importante per la protezione dei dati personali.

amministratore di sistema

Amministratore di sistema: gli adempimenti obbligatori previsti

Sono previsti una serie di adempimenti relativi correlati alla designazione e alla presenza di amministratori di sistema all’interno di un’organizzazione. Se ne riportano di seguito i principali.

Primo adempimento

La valutazione delle caratteristiche soggettive. L’azienda deve incaricare in qualità di amministratore di sistema personale di comprovata esperienza, capacità ed affidabilità.

L’attribuzione delle funzioni di amministratore di sistema, infatti, deve avvenire previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di protezione dei dati personali, ivi compresi i profili relativi alla sicurezza. Questo significa che si debba garantire che l’amministratore di sistema abbia:

  • conoscenza dell’ambito di gestione dei sistemi (es. esperienza, possesso di certificazioni, ecc.);
  • conoscenza della normativa vigente e delle best practice di riferimento in materia di gestione della sicurezza dei sistemi informatici;
  • consapevolezza dei rischi di sicurezza derivanti da errori/violazioni nell’ambito della gestione dei sistemi.

Secondo adempimento

Designazioni individuali. La designazione ad amministratore di sistema deve essere individuale e recare l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato. Pertanto, alla luce di quanto appena detto, è opportuno assicurare i seguenti adempimenti:

  • definizione/ formalizzazione di ruoli e funzioni, segregation of duties;
  • definizione di profili di autorizzazione (es. aree applicative, aree funzionali, ambiti tecnologici, etc.) nel rispetto del need to know e least privilege;
  • designazione individuale, quindi assegnazione di utenze nominative.

Terzo adempimento

La tenuta dell’elenco degli amministratori di sistema. Deve essere mantenuto un elenco recante i nominativi degli amministratori e delle relative funzioni ad essi attribuite (di sistemi, reti, software).

L’organizzazione deve quindi assicurare che gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite, siano annotati in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante. Questo significa quindi che un’organizzazione deve predisporre un processo volto a garantire:

  • l’identificazione degli amministratori di sistemi, reti, basi di dati, software complessi e apparati di sicurezza, che hanno potenzialità di agire su dati personali;
  • l‘aggiornamento dell’elenco amministratori di sistema, specificando il ruolo e i sistemi amministrati;
  • la presenza, in caso di servizi affidati in outsourcing, di un elenco degli amministratori esterni.

Quarto adempimento

La registrazione degli accessi. Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.

Quindi l’organizzazione deve predisporre presidi e processi volti a garantire:

  • l’identificazione del perimetro dei sistemi (applicazioni, …);
  • l’impostazione log per la tracciatura degli eventi di “login”, “logout” e “login failure” degli amministratori di sistema;
  • l’attuazione di misure di raccolta, conservazione e cancellazione dei log (al termine del periodo di retention individuato);
  • l’attuazione delle misure volte ad assicurare l’integrità dei log.

Quinto adempimento

La verifica delle attività. L’operato degli amministratori deve essere oggetto di verifica periodica, almeno annualmente da parte dei titolari o dei responsabili del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti.

In particolare, il titolare o il responsabile, a seconda dei casi, possono verificare:

  • il log degli accessi;
  • conservazione dei log per il tempo stabilito (almeno 6 mesi);
  • l’effettivo utilizzo di sole utenze nominali in coerenza con l’elenco degli amministratori designati;
  • la frequenza degli accessi e loro modalità (es. orari, durata, sistemi cui si è fatto accesso).

Oltre a quanto strettamente previsto dal provvedimento dell’Autorità Garante, è possibile aumentare l’efficacia del tracciamento e della corretta operatività degli amministratori di sistema attraverso una serie di azioni e controlli di dettaglio, tra le quali a titolo esemplificativo:

  • attribuzione di azioni alle persone fisiche, attraverso la creazione di account nominali per l’accesso al sistema;
  • segregazione di account di gruppo, con criteri di custodia delle password non nominali e assegnazione a seguito di richiesta espressa e motivata;
  • limitazione dell’accesso ai log prodotti, mediante l’utilizzo di specifici meccanismi di protezione dell’integrità e della completezza dei log;
  • previsione di registrazione di dati ben precisi per il tracciamento delle attività: es. user-id che ha eseguito l’operazione, data e ora in cui è stata richiesta ed eseguita l’operazione, tipologia di evento che ha attivato il tracciamento, risorse informatiche interessate, risultato dell’azione eseguita, tentativi di corruzione delle informazioni gestite dal sistema (modifica di programmi eseguibili, crash di sistema, etc.), tentativi di violazione ed effettive violazioni della sicurezza, intenzionali e non, commessi da amministratori interni o esterni (login falliti, richieste di accesso a risorse non autorizzate, contagi da virus informatici, etc.).

I dati dei lavoratori dipendenti

È opportuno altresì ricordare che il provvedimento dell’Autorità stabilisce che, nel caso in cui l’attività dell’amministratore di sistema riguardi procedure che determinano il trattamento di dati personali di lavoratori dipendenti, il titolare (datore di lavoro, pubblico o privato) deve provvedere a rendere conoscibile l’identità degli amministratori di sistema nel contesto organizzativo di riferimento (es. inserendo i nominativi di tali soggetti nelle informative rivolte ai dipendenti, oppure attraverso la pubblicazione sui canali di comunicazione interna come la intranet aziendale, regolamenti aziendali e disciplinari tecnici, ecc.). Fanno eccezioni i casi in cui un meccanismo di trasparenza di tale portata possa risultare in contrasto con specifiche indicazioni di settore.

L’amministratore di sistema e il GDPR

Il GDPR non prevede specifiche disposizioni relative alla figura dell’amministratore di sistema. Tuttavia, dall’analisi complessiva del Regolamento europeo emergono vari elementi riconducibili alla figura, al ruolo e alle responsabilità dell’amministratore di sistema e dei titolari / responsabili del trattamento che designano tali figure.

  • la nomina di amministratori di sistema contribuisce al rispetto dei princìpi fondamentali in materia di protezione dei dati personali che ogni organizzazione è tenuta ad osservare (art. 5 GDPR);
  • l’amministratore di sistema ha il compito di sviluppare le misure cosiddette di “privacy by design e privacy by default” (art. 25 GDPR), quali ambiti di operatività rispetto ai quali può svolgere un ruolo non secondario di progettazione e di innovazione dei processi organizzativi;
  • la nomina di un amministratore di sistema rappresenta senza dubbio per il titolare del trattamento un elemento di “accountability” ai sensi dell’art. 24 GDPR;
  • la presenza di amministratori di sistema costituisce senza dubbio un’attuazione concreta dell’adozione di misure di sicurezza adeguate al rischio di cui all’art. 32 GDPR;

Conclusioni

Dunque, fermo restando la validità di tutti i requisiti e i vincoli già evidenziati e presenti nello specifico provvedimento dell’Autorità del 2008, la figura dell’amministratore di sistema – anche a seguito dell’applicazione della normativa europea in materia di protezione dei dati personali – continua a rappresentare una figura di riferimento essenziale nei contesti organizzativi per assicurare il rispetto dei princìpi di tutela della protezione dei dati personali.

WEBINAR
16 Settembre 2021 - 11:00
Quanto contano per te User Experience e Device Management? Partecipa al Webinar!
Mobility
Personal Computing
@RIPRODUZIONE RISERVATA
R
Raffaele Riccio
Argomenti trattati

Approfondimenti

D
data protection
G
GDPR
R
risk management

Articolo 1 di 5