Ecco il decalogo base a cui occorre dare risposta:
- innanzitutto il software deve rispettare i requisiti tecnici affinché non sia attaccabile con iniezioni di codice esterno
- occorre sia protetto nella gestione degli accessi con l’adeguata tracciabilità
- è necessario vengano adeguate le configurazioni dei permessi operativi e che gli stessi corrispondano agli incarichi del personale
- deve essere possibile il riconoscimento degli utenti attraverso autenticazione a più fattori
- molto importante è poi il Database su cui si appoggia che deve essere professionale e tenuto costantemente aggiornato dal produttore (es. Microsoft, Oracle, ecc). Usare archivi non strutturati e non aggiornati è estremamente rischioso, perché possono essere facilmente attaccabili da virus, essere copiati e aperti con estrema facilità, manomessi, ecc
In estrema sintesi, il software deve avere un cuore costruito con la logica della sicurezza, come Sherpa.
Il software poi deve essere alloggiato su un impianto hardware adeguato. Non ho volutamente usato “su un server”, perché un impianto adeguato non è costituito da uno o due server, ma su una batteria di server e SAN. Questo perché occorre fornire la garanzia di continuità del servizio che è una delle caratteristiche importanti che vanno al di là della sicurezza.
Quindi, anche dove alloggiare software e hardware è importante?
Per essere ancora più precisi una attenta valutazione da fare è legata all’amministratore di sistema e alla sede fisica dove è alloggiata l’infrastruttura tecnologica. Questi due fattori, negli impianti “gestiti presso la propria sede”, sono spesso molto carenti da tutti i punti di vista. Ricordiamo che la responsabilità in caso di guasto, mala gestione o non rispetto delle normative è totalmente in carico al Titolare . Fondamentale poi ricordarsi dei backup dei dati, oltre ad altri mille altri aspetti.
È sicuramente possibile mettere in piedi un impianto sicuro in sede, ma i costi sono decisamente importanti e spesso, per rispettare i budget sempre più leggeri, si riducono le caratteristiche e quindi le misure di sicurezza non risultano più adeguate.
Non badare a spese è l’unica soluzione?
Esiste una soluzione alternativa, proposta dall’Agenzia per l’Italia Digitale, che indica di utilizzare software in cloud computing. E questo già nel piano triennale 2016-2018 e è stato confermato in quello 2019-2021.
Per la Pubblica Amministrazione è addirittura un obbligo utilizzare sistemi software in cloud, naturalmente laddove il mercato offra software in questa modalità, come fa da oltre 10 anni Esakon.
Il Cloud è sicuramente la via migliore dal punto di vista tecnico ed anche economico, il ché non guasta!
Esakon in Cloud: che risultati riferiti al GDPR?
Il nostro primo cliente in Cloud risale al 2007 quando ancora questo servizio era appena conosciuto. Oggi tutti i nostri clienti utilizzano Sherpa in modalità SaaS in Cloud computing potendo così beneficiare di tutte le misure di sicurezza citate in precedenza. In più i nostri sistemi rispondono anche alle altre specifiche tecniche emesse dall’AGiD a costi davvero contenuti.
Il nostro DPO ha dichiarato Sherpa conforme al GDPR e l’adozione del Sistema Informativo Sherpa in cloud ha semplificato parecchio il lavoro dei nostri clienti e dei loro DPO per la verifica e la certificazione di conformità normativa.
Con l’utilizzo dei programmi Sherpa, Esakon viene nominata “Responsabile del trattamento dei dati” il ché toglie tutte le responsabilità sia al DPO che al Titolare del trattamento dati per quanto riguarda la sicurezza dei dati trattati con Sherpa.