Ecco come la mia “radiografia” della Sicurezza Informatica e del Trattamento dei Dati nel TUO Ente ti permette di compilare il modulo di implementazione AGID sulle Misure Minime di Sicurezza con estrema facilità, lasciandoti anche una “cura” per il futuro!
Quando giovedì 21 dicembre arrivo in un comune di 3.886 abitanti della provincia di Como, noto che anche qui è rimasta un po’ di neve.
Sono gli ultimi strascichi della nevicata di settimana scorsa che fortunatamente adesso però è confinata solo a bordo strada.
Non faccio fatica a trovare parcheggio però devo fare a piedi l’ultima parte di strada perché il comune si trova in una zona pedonale.
E’ sempre piacevole camminare anche se sono pochi metri.
Non fa neanche troppo freddo oggi e si respira ancora di più l’aria natalizia: le finestre della scuola materna che è di fronte al comune sono decorate con i lavoretti dei bambini e nell’atrio del comune c’è un albero di Natale con le decorazioni rosse e bianche.
Il Responsabile dell’area finanziaria, responsabile anche della parte informatica, mi accoglie offrendomi una cioccolata calda e anche dei biscotti.
La giornata è iniziata proprio bene 🙂
E sono sicuro che proseguirà nello stesso modo perché dobbiamo realizzare le Misure Minime di Sicurezza ma tutto è già predisposto, quindi non devono esserci problemi.
Ho già configurato la soluzione tecnica, come faccio sempre.
Non hai ancora letto l’articolo dove parlo nei dettagli del mio servizio “Monitoraggio Costante Assistito”? Leggilo subito!
Perché ricordati, la soluzione per le Misure minime di sicurezza deve essere completa!
Preferisco rimandare l’installazione del Monitoraggio Costante Assistito alla tarda mattinata e dedicarmi prima alla parte più impegnativa di oggi: l’analisi della struttura e dell’organizzazione.
Come ho ripetuto diverse volte al Responsabile, il cui unico pensiero era avere il software che permette il monitoraggio di tutte le apparecchiature informatiche, la sicurezza dei dati non può essere garantita solo da una serie di accorgimenti tecnici.
Indispensabili certo, ma non possono bastare.
E’ di primaria importanza capire quali sono i giusti comportamenti da tenere nello svolgimento del lavoro quotidiano e anche la giusta organizzazione da dare alla struttura.
E questo non lo può fare nessuna macchina, nessuna dotazione hardware e nessun software da installare.
Il Monitoraggio Costante Assistito non può monitorare anche il tuo comportamento e il modo in cui organizzi e gestisci il tuo lavoro.
Posso monitorare costantemente le tue apparecchiature e posso cercare di prevenire i problemi tramite il sistema di alert che avvisa sui potenziali rischi, ma sei tu che, ogni giorno, devi stare attento a custodire i dati che tratti nel tuo lavoro.
Puoi avere la più completa e perfetta sicurezza informatica ma certi tuoi comportamenti e abitudini possono comunque minacciare i tuoi dati.
E questo devi saperlo!
Immagina di paragonare gli adempimenti delle Misure Minime di Sicurezza ad un dolore al pollice della mano destra…
Il dolore inizialmente è forte ma pensi che possa passare nel giro di un paio di giorni.
Ma 4 giorni sono già andati e il dolore è persistente, continua a disturbare ogni gesto che compi.
Fino a quando non puoi più ignorarlo.
Può essere una frattura o una semplice contusione, una micro-frattura, una lussazione o una distorsione ma non puoi saperlo senza un esame specifico.
Decidi finalmente di fare una radiografia, perchè solo così scoprirai finalmente quale è il tuo problema e soprattutto lo specialista potrà prescrivere la giusta cura.
Lo stesso vale per il tuo Ente.
Hai un problema organizzativo che ignori e trascuri ma non si risolverà da solo. Devi rivolgerti a un esperto che farà la giusta analisi sul tuo Ente per capire cosa c’è che non va e troverà le soluzioni da adottare.
La mia analisi per trovare la soluzione ai tuoi problemi si svolge seguendo questi precisi punti:
- Colloquio con il Responsabile del progetto o con il Responsabile della gestione e della conservazione documentale.
Ho così modo di raccogliere molte informazioni che riguardano per esempio la sicurezza dell’edificio comunale (sistemi di allarme e antincendio), dei singoli uffici dove ogni giorno sono trattati dati sensibili (arredi, l’organizzazione della chiusura a chiave e la gestione delle stesse) e delle postazioni di lavoro (la disposizione negli uffici e dei locali all’interno dell’edificio) e altre fondamentali informazioni che riguardano invece i comportamenti che si tengono nello svolgimento del lavoro quotidiano (custodia della propria postazione di lavoro e quindi dei documenti presenti sulle scrivanie e dell’accesso al computer e ai programmi gestionali).
Tu non devi preparare niente in anticipo, il giorno del sopralluogo devi solo rispondere a delle semplici domande che ti farò ma non ti preoccupare, non è un’interrogazione e non c’è un voto! E ricordati che la mia intenzione non è giudicare o criticare, voglio solo aiutarti. - Sopralluogo in ogni ufficio e locale dell’Ente.
Dopo il colloquio, mi faccio accompagnare negli uffici per vedere concretamente l’organizzazione che mi hai descritto e per vedere in modo obiettivo la tua realtà.
Perché solo grazie a un intervento esterno, fatto da me che vedo la tua organizzazione per la prima volta e la analizzo così in modo obiettivo, ti renderai conto di quante cose possono esserti sfuggite fino ad ora e che quindi non mi hai neanche segnalato duramente il colloquio, ma che in realtà possono essere di fondamentale importanza per la sicurezza dei tuoi dati. Il sopralluogo viene fatto anche nel locale server e nell’archivio comunale, che sono due punti cruciali per il tuo lavoro. Tu dovrai solo fare in modo che io abbia accesso ai vari locali così che possa raccogliere ulteriori informazioni per poter completare la mia analisi.
E questo è il lavoro che ho svolto proprio questa mattina.
Il Responsabile ha risposto senza difficoltà alle mie domande e lui stesso mi ha accompagnato nei vari uffici e nel seminterrato dove sono presenti l’archivio comunale e il server.
Terminata l’analisi sono passata alla seconda parte della realizzazione delle misure minime ovvero l’installazione della soluzione tecnica, il Monitoraggio Costante Assistito.
E, dopo averne verificato il corretto funzionamento tramite il riscontro dei primi dati, e dopo un altro giro per tutti gli uffici questa volta però per fare gli auguri di Natale a tutti, sono rientrata in sede per la terza e ultima parte delle misure minime.
Sì perché il mio lavoro non si conclude con l’analisi e con l’installazione, come per una radiografia, io analizzo il risultato “della foto” e ti prescrivo una cura efficace.
La mia soluzione, che ti garantisce un piano di lavoro completo, comprende anche la stesura del documento di analisi che ho chiamato appunto “radiografia della sicurezza informatica e del trattamento dei dati”.
Scritto in una seconda fase ovvero nei giorni successivi al sopralluogo e direttamente nel mio ufficio, è il documento che riporta l’analisi svolta e anche le “prescrizioni” più importanti.
Il documento infatti è composto da:
- L’introduzione in cui ti descrivo in modo semplice la normativa e quindi gli obblighi che vengono realizzati grazie a questo documento.
Puoi così avere i giusti riferimenti normativi da consultare e a cui fare sempre riferimento ed essere certo che stai compiendo i giusti interventi per seguire la legge. - L’elenco delle figure rilevanti che è obbligatorio avere all’interno del tuo Ente.
Oltre a dirti i ruoli che devono essere necessariamente ricoperti, per ogni figura ti fornisco le informazioni dettagliate su chi può ricoprire quel ruolo, che compiti deve avere e come deve essere nominato. Così, quando dovrai fare la nomina, non potrai avere nessun dubbio e non dovrai neanche perdere tempo a cercare di raccogliere tu stesso le informazioni, con il dubbio che magari non sono quelle giuste. - Il report dell’analisi svolta presso il tuo Ente.
Nella parte centrale del documento, dopo aver visto la situazione e l’organizzazione, scrivo il report dettagliato riportando soprattutto le eventuali criticità riscontrate e tutte le soluzioni da adottare.
Ti basterà leggerlo per avere la fotografia della tua struttura (informatica e organizzativa) e per capire cosa devi fare per risolvere i problemi o migliorare certi aspetti o magari continuare a tenere certi comportamenti che già garantiscono la sicurezza dei tuoi dati.
Questa parte può supportarti per programmare più facilmente gli interventi da compiere per realizzare le Misure Minime di Sicurezza e può diventare la guida da consultare per lo svolgimento del tuo lavoro. - Nella parte finale del documento ti fornisco indicazioni pratiche sul modulo di implementazione delle misure minime richiesto da AGID e soprattutto sulle modalità di aggiornamento del documento stesso.
Sì perché ti garantisco anche l’aggiornamento del documento così sei sicuro di avere sempre l’analisi giusta della tua realtá, che segue quindi i cambiamenti che possono esserci nel corso del tempo o che sono necessariamente avvenuti proprio perchè hai dovuto sistemare situazioni di potenziale pericolo o inadeguate al fine di garantire la sicurezza dei dati.
Inoltre, uno degli allegati di questo documento è proprio il modulo di implementazione richiesto da AGID, che io ti fornisco giá compilato grazie al censimento informatico realizzato tramite il Monitoraggio Costante Assistito e riportato nel documento stesso.
Tu a questo punto non dovrai fare altro che farlo firmare digitalmente dal Responsabile della Transizione al Digitale del tuo Ente.
Con la consegna della Radiografia della Sicurezza Informatica e Trattamento Dati la mia soluzione per realizzare le Misure Minime di Sicurezza è veramente COMPLETA.
Il giorno dopo il sopralluogo ho trasmesso tramite posta elettronica il documento al Responsabile del comune di 3.886 abitanti della provincia di Como che, subito dopo Natale, mi mostra così il suo entusiasmo per il lavoro svolto.
Essere quindi seguiti e prevedere un servizio di consulenza può davvero fare la differenza ed essere il passo vincente rispetto a chi invece pensa di risparmiare facendolo in autonomia.