L’amministrazione di sistema è colui che si occupa di vigilare sul corretto utilizzo dei sistemi informatici di un’azienda. Mediante la sua attività lavorativa, questa professionalità ha accesso a tutti i dati che transitano sulle reti aziendali e istituzionali.
L’amministratore di sistema è una figura professionale che deve rispettare i principi emanati dai due provvedimenti emanati dal Garante Privacy (il primo del 2008 e il secondo del 2009), a cui si aggiunge la normativa vigente GDPR.
In questo articolo vedremo chi è l’amministratore di sistema e di cosa si occupa, a quali principi del GDPR deve adempiere, qual è il provvedimento del Garante Privacy e, infine, come avviene la nomina di questa figura.
Chi è l’amministratore di sistema?
Con il provvedimento del 27 novembre 2008, il Garante Privacy fornisce la definizione di amministratore di sistema, ossia: “una figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali”.
In altri termini, l’amministratore di sistema – o tecnico sistemista di rete – è una figura professionale che si occupa della gestione e della manutenzione dell’impianto di elaborazione o dei suoi componenti. Nella pratica si tratta di un esperto che ha accesso a tutti i dati che transitano sulle reti aziendali e istituzionali e, spesso, è chiamato a vigilare sul corretto utilizzo dei sistemi informatici di un’azienda o di una pubblica amministrazione.
È bene precisare che, secondo quanto affermato dal Garante Privacy, non possono essere considerati amministratori di sistema tutti quei soggetti che intervengono sui sistemi occasionalmente, ad esempio in seguito a guasti e manutenzioni.
Date le sue funzioni, l’amministratore di sistema deve avere una conoscenza approfondita delle architetture informatiche, nonché elevate competenze nell’utilizzo e nella condivisione di una grande quantità di dati attraverso le reti di comunicazione. Non è una figura obbligatoria, tuttavia l’amministratore di sistema è essenziale per la sicurezza delle banche dati e la corretta gestione delle reti telematiche.
Come viene nominato l’amministratore di sistema?
Come abbiamo visto, la nomina dell’amministratore di sistema spetta al titolare. La disciplina non prevede l’obbligo di nominare l’amministratore di sistema che, quindi è facoltativa. Tuttavia questa figura è molto utile per la sicurezza delle banche dati aziendali.
L’amministratore di sistema deve essere nominato allo stesso modo dei responsabili del trattamento, ossia per iscritto, attraverso un atto, definito atto di nomina. Questo documento deve essere redatto dal titolare, il quale deve:
- effettuare una nomina individuale. L’elenco degli AdS deve essere riportato in un documento apposito che deve essere sempre aggiornato.
- specificare quali sono i compiti dell’amministrazione di sistema, elencando le attività che dove svolgere questa figura. In caso di nomina di più Amministratori, è bene che il Titolare rediga un elenco nominativo degli amministratori e dei rispettivi compiti assegnati a ciascuno;
- si consiglia di assicurarsi che il documento riporti la firma dell’amministrazione di sistema per presa visione ;
- contenere un riferimento alla valutazione effettuata in termini di Esperienza, Capacità, Affidabilità del soggetto nominato (es. allegando il suo CV). infine, indicare che l’amministratore di sistema è autorizzato a gestire il sistema, ma non a guardare la posta o gli stessi dati del sistema senza alcun consenso perché, così facendo, violerebbe la privacy.
Per completezza è bene fare una precisione: l’amministratore di sistema può essere sia interno che esterno alla realtà aziendale. Vediamo cosa cambia nella nomina di queste figure:
- interno all’organizzazione: in questo caso possono essere autorizzati per iscritto allo svolgimento delle mansioni e dei compiti assegnati, che dovranno essere elencati in maniera analitica nell’atto di nomina;
- esterno all’organizzazione: in questo caso sarà necessaria la stipula di un atto giuridico con cui la società che eroga il servizio sarà designata come responsabile del trattamento, assegnando ad essa le specifiche funzioni di Amministratore di Sistema ed elencando in maniera analitica tutte le attività che verranno svolte.
Amministratore di sistema: quali sono le tipologie?
Ora che abbiamo compreso chi è l’amministratore di sistema, vediamo le tre tipologie in cui si suddivide l’attività di questa figura:
- Amministrazione dell’infrastruttura informatica. Questa attività concerne tutti i dispositivi aziendali, quali switch e router per l’inoltro e la gestione dei pacchetti di dati, ma anche dispositivi quali server DHCP e access point Wi-Fi per il collegamento di computer e altri terminali utente alla rete aziendale e, infine, dispositivi embedded quali server VPN, firewall e IDS/IPS per la messa in sicurezza di tutta l’infrastruttura;
- Amministrazione dei sistemi operativi. Questa attività riguarda il SW di base in esecuzione su tutte le macchine, inclusi i programmi integrati nei componenti elettronici. Quindi, oltre alla gestione delle varie versioni di Windows, Linux e degli eventuali virtualizzatori quali VMware o VirtualBox, è necessario attenzionare il livello sottostante, quello dei firmware, poiché anch’esso può nascondere dei vettori di attacco;
- Amministrazione degli applicativi. Questa attività attiene a tutti gli applicativi utilizzati in azienda per un qualunque scopo, ad esempio per la gestione di un database o per la gestione, a vario titolo, dei dipendenti. In particolare, esisteranno degli applicativi per la sicurezza, quali antivirus o “security center” proprietari, incluse le versioni puramente SW di firewall e IDS/IPS, cui talvolta un’azienda ricorre.
Di cosa si occupa l’amministratore di sistema?
L’amministratore di sistema si occupa di:
- controllare il funzionamento della rete informatica aziendale;
- definire le procedure di autenticazione alla rete aziendale e di autorizzazione all’accesso dei dati da parte degli utenti;
- trattare la conservazione dei dati.
Entrando nel dettaglio, generalmente l’amministratore di sistema svolge le seguenti attività: supervisione dal punto di vista tecnico informatico nella gestione dei sistema di certificazione e autorizzazione; controllo del sistema informatico dell’azienda; supporto informatico al titolare del trattamento nella gestione dei dati personali mediante l’utilizzo di apparecchi elettronici, nel rispetto di quanto previsto dalla normativa vigente.
Se l’amministratore di sistema è chiamato a svolgere queste attività, è necessario riportare quanto affermato all’interno dell’atto di nomina dell’amministratore stesso, un documento mediante il quale il titolare deve nominare l’amministratore di sistema e inserire le sue mansioni.
L’amministratore di sistema nel GDPR
Il GDPR – o General Data Protection Regulation – è il regolamento europeo in materia di protezione dei dati personali, entrato in vigore il 25 maggio 2018. Questo regolamento mira a proteggere i diritti e le libertà fondamentali dei cittadini dell’Unione Europea in merito al trattamento dei loro dati personali da parte delle aziende e delle organizzazioni.
Per garantire i diritti dei cittadini europei, il GDPR ha introdotto svariate novità per le aziende in materia di privacy, molte delle quali sono state trattate nei nostri articoli, tra cui: l’informativa privacy, il registro delle preferenze cookie, il registro dei trattamenti, la cookie policy e la valutazione dell’impatto sulla protezione dei dati (o Data Protection Impact Assessment).
In merito all’amministratore di sistema, è bene precisare che il GDPR non indica particolari obblighi riguardo alla trattazione dei dati. Tuttavia è chiaro che, date la sue attività tecniche, che gli permettono di accedere ai dati aziendali, l’amministratore deve rispondere implicitamente ai principi del GDPR per garantire il trattamento dei dati degli utenti secondo le linee guida europee.
Il provvedimento del Garante per l’amministratore di sistema
Mediante la pubblicazione del provvedimento del 2008, il Garante ha introdotto tale figura imponendo ai titolari alcune misure di sicurezza di carattere tecnico e organizzativo per legittimare la figura dell’amministratore di sistema e imporre specifici obblighi. Ecco i principali concetti chiave introdotti dal provvedimento:
- la nomina dell’amministratore di sistema spetta al titolare o al responsabile, che deve predisporre un atto di nomina, in cui indicare una serie di informazioni che approfondiremo più avanti;
- inoltre il titolare ha l’obbligo di scrivere un documento interno in cui indica gli estremi identificativi delle persone fisiche amministratori di sistema. A questi dati, occorre indicare anche l’elenco delle funzioni attribuite all’amministratore di sistema;
- il titolare deve adottare sistemi di controllo che consentano la registrazione degli amministratori ai sistemi di elaborazione e agli archivi elettronici. L’accesso dell’amministratore, quindi, deve essere registrato e conservato per almeno sei mesi, con i riferimenti temporali, la descrizione dell’evento e del sistema coinvolto (così da avere informazioni complete);
- nel caso in cui gli amministratori di sistema trattino dati personali dei lavoratori, mediante le loro attività, l’identità degli amministratori deve essere comunicata ai dipendenti (es. tramite regolamento, informativa, intranet, bacheca, circolare,…)
- vi sono soggetti tutti i titolari di trattamenti di dati personali effettuati sia in ambito pubblico che privato. Sono esenti solo i Titolari che effettuano trattamenti con strumenti elettronici soltanto a fini amministrativi e contabili. (art. 29 legge 133/2008 – provv. 27/11/2008).
Oltre a questi principi, la legge introduce anche la necessità di svolgere controlli periodici nei confronti dell’amministratore di sistema. Infatti la nomina di questa figura non basta! L’operato degli amministratori di sistema deve essere oggetto almeno annualmente di una verifica da parte del Titolare o Responsabili del trattamento.
In particolare, è importante che si verifichi la rispondenza del suo operato alle misure organizzative, tecniche e di sicurezza indicate dalla normativa per i trattamenti di dati personali.
Dovrà essere quindi prevista una specifica procedura per la valutazione, della quale deve essere informato l’amministratore stesso. Può essere utile l’uso di una checklist a tal fine.
Tale verifica può riguardare, ad esempio l’analisi dei Log di accesso ai sistemi riconducibili all’amministratore (il provvedimento prevede che le registrazioni abbiano le “caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità”). Tali registrazioni devono comprendere data e ora e la descrizione dell’evento che le ha generate e devono essere conservate per almeno 6 mesi).
Attenzione: la registrazione deve riguardare solo gli accessi (login) e non tutte le attività svolte dagli AdS:
- l’esame di eventuali incidenti di sicurezza verificatisi nel corso dell’anno (o del diverso periodo di riferimento)
- l’implementazione di un sistema di gestione dei sistemi informatici che ne permetta il monitoraggio.
Inoltre è molto importante che gli esiti della verifica siano documentati dal titolare o responsabile mediante la descrizione degli esiti della valutazione, i metodi utilizzati e le eventuali misure per migliorare l’operato degli AdS e la sicurezza dei sistemi.
Questo documento andrà allegato alla documentazione privacy conservata dal titolare.
Per concludere
Sebbene l’amministratore di sistema sia una figura aziendale facoltativa, abbiamo compreso la sua importanza per quanto riguarda la gestione e la manutenzione dei sistemi informatici di un’azienda.
Il nostro studio può aiutarti nella ricerca e nell’individuazione dell’amministratore di sistema. Inoltre, rivolgendoti al nostro team di esperti, otterrai supporto durante la compilazione dell’atto di nomina, affinché il documento redatto rispetti le previsioni introdotte dal provvedimento del Garante Privacy.
Scopri come possiamo aiutarti e contattaci per ricevere una consulenza.