Lo scorso 24 dicembre 2008 la Gazzetta Ufficiale ha pubblicato un nuovo provvedimento del Garante Privacy che definisce in modo più rigido e trasparente le funzioni degli amministratore di sistema di aziende pubbliche e private. Le aziende dovranno adeguarsi a questo provvedimento entro 120 giorni (quindi entro il 30 aprile 2009) e quelle che non si doteranno di misure di sicurezza (tecnologie, servizi, policy) che garantiscano la legittimità dell’operato di System Administrator, i Network Administrator e i Database Administrator, potranno incorrere in sanzioni amministrative e penali. “Molte società – spiega Elio Molteni di Ca – si trovano nella situazione di non prendere in considerazione la condotta degli amministratori di sistema. E ciò potrebbe essere molto dannoso per le aziende e per i clienti stessi di quest’ultime”. Elio Molteni, Solution Strategist Security Direct Sales di CA Italia, vanta una grande esperienza nel settore della security e dell’It.
Dottor Molteni, perché questo provvedimento? Non è ancora abbastanza sviluppata la percezione di security all’interno delle aziende?
“Sicuramente negli ultimi anni si è registrato un miglioramento da un punto di vista della privacy. Tuttavia bisogna sempre tener presente che non esiste una privacy senza una security. Questo provvedimento ha la forza di unire l’una e l’altra”.
Qual è il contenuto di questo provvedimento?
“Il provvedimento riguarda tutti, piccole e medie aziende, e prevede il principio dell’adeguatezza, ossia della proporzionalità. Nello specifico il provvedimento chiede due cose: primo, che i sistemi siano tracciati; secondo, che gli amministratori di sistema vengano identificati. Da un punto di vista amministrativo, inoltre, l’amministratore di sistema sarà ricondotto all’uso di strumenti tecnologici più adeguati. Per farla breve, verrà regolato l’operare degli amministratori di sistema”.
Secondo lei ci sono delle aziende più agevolate nel gestire quest’ulteriore richiesta di compliance?
“Io parlo per Ca, e posso dire che è costantemente in contatto con il Garante. Inoltre, da un punto di vista tecnologico, Ca presenta una soluzione modulare ed efficace di controllo accessi per identificare gli amministratori”.
Quanto spenderanno le aziende per adeguarsi al provvedimento?
“Non si può fare una stima universale. Bisogna fare un’analisi con il cliente e valutare caso per caso. Ma c’è una cosa che le aziende dovrebbero tenere ben presente, e cioè che la security non va vista come un costo, ma, piuttosto, come un ulteriore strumento di business e un guadagno in termini di rispettabilità”.
