NEWS

La gestione degli accessi fisici per la protezione dei dati personali: chiavi, badge e codici di allarmi

Il tema del controllo degli accessi fisici è spesso trascurato nell’ambito della protezione dei dati personali; eppure tale tema è oggetto anche di una famiglia di controlli della ISO IEC 27001.

Monica Perego, membro del Comitato Scientifico di Federprivacy

(Nella foto: l'Ing. Monica Perego, docente del Corso di alta formazione 'Il sistema di gestione della privacy e le attività di audit')


La necessità di tali controlli pone in evidenza come una cattiva gestione dei dispositivi fisici (chiavi, badge) per accedere ai locali dell’organizzazione, e/o dei dispositivi per accedere alle informazioni necessarie per l’accesso (codici di allarmi o altri codici ad esempio per serratura che si apre con PIN e/o applicazione su smartphone) può rendere vulnerabili i dati.

In quest’articolo si approfondiscono alcuni aspetti di questa tematica, in particolare quelli relativi alla valutazione dei rischi ed alle misure organizzative che possono essere poste in atto.

Valutazione dei rischi - Nella valutazione dei rischi devono essere considerati quelli relativi all’accesso ad aree e locali dove sono conservati dati sia in formato cartaceo (es. archivio uffici personale), che elettronico (es. sala server, locale addetti a videosorveglianza-videoregistrazione). Le vulnerabilità, prevalentemente ma non esclusivamente a carico degli autorizzati possono riguardare comportamenti sia in buona fede che da parte di malintenzionati interni o esterni all’organizzazione; in particolare:

- assegnazione di privilegi che non rispettano i principi della minimizzazione e della separazione dei ruoli;
- perdita, furto o riproduzione/duplicazione illecita dei dispositivi per l’accesso;
- perdita di controllo dei dispositivi forniti a terzi (manutentori, addetti al vending, ecc).

Si tratta quindi di prevenire situazioni che potrebbero, anche potenzialmente, portare a dei data breach.

Tali vulnerabilità, come richiesto dal GDPR, devono essere analizzate e, se del caso, devono essere individuate le misure di mitigazione, come previsto da diversi articoli dello stesso Regolamento; a questo aspetto è dedicato il paragrafo seguente.

La sicurezza degli archivi fisici è fondamentale per la conformità al GDPR

Misure organizzative - Le misure organizzative che possono essere poste in atto al fine di ridurre i rischi individuati includono, per quanto applicabili, le seguenti:

- individuazione/mappatura dei dispositivi di accesso e definizione di quali funzioni interne devono averle disponibili, in relazione al ruolo ricoperto, e di chi autorizza eventuali deroghe (anche temporanee); analogamente per gli esterni;
- procedura per la consegna ed il ritiro dei dispositivi e per la loro gestione nel caso di cambio mansione degli autorizzati: collaboratori interni e consulenti (se del caso). Registrazione dei privilegi concessi;
- procedura per la gestione dei privilegi concessi a persone che ricoprono ruoli particolari (es. RSPP), che potrebbero avere accesso privilegiato a locali protetti dove si svolgono lavori in solitaria, ad esempio la guardiania durante il turno notturno. Registrazione dei privilegi concessi;
- procedura per tenere sotto controllo gli aspetti già citati, ma per il personale esterno. Registrazione dei privilegi concessi;
- scadenziario per il controllo, ad intervalli, dei privilegi concessi, anche di quelli temporanei. Registrazione dei controlli svolti ed eventuali modifiche dei codici di allarme, ad intervalli predefiniti;
- istruzioni agli autorizzati per la gestione dei dispositivi assegnati, comprese le modalità di comportamento in caso di furto/smarrimento
- istruzioni per i visitatori, ad esempio per la gestione del badge loro assegnato;
- punto/i di raccolta, anche suddivisi tra più funzioni, delle chiavi, individuazione delle responsabilità per tenere sotto controllo le copie di riserva dei dispositivi fisici per l’accesso, e registrazione del numero di copie di essi (in particolare delle chiavi che, per quanto possibile, devono essere riproducibili solo con una copia master), procedura per la distruzione delle chiavi e dei badge non più in uso;
- procedura per la gestione, anche tramite scadenziario, delle prove di funzionamento dei dispositivi (es. sistemi di allarme), e degli interventi di manutenzione, ordinaria e straordinaria (e loro registrazione);
- integrazione del piano di emergenza in caso di assenza di tensione, per la gestione degli accessi comandati da dispositivi elettrici/elettronici; integrazione degli accordi contrattuali con i fornitori che hanno accesso a tali dispositivi, anche per la manutenzione degli stessi.

Come è stato evidenziato, il tema presenta diversi aspetti, di solito trascurati, ma non per questo non meritevoli di essere considerati in sede di valutazione dei rischi, per comprendere quali misure sia opportuno mettere in atto.

Non va dimenticato che in caso di modifiche (ad esempio alle infrastrutture), o laddove si valutasse di esternalizzare un’attività (ad esempio la vigilanza), l’analisi deve essere ripetuta e lo scadenziario aggiornato.

Note sull'Autore

Monica Perego Monica Perego

Membro del Comitato Scientifico di Federprivacy, docente qualificato TÜV Italia e docente del Master per Esperto Privacy e del Corso di alta formazione per Data Manager - Twitter: monica_perego

Prev Polizia Locale: per installare le telecamere di videosorveglianza nelle camere di sicurezza occorre fare la valutazione d'impatto
Next Social spam: è legittimo alla luce del Gdpr?

Privacy Day Forum: il servizio di Ansa

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy