GUIDA PER PROTEZIONE DEI PC

Diamo di seguito un riepilogo sommario delle più importanti misure di sicurezza da adottare, in caso di utilizzo di strumenti informatizzati portatili.

• Utilizzate sempre il codice identificativo personale e le parole chiave, cambiandole ogni qual volta abbiate la sensazione che esse non ne siano sufficientemente sicuro; laddove possibile, utilizzate sempre almeno 8 caratteri, mescolando caratteri maiuscoli e minuscoli.
• La parola chiave deve essere preferibilmente priva di significato e non deve mai essere comunicata a soggetti terzi, anche se fiduciari.
• Ricordate che in caso di trattamento di dati sensibili la parola chiave deve essere cambiata almeno ogni tre mesi, e se questo intervallo viene ridotto, tanto meglio.
• Si raccomanda di evitare di utilizzare la stessa parola chiave sia sui computer portatili che su quelli fissi.
• Accertatevi di effettuare con frequenza la copia di backup dei dati archiviati sul personal computer portatile o supporto di memoria asportabile, sia trasferendoli sul floppy disk, sia trasferendoli su supporti informatizzati portatili.
• In questo caso, si faccia attenzione a che le modalità di custodia di questi supporti portatili debbono essere simili a quelle applicate al computer portatile principale.
• Non tenete mai insieme la copie di backup ed il personal computer, per evitare che un eventuale furto possa coinvolgere sia i dati del personal computer portatile, che quelli di backup.
• Tutte le precauzioni che vengono prese all'interno della azienda per filtrare virus e messaggi di posta elettronica non autorizzati potrebbero non essere attive, quando il personal computer viene collegato a una presa telefonica di un albergo. Si faccia quindi particolare attenzione, quando ci si collega ad Internet attraverso reti non dotate di appropriati filtri, al tipo di messaggio che viene ricevuto.
• Ci si accerti che il software anti virus, presente sul personal computer portatile, sia costantemente aggiornato.
• Ci si accerti che il sistema operativo ed altri applicativi residenti siano sempre aggiornati e che il firewall, se presente, abbi un profilo di attività aggiornato
• Quando ci si collega ad Internet, la prima operazione da fare è sempre quella di aggiornare il software anti virus , il software di base ed i software applicativi residenti; successivamente procedere con altre operazioni
• Se scoprite che il vostro personal computer è infetto da virus, chiedete subito istruzioni al responsabile del trattamento sugli interventi da attuare, e non effettuate ulteriori elaborazioni.
• Collegatevi regolarmente al sito Internet del venditore degli applicativi residenti su personal computer portatile, in modo da avere sempre a disposizione gli ultimi aggiornamenti, che molto spesso sono mirati non solo a migliorare la flessibilità d'uso dell'applicativo, ma anche e soprattutto la sua sicurezza.
• Non lasciate mai il personal computer collegato ad Internet senza il vostro presidio; anzi, cercate di tenervi collegati soltanto per il minimo tempo necessario per effettuare le operazioni desiderate.
• Non permettete ad alcuna persona, anche di fiducia, di accedere al vostro personal computer portatile.

Esaminate, con il responsabile del trattamento, l'opportunità di installare un firewall anche sul personal computer portatile. Questi dispositivi, se impostati correttamente e regolarmente aggiornati, possono offrire un contributo determinante alla sicurezza da intrusioni non autorizzate.

Diventano sempre più frequenti i casi in cui, per lo svolgimento di attività istituzionali, occorre ricorrere al supporto di personal computer portatili,o supporto di memoria asportabile; è pertanto indispensabile introdurre delle misure di sicurezza, per consentire agli utenti di utilizzare questi preziosi strumenti di produttività aziendale del modo più appropriato. Non si dimentichi inoltre che spesso su questi strumenti portatili sono archiviati dati sensibili, che richiedono, ai sensi del vigente decreto legislativo 196/2003, particolari cautele nel loro utilizzo. In particolare, la legge prevede esplicitamente che coloro che utilizzano dati personali, in qualità di incaricati del trattamento, prendano appropriati provvedimenti per garantire una idonea protezione dei dati trattati. Questa protezione deve raggiungere un livello ancora più spinto, quando i dati in questione sono di natura sensibile, come ad esempio i dati sanitari ed afferenti alla salute. Ecco la ragione per la quale la presenta guida mira a dare indicazioni sulle modalità più appropriate per proteggere dati personali, archiviati su supporti informatizzati portatili, come personal computer portatili, o supporto di memoria asportabile, PDA e simili e, in modo da garantire:

• Protezione contro la perdita fisica dell'apparato
• Protezione contro accesso non autorizzato ai dati
• Copia di rispetto di dati archiviati sull'apparato

Trasferimento controllato e sicuro dei dati dall'apparato portatile alla rete informatica aziendale.

Purtroppo la sottrazione di personal computer o supporto di memoria asportabile è assai frequente, sia perché esso può essere dimenticato in albergo od in un mezzo pubblico, sia perché può essere facilmente sottratto, se lasciato incustodito. Anche la copertura assicurativa contro il furto copre soltanto il valore commerciale della macchina e non dei dati che contiene. Ecco la ragione per la quale la miglior protezione contro la sottrazione o smarrimento di un personal computer portatile sta in una estrema attenzione alla sua vulnerabilità, ed all'utilizzo sistematico di normali procedure cautelative.

Ad esempio:

-  l'utilizzo sistematico di piccoli lacci in acciaio, con serratura. Molti personal computer portatili sono già predisposti per l'aggancio di questo dispositivo di sicurezza

Si raccomanda inoltre di non lasciare mai nella camera d'albergo abbandonato il personal computer, ma di porlo nella apposita cassaforte o comunque metterlo in un armadio chiuso a chiave.

Il personal computer non deve mai esser lasciato abbandonato in una sala di attesa, deve essere tenuto legato alle proprie valigie e, in linea generale, deve essere sempre messo in un ricettacolo sicuro, quando viene abbandonato, anche temporaneamente, fuori dell'azienda ed anche all'interno della azienda, durante periodi di minor presidio.

Se un personal computer portatile o supporto di memoria asportabile è rubato o smarrito, il vero problema non è tanto nel valore della macchina, ma nell'informazioni che contiene.

È perciò necessario rendere quest'informazione non accessibile a soggetti non autorizzati.

Come noto, l'utilizzo delle parole chiave fornisce un certo livello di controllo dell'accesso, ma solo se esse vengono utilizzate sistematicamente e vengono periodicamente aggiornate.

Per applicazioni particolarmente critiche, si consiglia all'incaricato di prendere contatto con il proprio responsabile del trattamento di dati personali, per esaminare congiuntamente la possibilità di utilizzare dispositivi biometrici, che oggi possono essere applicati con relativa facilità anche a computer portatili.

È probabile che nel giro di qualche anno i dispositivi biometrici verranno messi a disposizione direttamente dal fabbricante dei computer portatili, ma per adesso è richiesta la installazione di un dispositivo supplementare, di costo contenuto ed utilizzo oltremodo facile.

Per ulteriori informazioni si considera di prendere contatto con il responsabile del trattamento.

Tra le varie tecnologie disponibili, una delle più semplici e di più facile utilizzo è composta da un piccolo dispositivo, che si collega tramite porta USB direttamente al computer portatile, e che permette di leggere l'impronta digitale dell'incaricato del trattamento, abilitato all'utilizzo delle personal computer portatile.

È indispensabile effettuare con frequenza copie di backup dei dati, archiviati su personal computer portatili o supporto di memoria asportabile.

Le tecniche da utilizzare per i personal computer portatili non sono molto diverse da quelle che vengono utilizzate per garantire la salvaguardia dei dati, archiviati nel sistema informativo aziendale.

Esistono già numerose soluzioni che vengono offerte dagli specialisti di software, come ad esempio la possibilità di salvare su una area separata del disco tutte le variazioni incrementali che sono state eseguite, scaricandole automaticamente alla prima connessione possibile.

Inoltre, il tempo richiesto per effettuare dei backup viene molto ridotto quando vengono usate delle tecniche di compressione, che contribuiscono ad una maggiore facilità d'uso da parte dell'utente.

Nella procedura di backup per i dati presenti su personal computer portatili, occorre prendere in esame la possibilità di effettuare backup e singoli, oppure una copia completa dei dati presenti.

L'incaricato deve prendere contatto con il proprio responsabile del trattamento per determinare la procedura più appropriata.

Fra le varie procedure, bisogna anche attivare quella relativa alla possibilità di effettuare una copia completa di tutti i dati presenti, per fronteggiare eventuali situazioni di emergenza.

Tutti i fabbricanti di personal computer mettono a disposizione dei CD, che devono essere utilizzati per avviare la procedura di recupero dei dati, nel caso si siano verificate delle anomalie di trattamento.

Non bisogna però dimenticare che i CD possono permettere di ripristinare il sistema operativo ed altri file essenziali, ma non le applicazioni e i dati personali archiviati.

Inoltre, per utilizzare questi CD di emergenza occorre digitare il codice specifico dell'apparato, che deve quindi essere reperibile, magari contattando per telefono il proprio ufficio, per evitare di portarlo seco e rendere quindi più facile, per un ladro, accedere successivamente ai dati presenti sul personal computer. 

ATTENZIONE ALLE RETI SENZA FILI

Negli ultimi anni si sono sviluppate in maniera accelerata le reti senza fili, che oggi possono essere utilizzate anche nelle stazioni ferroviarie, negli aeroporti, nei principali alberghi, per facilitare il trasferimento di dati dall'apparato mobile ad una rete fissa.

È indispensabile che l'utilizzo di reti senza fili venga controllato, di concerto con il responsabile del trattamento, per essere certi che le protezioni informatiche siano attive ed evitare quindi la possibilità che, in fase di colloquio attraverso la rete senza fili, i dati personali in transito possono essere intercettati da soggetti non autorizzati. 

Oggi sono disponibili numerose tecniche di sicurezza per le reti senza fili, che comprendono degli applicativi crittografici di grande resistenza. 

Si faccia anche attenzione che i problemi da risolvere non riguardano soltanto la protezione del dato in transito, ma anche l'autenticazione dell'utente.