La Service Line Compliance & Cybersecurity di Spindox ha collaborato con Ceva Logistics, società internazionale di trasporti e logistica attiva in oltre 170 paesi, allo scopo di effettuare un completo aggiornamento del processo e delle procedure interne, compresi tutti gli aspetti documentali, relativi all’attività degli Amministratori di Sistema (Provvedimento dell’Autorità Garante della Protezione dei dati del 27/11/2008) per una chiara definizione delle mansioni assegnate e la verifica sulle attività degli stessi.

La revisione procedurale ha lo scopo di adeguare processi e documentazione alla luce di quanto disposto dal Regolamento UE  2016/679, noto anche come General Data Protection Regulation – GDPR).

L’amministratore di sistema, infatti, pur non essendo un ruolo espressamente individuato in ambito GDPR, viene incaricato di svolgere funzioni che sono cruciali per la sicurezza dei dati, essendogli demandata l’attuazione di alcune delle misure tecniche ed organizzative atte a garantire un livello di sicurezza dei dati adeguato al rischio. L’azienda ha la responsabilità di definire in dettaglio tutte le misure di sicurezza da adottare. In questo contesto la nomina ad amministratore di sistema diventa il momento in cui la politica aziendale sulla sicurezza dei dati viene attuata mediante l’assegnazione alle persone incaricate delle istruzioni operative. Il progetto, dopo la fase iniziale di analisi delle procedure e della documentazione in uso e di individuazione della normativa di riferimento, si è articolato in 3 fasi.

Fase 1 | Redazione della “Lettera di nomina ad amministratore di sistema”

Per quanto appena detto la “lettera di nomina ad Amministratore di Sistema” rappresenta un momento molto importante di assegnazione di incarico ed istruzioni. In questo contesto il team Dogix ha collaborato attivamente con Ceva Logistic per:

  • identificare le diverse tipologie di amministratori di sistema presenti presso il cliente (ad esempio Specialista Unix Junior o Senior, Specialista AD Microsoft Junior o Senior, Specialista di rete Junior o Senior ecc.);
  • identificare le istruzioni ed i compiti operativi da assegnare agli amministratori di sistema a seconda del ruolo, che permettano la realizzazione delle misure di sicurezza aziendali (ad esempio sicurezza fisica, gestione dei log, backup dei dati);
  • creare una lettera di nomina aggiornata ai riferimenti normativi vigenti e specifica per il ruolo svolto, con compiti operativi diversi a seconda del ruolo.

Fase 2 | Revisione completa della procedura di controllo annuale degli amministratori di sistema

La delicatezza del ruolo degli Amministratoridi Sistema impone la necessità di una procedura di controllo annuale delle attività degli stessi. La revisione effettuata aveva lo scopo di aggiornare la procedura al GDPR e di identificare e codificare nuovi meccanismi di controllo, sulla base dei compiti e delle istruzioni assegnate in fase di nomina.

Fase 3 | Creazione di una check list per la procedura di controllo annuale degli amministratori di sistema

Allo scopo di rendere sistematico e chiaro il processo di controllo sulle attività degli amministratori di sistema è stata definita una check list che guida il processo con controlli chiari e misurabili, come definito nella procedura rivista.

Documentazione fornita per ciascuna fase del progetto

Fase 1: Dieci differenti tipologie di lettere di nomina, per i diversi ruoli di amministratori di sistema identificati e con i compiti operativi relativi alle misure di sicurezza definiti e specifici per ciascun ruolo. Fase 2: Nuova revisione della procedura di controllo. Fase 3: Checklist finale con circa 40 controlli sulle attività degli amministratori di sistema.