Asset e Soggetti

Nelle voci di menu Asset e Soggetti è possibile inserire, eliminare o modificare una serie di informazioni le quali saranno successivamente correlate le une alle altre sulla base di logiche predeterminate dal Software o dall’utente.

A titolo esemplificativo, nella compilazione del registro dei trattamenti le informazioni vengono così combinate:

../_images/registro_trattamenti_big.png

Nei paragrafi successivi si andrà a descrivere il contenuto nonchè la funzione di ogni voce dei menu Asset e Soggetti:

Asset

Nel sottomenu «Asset» vengono censite tutti gli elementi le componenti configurabili dall’utente che non siano persone fisiche od enti/persone giuridiche.

Applicativi

Come si evince dal nome, in questa sezione andranno censiti gli applicativi e software che a vario titolo sono coinvolti nelle attività di trattamento. Gli oggetti associabili agli applicativi sono i seguenti:

  1. Misure di sicurezza;
  2. Unità;
  3. Terze parti (come ad esempio dei fornitori);
  4. Componenti IT;
  5. Amministratori di sistema;

E” possibile altresì provvedere all’associazione di Applicativi e Trattamenti tramite l’ultima scheda (ALTRO) del Registro dei trattamenti.

../_images/applicativi.png

Categorie di dati

Tramite l’interfaccia Categorie dei dati è possibile inserire delle categorie di dati le quali costituiranno poi quelle selezionabili nella prima scheda del Registro dei trattamenti.

Le categorie di dati sono censite su tre livelli di dettaglio:

  1. Primo livello: Dati personali, Dati particolari, Dati relativi a reati e condanne penali;
  2. Secondo livello: Categorie di dati es. Anagrafici, Geolocalizzazione, Fiscali…;
  3. Terzo livello: Tipi di dati es. Nome, Cognome, Codice fiscale, Indirizzo IP, coordinate GPS…
../_images/categorie_dati.png

Categorie di interessati

Tramite questa interfaccia è possibile inserire le categorie di interessati da attingere poi nella scheda soggetti del Registro dei trattamenti.

Per ogni categoria censita è possibile, tramite pulsanti dedicati, definire se la medesima sia una categoria di interessati vulnerabili o se i dati dei soggetti appartenenti alla stessa siano trattati su larga scala.

../_images/categorie_interessati.png

Conservazione

Dalla voce di menu conservazione è possibile stabilire il periodo di conservazione (retention) dei dati o il criterio per poterlo determinare. Le opzioni stabilite in questa interfaccia saranno quelle successivamente disponibili nell’ultima scheda del Registro dei trattamenti.

È possibile ascrivere un periodo di conservazione alla caratteristica «Esteso». Se un periodo di conservazione porta la caratteristica Esteso , quando questo viene associato ad un trattamento, aumenterà in modo automatico l’indice di rischiosità del trattamento stesso secondo le logiche illustrate in Calcolo stima del rischio suggerita dal sistema
../_images/Conservazione.png

Minacce

Le minacce, o fonti di rischio, censite in questa interfaccia sono quelle che vengono rese disponibili nella funzionalità di Gestione del rischio.

Le minacce possono essere raggruppate in insiemi omogenei denominati «pacchetti» come, a titolo esemplificativo, Comportamenti umani, Strumentazione IT, Eventi naturali.

../_images/minacce_1.png

Tramite l’interfaccia di gestione delle Minacce è possibile creare nuovi pacchetti di minacce facendo clic sul «Pulsante 1» ed inserire nuove minacce o modificarne di già esistenti tramite il «Pulsante 2».

Inserimento e modifica delle minacce

Ogni minaccia può essere configurata mediante parametri predefiniti, i quali potranno nondimeno essere modificati contestualmente alla valutazione del rischio. I summenzionati parametri possono essere modificati contestualmente all’inserimento di una nuova minaccia oppure facendo clic sull’icona a forma di matita sulla stessa riga della minaccia che si desidera modificare.

../_images/minacce_3.png

I dati necessari da inserire a sistema sono: - Nome della minaccia; - Fonte della minaccia che può essere: Umano (azioni di dipendenti, collaboratori, utenti), contesto (concorrenti, agenzie pubbliche, subappaltatori), strumenti (sensori non calibrati, software bug, rottura hardware, disastro naturale); - Area d’impatto della minaccia: Disponibilità e/o Integrità e/o Riservatezza; - Valore predefinito di impatto e probabilità con possibile motivazione delle scelte.

Associazione Minacce - Misure di sicurezza

È possibile associare delle misure di sicurezza alle minacce al fine di innescare il meccanismo di ereditarietà tra misure e minacce così come descritto partitamente nello schema Gestione del rischio - logiche.

Per associare una misura di sicurezza ad una minaccia è necessario fare clic sull’icona raffigurante uno scudo sulla riga della corrispondente minaccia.

../_images/minacce_4.png

Facendo clic sull’icona dello scudo si apre una finestra di dialogo tramite la quale è possibile selezionare le misure di sicurezza da relazionare alla minaccia. A questo punto occorrerà:

  1. selezionare le misure, anche più d’una alla volta;
  2. fare clic su «Applica»;

Le misure così selezionate si sposteranno sul lato sinistro dell’interfaccia.

../_images/minacce_5.png

È altresì possibile impostare una percentuale di mitigazione predefinita per la minaccia. A tal fine è necessario fare clic sulla percentuale di mitigazione ed inserire la percentuale desiderata.

../_images/minacce_6.png ../_images/percentuali.gif

Componenti IT

In questa interfaccia è possibile inserire tutti i componenti IT in uso all’interno dell’Ente, come ad esempio i Server. Per inserire un nuovo elemento, sarà sufficiente fare clic sul pulsante Nuovo ed inserire i dati richiesti nella finestra che comparirà.

../_images/Componenti_IT_nuovo.png

Una volta inseriti, i vari elementi possono essere correlati con altre informazioni quali, ad esempio, gli amministratori di sistema, gli applicativi, i luoghi fisici, i trattamenti. Per poter correlare i Componenti IT ai surriportati elementi, sarà sufficiente cliccare sul singolo elemento e, nei dettagli che compaiono sulla destra dell’interfaccia, associarvi le informazioni desiderate.

../_images/Componenti_IT_associazione.png

Misure di sicurezza

Tramite questo menù è possibile definire le misure di sicurezza: queste sono censite su tre livelli:

  1. Primo livello: Misure su «applicativi», misure su «componenti IT», misure su «luoghi fisici» (misure tecniche) e misure di sicurezza «trattamenti» (misure di sicurezza anche organizzative applicabili alle attività di trattamento);
  2. Secondo livello: Categoria di misura di sicurezza;
  3. Terzo livello: Misura di sicurezza.

Per ogni tipo di misura di sicurezza è possibile stabilire:

  1. un livello di sicurezza (Minimo, Standard, Alto);
  2. se la misura sia stata adottata trasversalmente o verticalmente: le misure di sicurezza trasversali verranno automaticamente applicate su tutti gli applicativi/componenti it/luoghi fisici (se misura «sugli asset») o su tutti i trattamenti (se misura di sicurezza «sui trattamenti) inseriti successivamente al momento in cui questa viene indicata come trasversale;
  3. Facendo clic sull’icona rappresentante una matita, modificarne il nome e definirne, attraverso un campo di testo libero, una modalità di implementazione.
../_images/misure_sicurezza.png

Da questa interfaccia è inoltre possibile fare un’esportazione in un foglio di calcolo di tutte le misure di sicurezza (su applicativi, componenti IT, luoghi fisici e sui trattamenti) censite all’interno della voce di menu «Asset –> Misure di sicurezza». Per completare l’estrazione sarà sufficiente cliccare sull’apposito pulsante «Esporta le misure di sicurezza» come evidenziato nell’immagine sottostante. Sarà possibile altresì (come indicato dal pulsante evidenziato dalla freccia rossa) applicare successivamente tutte le misure di sicurezza trasversali, così come poc’anzi definite.

../_images/misure_sicurezza_2.png

Di seguito una rappresentazione grafica della logica usata per la gestione della relazione tra le misure di sicurezza, le attività di trattamento ed eventi rischiosi/rischi/minacce.

../_images/MinacceMisureDPIA.png

Luoghi fisici

Tramite i luoghi fisici è possibile definire una posizione geografica per i Trattamenti contenuti nel Registro dei trattamenti e Terze parti. I luoghi fisici possono essere relazionati con le misure di sicurezza sugli Asset.

../_images/luoghiFisici.png

Dispositivi personali

Nella sezione dedicata ai dispositivi personali è possibile inventariare i client. Questi ultimi possono essere assegnati agli utenti nel menu ASSEGNAZIONI, qualora fosse attivata la relativa spunta .

../_images/dispositivi_personali.png

Sistemi operativi

Il censimento dei sistemi operativi è funzionale a correlare questi con i client (per impostazione predefinita) o con i server a seconda che li si imposti come Sistemi Operativi o Sistemi operativi server, come evidenziato in figura.

../_images/sistemi_operativi.png

Processi

È possibile correlare dei processi posti in essere in seno all’ente alle attività di trattamento. L’elenco dei processi associabili è visibile tramite un’interfaccia dedicata. Il campo per la correlazione processi - trattamenti è attivabile dalle opzioni di Configurazione.

Soggetti

Nel sottomenu Soggetti si trovano tutte le componenti configurabili dall’utente che sono persone fisiche o giuridiche.

RPD

Alla voce RPD è possibile inserire uno o più DPO. Questi saranno selezionabili:

  • nella seconda scheda (SOGGETTI) del wizard di censimento di ogni singolo trattamento nel Registro dei trattamenti.
  • nelle Configurazione per definire il DPO predefinito i cui dati di contatto saranno inseriti nella documentazione prodotta.
../_images/DPO.png

Qualifiche

Alla voce Qualifiche si trova un elenco delle qualifiche professionali dei soggetti che operano a vario titolo nella o per la organizzazione. Le qualifiche possono essere correlate agli Utenti e, incrociando Qualifiche, Unità e ed utenti, è possibile stabilire delle regole sulla base delle quali vengono assegnati trattamenti, dispositivi ed applicativi.

../_images/qualifiche.png

Ruoli applicativi e privilegi utente

Come impostazione predefinita, DPM viene fornito con cinque tipologie di Ruoli a cui corrispondono privilegi applicativi diversi. I privilegi corrispondono alla possibilità o meno di utilizzare le funzionalità dell’applicativo presenti nel menu posizionato sulla sinistra dell’interfaccia grafica:

  • Amministratore: utente con privilegi massimi;
  • Amministratore JR: utente con tutti i permessi eccetto Configurazioni;
  • DPO: Dashboard, Registro dei trattamenti, valutazione d’impatto, Asset e Soggetti;
  • Responsabile unità: Registro dei trattamenti, valutazione d’impatto, assegnazioni, documenti;
  • Delegato: Dashboard dell’autorizzato, assegnazioni;
  • Autorizzato: Dashboard dell’autorizzato.
  • Gestione del personale: Assegnazioni, Soggetti → (Utenti, Unità, Ruoli, Qualifiche, RPD, Terze parti, Titolari) Accordi –> (Designati, Amministratori di sistema), Richieste degli interessati, Mie Attività;
  • CED e supporto tecnico: Asset → (Applicativi, Componenti IT, Misure di sicurezza, Minacce, Luoghi Fisici, Dispositivi personali), Accordi –> (Amministratori di sistema, Responsabili del trattamento), Soggetti → Terze parti, Data Breach, Mie Attività;
  • Gruppo di lavoro Legale: Dashboard, Registro Trattamenti, DPIA, Data Breach, Richieste interessati, Audit, Mie Attività, Accordi tutti Asset → (categorie di dati, categorie di interessati, conservazione, processi, Minacce, Applicativi, Luoghi Fisici), Soggetti → (Unità, Titolari, Terze Parti, RPD);

Gli utenti con ruoli di amministrazione possono modificare i privilegi correlati ai restanti ruoli nonché inserire nuovi ruoli configurandone altresì permessi e privilegi in maniera granulare, tramite l’interfaccia visualizzabile facendo clic sul menu: Soggetti → Ruoli.

Tramite l’interfaccia di gestione dei ruoli è altresì possibile gestire i permessi anche in sola lettura o in sola modifica. A tal fine occorrerà:

  1. Selezionare un ruolo;
  2. Deselezionare sia «modifica» che «creazione» per conferire permessi di sola lettura a quel ruolo;
  3. Deselezionare solo «creazione» per conferire permessi di lettura e modifica a quel ruolo.
../_images/RuoliPermessi.png

Gestione dei ruoli predefiniti

La gestione dei ruoli predefiniti porta con sè una serie di particolarità: se da un canto i ruoli creati manulmente possono essere gestiti tramite l’interfaccia Utenti, i seguenti ruoli predefiniti devono essere gestiti come segue:

  • Responsabile unità: si acquisisce tramite correlazione «Unità > Utenti selezionabili» nella sezione Unità
  • Delegato: si acquisisce tramite il meccanismo di delega descritto nella sezione Meccanismo di delega
  • Autorizzato: si acquisisce tramite l’associazione «Utente > Unità» dall’interfaccia di gestione Utenti

Terze parti

Le terze parti rappresentano soggetti terzi rispetto al Titolare che vengono richiamati nella compilazione delle attività di trattamento, come responsabili del trattamento, sub-responsabili, soggetti a cui si comunicano dati, soggetti da cui si ricevono dati e, in ultima istanza, soggetti fornitori di applicativi. In sintesi, le terze parti sono richiamate nell’inserimento di:

  • responsabili del trattamento (REG. TRATTAMENTI);
  • sub-responsabili del trattamento (REG. TRATTAMENTI);
  • soggetti a cui vengono comunicati dati (REG. TRATTAMENTI);
  • soggetti che comunicano dati (REG. TRATTAMENTI);
  • fornitori (ASSET > APPLICATIVI).
../_images/terze_parti.png

Titolari

In quesa voce di menu è possibile inserire i soggetti Titolari i quali (vale anche per il DPO) potranno essere inseriti:

  • nella seconda scheda (Soggetti) del Registro dei trattamenti, per stabilire un’eventuale relazione di titolarità esterna o contitolarità;
  • nelle opzioni di Configurazione per definire il Titolare predefinito i cui dati di contatto saranno inseriti nella documentazione prodotta.
../_images/titolari.png

Unità

Le unità vengono gestite dall’interfaccia alla quale è possibile accedere dalla voce di menu: Soggetti → Unità. Da qui è possibile inserire unità e sotto-unità e correlare i Responsabili interni alle rispettive unità e sotto-unità.

../_images/unita.png

Per correlare unità - responsabili/referenti, dal menu principale:

  1. Selezionare la voce Unità dal menu SOGGETTI > UNITÀ;
  2. Selezionare l’unità su cui si vuole andare ad operare;
  3. Selezionare il responsabile dal menu facendo clic sul campo di imput e selezionando un utente dal menu a tendina;
  4. Comparirà un messaggio del tipo «si conferma la nomina di desingnato dal titolare per l’utente selezionato?» a cui occorrà rispondere «Ok».
../_images/unita_resp.png

Conseguenze della disattivazione o eliminazione di un’unità

La disattivazione di un’unità organizzativa porta con sè talune conseguenze segnatamente con riferimento alle Assegnazioni agli autorizzati.

Disattivando un’unità, pertanto:

  1. permarranno le informazioni afferenti alle assegnazioni poste in essere nel contesto di quell’unità organizzativa;
  2. nell’interfaccia delle assegnazioni nonché nella pagina personale degli utenti le unità nel contesto delle quali sono state poste in essere le assegnazioni saranno contrassegnate da un triangolo giallo di allerta.
../_images/unita_alert.png

Eliminando definitivamente un’unità, tutte le contestuali assegnazioni di trattamenti, applicativi e dispositivi personali saranno revocate.

Utenti

Nell’interfaccia raggiungibile tramite la voce del menu SOGGETTI > UTENTI, si accede alla lista completa di tutti gli utenti di DPM. Tramite questa interfaccia, cliccando sul singolo utente, è possibile modificare:

  1. l’unità associata di appartenenza;
  2. l’associazione con una terza parte, nel caso in cui l’utente non fosse dipendente dell’Ente;
  3. i ruoli applicativo associati;
  4. la relativa qualifica.

Con particolare riferimento ai ruoli applicativi precaricati assegnabili agli utenti, dall’interfaccia Lista Utenti è possibile assegnare esclusivamente i ruoli di Amministratore ed Autorizzato. Diversamente, il ruolo di Responsabile unità e di Delegato del titolare vengono assegnati automaticamente agli utenti, rispettivamente:

  1. ai soggetti associati ad una unità all’interno della voce di menù SOGGETTI > UNITÀ;
  2. ai soggetti delegati ad operare su una o più unità all’interno della voce di menu Assegnazioni (Meccanismo di delega).