Asset e Soggetti

Nelle voci di menu Asset e Soggetti è possibile inserire, cancellare e modificare una serie di informazioni che sono successivamente correlate le une alle altre sulla base di logiche predefinite dal Software o dall’utente.

Per esempio, nella compilazione del registro dei trattamenti le informazioni vengono così combinate:

../_images/registro_trattamenti_big.png

Nei paragrafi successivi si descrive il contenuto e la funzione di ogni voce dei menu Asset e Soggetti:

Asset

Nel sottomenu «Asset» si trovano tutte le componenti configurabili dall’utente che non siano persone fisiche o giuridiche.

Applicativi

Riassumendo, gli oggetti associabili agli applicativi sono i seguenti:

  1. Misure di sicurezza tecniche
  2. Fornitori (Terze parti)
  3. Server
  4. Trattamenti tramite l’ultima scheda del Registro dei trattamenti.
../_images/applicativi.png

Categorie di dati

Tramite l’interfaccia Categorie dei dati è possibile inserire delle categorie di dati le quali costituiranno poi quelle selezionabili nella prima scheda del Registro dei trattamenti.

Le categorie di dati sono censite su tre livelli di dettaglio:

  1. Dati personali, Dati particolari, Dati relativi a reati e condanne penali
  2. Categorie di dati es. Anagrafici, Geolocalizzazione, Fiscali…
  3. Tipi di dati es. Nome, Cognome, Codice fiscale, Indirizzo IP, coordinate GPS…
../_images/categorie_dati.png

Categorie di interessati

Tramite questa interfaccia è possibile inserire le categorie di interessati utilizzate nella scheda soggetti del Registro dei trattamenti.

Per ogni categoria è possibile definire se questa sia una categoria di interessati vulnerabile e/o i dati dei soggetti appartenenti a questa categoria siano trattati su larga scala.

../_images/categorie_interessati.png

Conservazione

Dalla voce di menu conservazione è possibile stabilire il periodo di conservazione (retention) dei dati o il criterio per definirlo. Le opzioni definite in questa interfaccia saranno quelle disponibili nell’ultima scheda del Registro dei trattamenti.

È possibile assegnare la caratteristica «Esteso» ad un periodo di conservazione. Se un periodo di conservazione ha associata la caratteristica Esteso quando questo viene associato ad un trattamento comporterà l’aumento dell’indice di rischiosità del trattamento a cui viene associato secondo le logiche illustrate in Calcolo stima del rischio suggerita dal sistema
../_images/Conservazione.png

Minacce

Le minacce o fonti di rischio censite in questa interfaccia sono quelle che vengono rese disponibili nella funzionalità di Gestione del rischio.

Le minacce possono essere raggruppate in insiemi omogenei c.d. «pacchetti», ad esempio: Comportamenti umani, Strumentazione IT, Eventi naturali.

../_images/minacce_1.png

Tramite l’interfaccia di gestione delle Minacce è possibile creare nuovi pacchetti di minacce facendo clic sul «Pulsante 1» e inserire nuove minacce o modificarne di già esistenti tramite il «Pulsante 2».

Inserimento e modifica delle minacce

Ogni minaccia può essere configurata con dei parametri predefiniti, i quali potranno sempre essere modificati durante la valutazione del rischio. Questi parametri possono essere modificati all’inserimento di una nuova minaccia oppure facendo clic sull’icona «matita» sulla stessa riga della minaccia che si desidera modificare.

../_images/minacce_3.png
  • Nome della minaccia;
  • Fonte della minaccia, che può essere: Umano (dipendenti, collaboratori, utenti), contesto (concorrenti, agenzie pubbliche, subappaltatori), strumenti (sensori non calibrati, software bug, rottura hardware, disastro naturale);
  • Area d’impatto della minaccia: Disponibilità e/o Integrità e/o Riservatezza;
  • Valore predefinito di impatto e probabilità con possibile motivazione delle scelte.

Associazione Minacce - Misure di sicurezza

È possibile associare delle misure di sicurezza alle minacce in maniera da innescare il meccanismo di ereditarietà descritto nello schema Gestione del rischio - logiche.

Per associare ad una minaccia una misura di sicurezza è opportuno fare clic sull’icona raffigurante uno scudo sulla riga della corrispondente minaccia.

../_images/minacce_4.png

Facendo clic sull’icona dello scudo si apre una finestra di dialogo tramite la quale è possibile selezionare le misure di sicurezza da relazionare alla minaccia.

  1. selezionare le misure;
  2. fare clic su «applica»;
  3. le misure selezionate si sposteranno sul lato sinistro dell’interfaccia.
../_images/minacce_5.png

È anche possibile impostare una percentuale di mitigazione predefinita per la minaccia. Per farlo è necessario fare clic sulla percentuale di mitigazione ed inserire la percentuale desiderata.

../_images/minacce_6.png ../_images/percentuali.gif

Server

L’elenco dei server è funzionale alla loro correlazione con gli applicativi. Nei server è possibile censire sia le macchine server che i database server.

../_images/server.png

Misure di sicurezza

Qui è possibile definire le misure di sicurezza: queste, analogamente alle categorie di dati, sono censite su tre livelli:

  1. Misure di sicurezza «asset» (applicabili, appunto, agli asset) e Misure di sicurezza «trattamenti» (Applicabili alle attività di trattamento)
  2. Categoria di misura di sicurezza
  3. Misura di sicurezza

Per ogni tipo di misura di sicurezza è possibile definire:

  1. un livello di sicurezza Standard, Medio o Alto;
  2. se la misura sia stata adottata in generale o meno: le misure di sicurezza identificate come adottate possono anche essere intese come misure orizzontali o trasversali a tutta l’organizzazione. Se una misura viene contrassegnata qui come adottata, questa sarà segnata come adottata su tutti gli applicativi (se tecnica) o su tutti i trattamenti (se organizzativa) inseriti successivamente al momento in cui questa viene contrassegnata come adottata;
  3. Facendo clic sull’icona rappresentante una matita è possibile modificare la misura e definire una modalità di implementazione specifica.
../_images/misure_sicurezza.png

Da questa interfaccia è inoltre possibile fare un’esportazione in un foglio di calcolo di tutte le misure di sicurezza (sugli asset e sui trattamenti) censite all’interno della voce di menu «Asset –> Misure di sicurezza». Per effettuare l’estrazione sarà sufficiente cliccare sull’apposito pulsante «Esporta le misure di sicurezza».

../_images/misure_sicurezza_2.png

Di seguito una rappresentazione grafica della logica usata per la gestione della relazione tra le misure di sicurezza, le attività di trattamento e i rischi.

../_images/MinacceMisureDPIA.png

Dispositivi

Nella sezione dedicata ai dispositivi personali è possibile inserire l’inventario dei client: questi possono essere assegnati agli utenti assieme a trattamenti ed applicativi.

../_images/dispositivi_personali.png

Sistemi operativi

Il censimento dei sistemi operativi è funzionale a correlare questi con i client (per impostazione predefinita) o con i server a seconda che li si imposti come Sistemi Operativi o Sistemi operativi server (1).

../_images/sistemi_operativi.png

Processi

È possibile correlare dei processi alle attività di trattamento. L’elenco dei processi associabili è visibile tramite un’interfaccia dedicata. Il campo per la correlazione processi - trattamenti è attivabile dalle Configurazione.

Soggetti

Nel sottomenu Soggetti si trovano tutte le componenti configurabili dall’utente che siano persone fisiche o giuridiche.

RPD

Alla voce del menu Soggetti -> RPD è possibile inserire uno o più DPO. Questi saranno selezionabili:

../_images/DPO.png

Qualifiche

Alla voce del menu Soggetti -> Qualifiche si trova un elenco delle qualifiche professionali dei soggetti che operano nell’organizzazione. Le qualifiche possono essere correlate agli Utenti e, incrociando Qualifiche, Unità e ed utenti, è possibile stabilire delle regole sulla base delle quali vengono assegnati trattamenti, dispositivi ed applicativi.

../_images/qualifiche.png

Ruoli applicativi e privilegi utente

Per impostazione predefinita DPM viene fornito con cinque tipologie di Ruoli a cui corrispondono privilegi applicativi diversi. I privilegi corrispondono alla possibilità o mento di usufruire di funzionalità dell’applicativo presenti nel menu posizionato sulla sinistra dell’interfaccia grafica:

  • Amministratore: utente con privilegi massimi;
  • DPO: Dashboard, Registro dei trattamenti, Analisi d’impatto, Asset e Soggetti.
  • Responsabile unità: Registro dei trattamenti, analisi d’impatto, assegnazioni, documenti.
  • Delegato: Dashboard dell’autorizzato, assegnazioni.
  • Autorizzato: Dashboard dell’autorizzato.

Gli utenti con ruoli di amministrazione possono modificare i privilegi correlati agli altri ruoli ed inserire nuovi ruoli configurandone permessi e privilegi in maniera granulare, tramite l’interfaccia visualizzabile facendo clic sul menu: Soggetti → Ruoli.

Tramite l’interfaccia di gestione dei ruoli è altresì possibile gestire i permessi anche in sola lettura o in sola modifica:

  1. Selezionare un ruolo;
  2. Gestire i permessi dall’apposito campo di imput, ogni permesso è correlato ad una voce del menu;
  3. Gestire i permessi anche in riferimento alla possibilità di creare nuovi oggetti e/o modificare il contenuto degli oggetti già inseriti;
../_images/RuoliPermessi.png

Gestione dei ruoli predefiniti

La gestione dei ruoli predefiniti ha una serie di particolarità, se i ruoli creati manulmente possono essere gestiti tramite l’interfaccia degli Utenti, i seguenti ruoli predefiniti devono essere gestiti come segue:

  • Responsabile unità: si acquisisce tramite correlazione utente –> unità nella sezione Unità
  • Delegato: si acquisisce tramite il meccanismo di delega descritto nella sezione Meccanismo di delega
  • Autorizzato: si acquisisce tramite associazioni utente–>unità dall’interfaccia di gestione Utenti

Terze parti

Le terze parti rappresentano soggetti terzi rispetto al Titolare che vengono richiamati nella compilazione delle attività di trattamento, come responsabili del trattamento, sub-responsabili, soggetti a cui si comunicano dati, soggetti da cui si ricevono dati e soggetti fornitori di applicativi. Ricapitolando, le terze parti sono richiamate nell’inserimento di:

  • responsabili del trattamento (registro);
  • sub-responsabili del trattamento (registro);
  • soggetti a cui vengono comunicati dati (registro);
  • soggetti che comunicano dati (registro);
  • fornitori (asset –> applicativi)
../_images/terze_parti.png

Titolari

In quesa voce di menu è possibile inserire i soggetti Titolari i quali, come nel caso del DPO, potranno essere inseriti:

  • nella seconda scheda (Soggetti) del Registro dei trattamenti, per stabilire una relazione di titolarità esterna o contitolarità.
  • nelle Configurazione per definire il Titolare predefinito i cui dati di contatto saranno inseriti nella documentazione prodotta.
../_images/titolari.png

Unità

Le unità vengono gestite dall’interfaccia a cui è possibile accedere dalla voce di menu: Soggetti → Unità. Da qui è possibile inserire unità e sotto-unità e correlare i Responsabili interni alle rispettive unità e sotto-unità.

../_images/unita.png

Per correlare unità - responsabili/referenti, dal menu principale:

  1. Selezionare la voce Unità dal menu Soggetti -> Unità
  2. Selezionare l’unità su cui si vuole andare ad agire
  3. Selezionare il responsabile dal menu facendo clic sul campo di imput e selezionando un utente dal menu a tendina.
../_images/unita_resp.png

Utenti

Nell’interfaccia a cui è possibile accedere tramite la voce del menu Soggetti -> Utenti si accede alla lista completa di tutti gli utenti di DPM. Tramite questa interfaccia, cliccando sul singolo utente, è possibile modificare:

  1. l’unità di appartenenza
  2. i ruoli applicativi allo stesso associati
  3. la sua qualifica
  4. l’associazione con una terza parte, nel caso in cui l’utente non fosse dipendente dell’Ente

Con particolare riferimento ai ruoli applicativi precaricati assegnabili agli utenti, dall’interfaccia Lista Utenti è possibile assegnare esclusivamente i ruoli di Amministratore ed Autorizzato. Viceversa, il ruolo di Responsabile unità e di Delegato del titolare vengono assegnati in automatico agli utenti, rispettivamente, associati ad una unità all’interno della voce di menù Soggetti -> Unità, e ai soggetti delegati ad operare su una o più unità all’interno della voce di menu Assegnazioni (Meccanismo di delega).

../_images/utenti.png