Quel che serve sapere sulla figura dell’amministratore di sistema nella sicurezza dei dati aziendale: guida pratica alle funzioni e alla nomina
Il ruolo chiave dell’amministratore di sistema nella sicurezza dei dati
L’amministratore di sistema è il pilastro tecnologico su cui si basa la sicurezza e la gestione dei dati all’interno di un’azienda. Questa figura, altamente specializzata, è responsabile della configurazione, del mantenimento e della sicurezza dei sistemi informatici. Le funzioni specifiche di un amministratore di sistema includono:
- Configurazione dei Sistemi:
l’amministratore è incaricato di configurare e ottimizzare l’infrastruttura tecnologica dell’azienda. Questo comprende la gestione dei server, la configurazione delle reti e la definizione di politiche di sicurezza. - Gestione delle Autorizzazioni:
una delle funzioni fondamentali è la gestione delle autorizzazioni e dei privilegi di accesso. L’amministratore di sistema assegna diritti specifici agli utenti in base alle loro responsabilità, garantendo che ognuno abbia accesso solo alle risorse necessarie per svolgere il proprio lavoro. - Implementazione di Misure di Sicurezza:
l’amministratore è il custode della sicurezza dei dati. Implementa misure di sicurezza avanzate come firewall, antivirus e sistemi di rilevamento delle intrusioni per proteggere i dati aziendali da minacce esterne e interne. - Backup e Recupero:
garantisce la regolare esecuzione di backup e la definizione di procedure di recupero dati in caso di incidenti o perdite accidentali. - Monitoraggio Costante:
l’amministratore di sistema deve monitorare costantemente le attività dei sistemi per individuare comportamenti anomali o potenziali minacce. L’utilizzo di strumenti avanzati di monitoraggio contribuisce a garantire la sicurezza continua. - Gestione delle Patch:
si occupa dell’applicazione regolare di patch e aggiornamenti software per garantire che i sistemi siano protetti da vulnerabilità di sicurezza note. - Assistenza Tecnica:
fornisce supporto tecnico agli utenti interni, risolvendo problemi hardware e software, e garantendo che tutti gli elementi del sistema funzionino in modo efficiente. - Formazione Continua:
l’amministratore di sistema deve rimanere costantemente aggiornato sulle ultime tendenze in materia di sicurezza informatica e tecnologie emergenti. La formazione continua è essenziale per affrontare le sfide in evoluzione del panorama della sicurezza informatica.
Per saperne di più > Log Management: cosa è e perchè è un obbligo normativo
Chi è responsabile della nomina dell’amministratore di sistema?
Il provvedimento al quale fare riferimento, in tema, risale al 2008 (aggiornato poi nel 2009): “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”. Una legislazione, questa, molto avanzata, che quasi 20 anni fa introduceva formalmente la figura dell’amministratore di sistema. Qui l’amministratore di sistema è così definito:
“Con la definizione di amministratore di sistema si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Ai fini del presente provvedimento vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi”
Ovviamente il contenuto di tale provvedimento va affiancato a quanto previsto dal GDPR.
Venendo al sodo, la nomina dell’amministratore di sistema spetta al Titolare del trattamento, ovvero
“la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.
In particolare, il Titolare del trattamento deve nominare, singolarmente, i singoli amministratori di sistema indicando dettagliatamente le mansioni in base al profilo autorizzativo assegnato a ciascuno. Nomine e dati dei professionisti nominati amministratori di sistema devono risultare in un unico documento, che è necessario presentare in caso di ispezione o richiesta del Garante.
Se l’attività dell’amministratore di sistema riguarda anche “indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale di lavoratori” il Titolare del trattamento dei dati deve fornire l’informativa relativa ai dipendenti, ai sensi dell’art. 13 del GDPR.
Nel caso poi che l’amministratore di sistema sia un dipendente del Titolare, il suo inquadramento dovrà prevedere l’autorizzazione al trattamento dei dati, sotto la diretta autorità del titolare del trattamento.
Va detto anche l’amministratore di sistema può anche essere esterno e non deve necessariamente essere dipendente dell’azienda. In questo caso, presso l’azienda del titolare del trattamento dati o del soggetto esterno va conservato il contratto di servizio stipulato col soggetto esterno.
Infine, ricordiamo che il titolare deve dotare l’azienda di sistemi di controllo degli accessi da parte degli amministratori di sistema, con l’obbligo di conservazione dell’accesso per almeno 6 mesi.
È obbligatorio nominare l’amministratore di sistema?
Partiamo da un dato chiaro e semplice: no. Non c’è alcuna normativa che imponga esplicitamente la nomina dell’amministratore di sistema. La scelta se procedere o meno a tale nomina spetta al titolare del trattamento.
Detto questo, nominare un amministratore di sistema è, in maniera chiara ed evidente, una dimostrazione di accountability da parte del titolare del trattamento, come indicato dall’art. 24 del GDPR. Concretamente infatti, tale nomina rappresenta la concreta attuazione dell’obbligo di protezione dei dati personali.
Hai ancora dubbi sulla figura dell’amministratore di sistema? Vorresti più informazioni e un supporto?