Buongiorno, leggo nel piano triennale, capitolo 3.2 (pagina 30), che le linee del Piano porterebbero a liberalizzare a tutti i dipendenti la navigazione. Si parla di togliere limiti di tempo, di aprire la navigazione verso notizie di ogni tipo ed addirittura di includere tutti gli strumenti per la condivisione di file, chat e social network.
Al contrario di come impostato fino ad ora quindi, non si devono autorizzare solo i siti e gli strumenti legati all’attivita, ma lasciare libera completamente la navigazione.
Se ho interpretato correttamente quanto detto, a parte i problemi che potrebbero essere legati alla produttività individuale, tale principio non è un pò contrastante con quanto detto dal GDPR, che invece promuove sistemi di controllo dell’attività utente anche piuttosto invasivi, e sicuramente spinge all’uso di prodotti come il DLP addirittura per l’uso di chiavette USB e dischi esterni?
Vedo un’eccezione nel piano, che parla di PA che abbiano chiare e documentate esigenze di sicurezza…ma secondo il GDPR i dati da proteggere sono un insieme piuttosto ampio, e le procedure dovrebbero essere adottate in pratica da tutte le PA…
Salve Sabrina,
ho controllato il testo del GDPR ma non trovo in quale punto promuoverebbe “sistemi di controllo dell’attività utente” intesi come sistemi di controllo di quanto fanno i lavoratori sul posto di lavoro.
Potrebbe indicare l’articolo rilevante?
Inoltre, poiché stiamo parlando degli accessi che i dipendenti pubblici eseguono verso l’esterno dell’amministrazione non è chiaro in quale modo una limitazione di questi accessi proteggerebbe i dati personali. Potrebbe fare un esempio?
Simone Piunno
Team per la Trasformazione Digitale
Buongiorno Simone, grazie per la sua risposta. Non penso ci sia un articolo specifico (sto ancora leggendo il GDPR), ma la considerazione nasce dalla necessità di intercettare eventuali data breach e di segnalarli entro 72 ore.
Come ci insegnano le statistiche, se è vero che ci può essere data breach a causa di intrusioni esterne, altrettanto si verificano “perdite” di informazioni importanti dall’interno.
Di conseguenza tutte le soluzioni proposte (Fortinet, Symantec, Checkpoint) prevedono moduli di DLP, magari anche solo su un particolare tipo di documenti, e soprattutto sw di analisi comportamentali che possono per esempio far scattare degli alert nel momento in cui un utente, con un comportamento nella media, improvvisamente inizia ad inviare tonnellate di email con allegati. Ciò non vuol dire che l’utente stia facendo di proposito qualcosa di non legale, potrebbe anche solo essere un virus, ma alla base di tutti questi software inevitabilmente ci sono dei mezzi di analisi e controllo del comportamento.
La cosa mi sembrava in contrasto con l’uso di strumenti tipo i social network o peggio ancora di strumenti di file sharing, tramite cui sarebbe veramente facile per un utente portare all’esterno dei dati che invece andrebbero protetti, se l’ente non possiede strumenti efficaci di controllo. Tantopiù che l’idea di dati sensibili è stata soppiantata dal GDPR con l’idea di dati personali, che possono anche essere un semplice elenco di persone con relative email…
Non so se sono riuscita a spiegare, ma io di fondo ci vedo qualche incongruenza…anche perchè gli strumenti di controllo hanno prezzi piuttosto elevati.
Grazie mille
Sabrina