Finalmente, prima della pausa estiva, sono arrivata alla definizione ultima delle misure organizzative e tecniche da attuare per adempiere agli obblighi stabiliti dal Garante Privacy in materia responsabilizzazione e controllo dell'operato degli amministratori di sistema.
La "fretta" iniziale di chiudere è ormai cosa superflua, dal momento che le proroghe hanno portato la scadenza ultima per l'adozione di tali misure al 15/dicembre (http://www.garanteprivacy.it/garante/doc.jsp?ID=1626716).
Al provvedimento sono state apportate anche alcune piccole modifiche (http://www.garanteprivacy.it/garante/doc.jsp?ID=1626595), che tuttavia non intervengono sulla sostanza di quanto va predisposto.
Rispetto alle misure tecniche, in azienda abbiamo optato per una soluzione che costituisce un mix di piccoli sviluppi interni e software commerciali. Obiettivo primario: coniugare le esigenze correlate agli obblighi stabiliti dal provvedimento con la volontà di creare un ambiente di log management che permettesse maggior controllo sull'infrastruttura tecnologica ed applicativa dell'azienda, primariamente sotto il profilo della sicurezza, e nel rispetto dei criteri di "adeguamento" ai modelli CobIT/ITIL/ISO27001 ai quali si ispira la società.
Non si può nascondere che, nella scelta finale, sono intervenute anche le giuste ed opportune valutazioni di adeguatezza dell'investimento finanziario agli scopi di progetto. A nessuno piace sprecare ...
Si può raffinare un po' la componente di reporting, ma nel complesso reputo la soluzione una buona scelta.
Nessun commento:
Posta un commento