Applicare la protezione e la sicurezza dei dati

b3: Consigliare i clienti in materia di protezione e sicurezza dei dati

Gli informatici e le informatiche consigliano i clienti sul modo di trattare i dati sensibili e propongono soluzioni per l’attuazione di misure di protezione: a tal fine chiariscono la situazione in materia di sicurezza presso il committente ponendo domande mirate sui sistemi, le reti, i software e i dati. Sulla base delle informazioni ottenute, propongono le misure di protezione necessarie e raccomandate per gli ambiti esaminati. Creano una presa di coscienza nel committente per quanto concerne i pericoli legati alla rete e al trattamento dei dati sensibili. Per adempiere questi compiti, si informano continuamente sulle modifiche apportate al quadro giuridico/alle prescrizioni legali applicabili nella fattispecie. Se necessario, formano i collaboratori nell’applicazione delle direttive informatiche proprie dell’azienda.

c3: Pianificare, implementare e documentare la sicurezza e la protezione dei dati per soluzioni ICT

Gli informatici e le informatiche pianificano misure relative alla sicurezza e alla protezione dei dati, le implementano e le documentano: identificano dapprima i dati sensibili e li categorizzano. Modellano poi i dati sensibili secondo il principio di Privacy by design. Chiariscono i meccanismi di protezione necessari secondo la sensibilità dei dati e li qualificano. In questo contesto, tengono conto del quadro legale (RGPD tra gli altri) e lo applicano in funzione della situazione. Su questa base, elaborano un concetto di sicurezza dei dati e di ruoli conformemente al mandato, lo documentano e lo attuano (p. es. creare un backup, implementare le autorizzazioni di accesso, cifrare i dati).

d1: Garantire la sicurezza dei terminali e dei dati

L'operatore/trice applica le direttive di sicurezza (password, antivirus, cifratura), sensibilizza gli utenti ai rischi (phishing, ingegneria sociale), monitora le segnalazioni e reagisce agli incidenti secondo le procedure.

d2: Effettuare backup e ripristini

L'operatore/trice pianifica le strategie di backup (incrementale, completo, frequenza), esegue i backup, verifica la loro integrità, testa regolarmente i ripristini. Tiene un giornale delle operazioni conforme ai requisiti della LPD.

f6: Implementare, documentare e verificare la sicurezza dei sistemi server e dei loro servizi

Gli informatici e le informatiche implementano, documentano e verificano la sicurezza dei sistemi server e dei loro servizi: in un primo tempo, elaborano un concetto di sicurezza conforme alle esigenze degli stakeholder. Tale concetto descrive i rischi possibili e i sistemi/metodi di sicurezza appropriati per garantire una protezione informatica di base (p. es. firewall, software antivirus, autorizzazioni, autenticazione unica [SSO]). A tal fine, lavorano in squadra e fanno appello, se necessario, a partner. Applicano le best practice alle soluzioni utilizzate. Configurano gli elementi di sicurezza definiti e ne testano l’efficacia. A intervalli regolari, effettuano test di sicurezza durante il funzionamento e documentano i risultati in modo comprensibile. Si informano regolarmente sugli sviluppi tecnologici dei sistemi di sicurezza (p. es. MELANI, CVE) e adattano i loro concetti.

f8: Stabilire e attuare concetti di backup e archiviazione dei dati

Gli informatici e le informatiche stabiliscono e attuano concetti di backup e archiviazione dei dati. Garantiscono in tal modo la disponibilità a lungo termine dei dati: in concertazione con gli stakeholder, definiscono i dati (p. es. dati utenti, di configurazione, di sistema, di registrazione) da salvaguardare e archiviare. Stabiliscono poi un concetto di backup (concetti di ripresa e di ripresa dopo sinistro inclusi) e/o un concetto di archiviazione. Adottano un approccio globale: tengono conto del ciclo di backup, delle durate di conservazione dei dati e delle esigenze di conformità. Definiscono altri aspetti determinanti quali periodicità, dimensione, tipo di media, autorizzazioni e accessi. Rispettano inoltre le prescrizioni legali applicabili alla protezione dei dati (p. es. RGPD).

e4: Implementare, documentare e verificare la sicurezza delle reti

Gli informatici e le informatiche implementano, documentano e verificano la sicurezza delle reti. Garantiscono in tal modo che i sistemi critici siano protetti in modo appropriato contro gli attacchi o le infezioni: analizzano dapprima i potenziali rischi in materia di sicurezza della rete e li valutano. A tal fine, utilizzano strumenti attuali e specifici alla gestione (p. es. scanner di porte). Su questa base, concepiscono le misure di sicurezza fisiche e sistemiche nella rete locale (e1). Attuano le misure di sicurezza pianificate implementando servizi e componenti di sicurezza (p. es. firewall, VPN, NAT, VLAN, DMZ). Infine, testano le misure di sicurezza in modo sistematico e ne documentano il funzionamento.