Utilizzo strumenti informatici. Le linee guida dell’INPS

Premessa - A causa delle molteplici misure tecnologiche e organizzative introdotte dall’INPS a garanzia dell’integrità e della riservatezza dei dati e delle transazioni informatiche, è necessario ora che il livello di rischio debba essere ulteriormente ridotto intervenendo anche sulle regole comportamentali in relazione all’uso degli asset informatici, richiamando le regole del loro impiego e monitorando la loro applicazione. Pertanto, con la circolare n. 135 di ieri l’INPS porta a conoscenza di tutto il personale dell’Istituto le norme sull’utilizzo delle strumentazioni e delle procedure informatiche che ciascun dipendente è tenuto ad osservare.

Tracciatura dei log – Innanzitutto, l’Istituto previdenziale invita a tutte le Strutture di sottoporre a tracciatura - log - tutte le transazioni informatiche, conservando altresì i log di navigazione internet e di posta elettronica, al fine di difendere il proprio patrimonio informativo e individuare eventuali utilizzi illeciti e/o fraudolenti. A tal fine, tenuto conto che tali log sono consultabili solo dagli amministratori di sistema – specificamente incaricati secondo la normativa vigente - esclusivamente su richieste collegate ad azioni relative a finalità investigative per la repressione di illeciti o su richiesta delle autorità inquirenti, è stato predisposto il documento “Disciplinare per l’utilizzo degli strumenti informatici”, a cui tutto il personale dovrà attenersi.

Disposizioni generali – Si riportano a titolo esemplificativo alcune delle disposizioni generali contenute nel documento su citato: il personale è responsabile di tutte le attività che svolge utilizzando le risorse informatiche dell’Istituto assegnate (computer, telefono, procedure informatiche, ecc.), il cui utilizzo deve sempre ispirarsi al principio di diligenza e correttezza. In particolare, il PC (postazioni fisse e notebook) deve essere utilizzato esclusivamente per scopi professionali ed in relazione alle attività di presidio del proprio ruolo; è necessario assicurarsi che il software antivirus sia installato e attivo; in caso di furto o smarrimento di risorse informatiche o di supporti contenenti dati dell’Istituto, oltre che presentarne denuncia alle autorità di pubblica sicurezza, l’utente deve tempestivamente darne comunicazione anche alla DCSIT; l’utente del servizio di posta elettronica è tenuto ad adottare comportamenti mirati ad evitare l’utilizzo della posta elettronica dell’Istituto per motivi personali; pur essendo consentito l’acceso web a caselle di posta personali, i dipendenti sono tenuti a evitare il download di allegati che possono essere veicolo di virus o di elementi dannosi per l’integrità del sistema informativo; il dipendente ha l’obbligo di segnalare la ricezione di messaggi con contenuto potenzialmente pericoloso alle strutture preposte; non è consentito condividere la propria casella personale con collaboratori esterni; è vietato scaricare sulla propria postazione di lavoro software, file e qualsiasi tipologia di materiale multimediale che viola, o per mezzo dei quali può essere violata, la normativa in tema di diritto d’autore; non è consentito utilizzare e duplicare software senza un’idonea licenza all’uso né installare software gratuiti (freeware o shareware), se non con preventiva autorizzazione di DCSIT.

Monitoraggio – L’azione di monitoraggio è svolta dalle Direzioni regionali attraverso i Gruppi regionali di assistenza informatica e dalla Direzione Centrale Informativi e Tecnologici mediante l’utilizzo di sistemi automatizzati. Inoltre, nell’ambito della DCSIT opera una struttura funzionale denominata IRT (Incident Response Team), con compiti di ricezione, analisi e gestione delle segnalazioni pervenute dagli utenti per sospette violazioni di sicurezza.