Passa ai contenuti principali

Come smaltire in sicurezza i documenti cartacei.

Aziende, enti, liberi professionisti e privati cittadini spesso trascurano di smaltire in maniera corretta i documenti cartacei, eppure tante attività di HUMINT (acronimo di HUman INTelligence) si basano proprio sul recupero di materiale cartaceo smaltito in maniera scorretta, non avete idea di quante informazioni interessanti si possono ottenere rovistando nella spazzatura della persone e in effetti questa è una delle prime attività che viene assegnata alle reclute delle agenzie di intelligence. 

Per questo occorre adottare una procedura per il corretto smaltimento dei documenti cartacei. I rischi sono che dati personali di natura particolare, numeri di carte di credito, password appuntate, dati giudiziari possano essere facilmente recuperati e utilizzati da soggetti non autorizzati al trattamento per scopi fraudolenti o illegali. Inoltre lo smaltimento o il recupero non deve recare pregiudizio all'ambiente, in Italia la materia è disciplinata dal D. Lgs. 152/2006. Ecco alcuni suggerimenti:

  • Ogni ufficio deve identificare i documenti da smaltire e verificare che non contengano dati personali.
  • I documenti che contengono dati personali vanno distrutti separatamente attraverso una macchina tritura documenti, ne esistono di economiche anche per uso personale a partire da circa 30 euro. La macchina deve essere commisurata alla quantità di documenti prodotti dall'ufficio. Anche il sistema di triturazione incide sull'efficacia dell'operazione di distruzione. Oltre alla triturazione esistono anche altri metodi di distruzione quali l'incenerimento e la dissolvenza chimica.
  • Nel caso di grandi volumi di documenti è meglio servirsi di un apposito servizio di smaltimento che poi rilascerà la certificazione della distruzione.
  • Cose da NON fare, buttare i documenti nei cassonetti per lo smaltimento della carta senza controllare o peggio, dove esiste la raccolta porta a porta, lasciare cataste di documenti per strada alla mercé di chiunque passi.
Altri suggerimenti utili per il trattamento di dati personali senza l’ausilio di strumenti elettronici:
  • I documenti contenenti dati personali non devono essere portati al di fuori dei locali individuati per la loro conservazione o, addirittura, all’esterno del posto di lavoro se non in casi del tutto eccezionali e per il tempo strettamente necessario, previa autorizzazione dell’organizzazione; qualora tale evenienza dovesse presentarsi i documenti non devono essere mai lasciati incustoditi;
  • i documenti contenenti dati personali non devono essere mai lasciati incustoditi sul tavolo e, al termine dell’orario di lavoro, devono essere riposti negli spazi di archiviazione individuati per la loro conservazione;
  • è necessario adottare ogni cautela necessaria ad evitare che persone non autorizzate possano venire a conoscenza del contenuto di documenti contenenti dati personali;
  • per evitare il rischio di diffusione dei dati personali è opportuno limitare il ricorso a fotocopie (anche se non perfettamente riuscite) contenenti dati personali o informazioni aziendali riservate e portarle all’esterno dell'organizzazione, anche come carta per appunti;
  • particolare cautela deve essere adottata quando i documenti sono consegnati in originale a un altro incaricato debitamente autorizzato;
  • i documenti contenenti dati personali di natura particolare o dati che, per una qualunque ragione, siano stati indicati come meritevoli di particolare attenzione, debbono essere custoditi con molta cura;
  • è vietato discutere, comunicare o comunque trattare dati personali per telefono, se non si è certi che il destinatario sia un incaricato autorizzato a poter trattare i dati in questione;
  • si raccomanda vivamente di non parlare mai ad alta voce trattando dati personali per telefono, soprattutto utilizzando telefoni cellulari, ciò al fine di evitare che – anche accidentalmente – tali dati possano essere conosciuti da terzi non autorizzati.
Etichette:

Commenti

Posta un commento

Post popolari in questo blog

CISO e DPO: interazione e compatibilità tra due figure strategiche nella difesa dei dati

Col recepimento della NIS2 in attuazione della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di sicurezza informatica nell'Unione, sentiremo sempre più spesso parlare della figura professionale del CISO che è l'acronimo inglese di Chief Information Security Officer. In questo articolo esaminiamo il rapporto tra questa figura attinente alla sicurezza informatica e quella del Responsabile della protezione dei dati RPD conosciuto anche con l'acronimo di DPO (Data Protection Officer) come disciplinato dal Regolamento europeo sulla protezione dei dati personali (UE) 2016/679. Diciamo subito che entrambe sono figure che operano nell'ambito della sicurezza dei dati, con ruoli distinti ma complementari. Ecco una panoramica di ciascun ruolo e delle loro possibili interazioni. Ruolo del CISO: Il CISO è responsabile della sicurezza delle informazioni e dei sistemi aziendali. Si occupa della gestione dei rischi legati alla sicurezza informatica, della...
Posta un commento
Continua a leggere »

Cancellazione sicura: la sanificazione dei dati informatici

La sanificazione è un punto importante del ciclo di vita del dato: quando il dato giunge al termine del suo ciclo vitale ovvero quando è diventato inutile, obsoleto o ridondante è essenziale poterlo dismettere in modo sicuro facendo in modo che non sia possibile per nessuno poterlo ricostruire in alcun modo. Formattare i dischi da smaltire non basta, è come buttare nel cassonetto un libro strappando solo la pagina dell'indice, il primo che passa potrebbe recuperarlo e leggerlo. I vostri dati sono tutti al loro posto pronti per essere ripristinati. Secondo un'indagine condotta da uno dei maggiori produttori mondiali di HD sulla vendita online di supporti di memorizzazione usati è stato possibile recuperare integralmente il contenuto di questi hard disk ben 7 volte su 10. Molti dati personali vengono recuperati da supporti digitali smaltiti in modo superficiale. In cosa consiste la sanificazione dei dati? Si definisce sanificazione dei dati quel processo attraverso il qua...
Posta un commento
Continua a leggere »

Chiamate vocali a prova di intercettazione con Signal

Di tanto in tanto mi capita di scorrere la lista di coloro tra  miei contatti che sono iscritti a Signal, l'applicazione voip gratuita e open source basata sulla crittografia end-to-end lanciata nel 2014 dall'organizzazione no profit Open Whisper Systems, e mi dolgo davvero di quanto pochi essi siano soprattutto se paragonati con quelli iscritti alla più popolare app di messagistica di Meta, ovvero la maggior parte di loro. Anarchico, hacker, crittografo, maestro d'ascia, skipper, Moxie Marlinspike, il fondatore del servizio Signal, è convinto che il progresso tecnologico debba andare di pari passo con la sicurezza degli utenti. Così intorno alla sua "creatura" è nata una community di persone che mettono la privacy al primo posto. Tra questi anche Edward Snowden il whistleblower ex consulente dell'NSA, l'agenzia per la sicurezza nazionale degli Stati Uniti, che nella primavera del 2013 divulgò una serie di informazioni classificate sui piani di sorveglian...
Posta un commento
Continua a leggere »