Il tema del controllo fisico degli accessi riscuote sempre molto interesse, in quanto spesso trascurato come misura sia tecnica che organizzativa. Eppure anche la ISO/IEC 27001:2013 dedica una serie di controlli specifici (A11 Sicurezza fisica ed ambientale) e nello specifico A 11.1 Aree sicure) le cui linee guida sono definite nei controlli da 7.1 a 7.6 (con esclusione di 7.4)della ISO/IEC 27002:2022. In questo articolo si vogliono fornire indicazioni in merito alle misure da porre in essere mutuiate anche dalla ISO/IEC 27001:2013 supportata dalla linea guida ISO/IEC 27002:2022; mentre la ISO/IEC 27701 non richiede specifici requisiti aggiuntivi.

Non sono trattate dall’articolo le misure da porre in essere per prevenire i danni causati da minacce ambientali quali incendi, terremoti, ed altri eventi naturali.

Il controllo degli accessi – Le misure per il controllo degli accessi sono volte a vietare a persone non autorizzate di accedere a locali, edifici o locali in cui sono trattati dati personali. alla luce della costante innovazione tecnologica si potrebbe intendere che tali accessi devono essere inibiti a dispositivi elettronici quali robot e droni. Le misure definite possono essere sia tecniche che organizzative.

Le misure sono da definire in relazione ad uno specifico perimetro fisico; un’organizzazione con più sedi o più accessi previsti in una sede, potrebbe definire misure diverse a seconda dei trattamenti effettuati.

Le misure tecniche da considerare sono:

– Serrature di sicurezza dotate di chiave master per accesso alla sede/sedi, locali, archivi, armadi, casseforti
– Sistemi di sicurezza a codice, dotate di smart card/badge, protetti da caratteristiche biometriche;
– Sistemi di allarme, rilevatori di movimento e barriere fotoelettriche;
– Sistemi automatici che bloccano l’entrata a chi non risulta uscito dalla sede/locale;
– Sistemi di videosorveglianza e videoregistrazione;
– Presenza di recinti, cancelli ed altri elementi per limitare i confini spaziali (quindi non solo sul terreno), verifica dello stato di integrità delle recinzioni;
– Presenza di sistemi per la messa in sicurezza di porte, finestre, tombini, sistemi di fognatura, porte/uscite di emergenza, passi d’uomo, aree di carico e scarico;
– Aree di carico e scarico configurate in modo tale che il personale addetto alle consegne non possa accedere ad altre parti della sede; per tali aree prevedere che le porte interne siano inaccessibili quando le esterne sono aperte
– Sistemi di schermature magnetiche, pareti fonoassorbenti
– Aree dedicate e percorsi separati per gli ambienti accessibili al pubblico ed eventualmente ai fornitori (non solo ai responsabili del trattamento).

Le misure definite che utilizzano l’energia elettrica per funzionare, devono essere dotate di batterie tampone ed il loro stato di efficienza deve essere verificato ad intervalli (secondo quante previsto dallo scadenziario), così come deve essere prevista la sostituzione delle batterie tampone e la verifica che queste entrino subito in esercizio nel caso di assenza di alimentazione.

Le misure organizzative da considerare possono essere suddivise in alcune categorie.

Misure procedurali

– Procedure per ingresso, la dimissione, il cambio mansione e le lunghe assenze che contemplano anche la consegna, ritiro, modifica e sospensione dei privilegi accordati
– Procedura per la qualifica iniziale e dinamica dei fornitori a cui sono assegnati privilegi di accesso ad aree e locali;
– Procedure per la gestione in forma controllata di chiavi, smartcard, badge, telecomandi, identificatori biometrici;
– Procedure per la gestione di interventi straordinari es manutenzioni, traslochi e azioni di controllo poste in atto con piani dedicati;
– Procedure per la verifica delle misure tecniche (es. funzionamento sistemi di allarme);
– Procedure per la segregazione, l’ispezione e l’eventuale presenza di manomissioni del materiale in arrivo ed in consegna prima che il materiale sia spostato nelle aree di scarico e carico e sia prevista la registrazione.

Misure di controllo/audit

– Verifica ad intervalli, per i dipendenti e fornitori, dei privilegi di accesso ad aree e locali sulla base del ruolo ricoperto (verifica nominativo/privilegi in base alla funzione ricoperta);
– Verifica ad intervalli della correttezza dei privilegi previsti per il personale in base a ruolo ricoperto (verifica funzione/privilegi);
– Verifica ad intervalli della reale necessità di accesso da parte dei fornitori alle aree aziendali;
– Controllo a campione, senza preavviso, dei permessi previsti per personale presente in una determinata area/piano;
– Pianificazione ed esecuzione di audit sulla gestione degli accessi.

Misure sotto forma di istruzioni da fornire al personale

– Istruzioni per i visitatori sui corretti comportamenti da assumere all’interno dell’organizzazione – es. divieto di effettuare fotografie e video;
– Analoghe istruzioni per i fornitori – che hanno la responsabilità di istruire a riguardo il proprio personale;
– Analoghe istruzioni per i dipendenti sui comportamenti da tenere in presenza di visitatori – ad esempi non possono mai essere lasciati da soli;
– Obbligo per tutti i soggetti che accedono ad aree e locali aziendali di portare sempre un documento di identità.

Altre misure

– Procedure per la gestione dei materiali in uscita (non necessariamente limitata all’HW);
– Regole specifiche per alcune aree ad elevato rischio (ad esempio sala CED con divieto di introdurre smartphone o PC non autorizzati);
– Tenuta sotto controllo delle rubriche degli elenchi con i dati di contatto del personale (ad esempio presenti sulla intranet aziendale);
– Regolamentare le informazioni che i dipendenti e collaboratori possono fornire in merito alla loro presenza sui social professionali – ad es. Linkedin (ragione sociale organizzazione e/o ruolo ricoperto e/o progetti sui quali sono stati coinvolti, ecc.);
– Registrazioni degli accessi alle aree e locali (registro cartaceo/elettronico); identificazione dei tempi e responsabilità per la conservazione di tale registro;
– Limitazione/annullamento dei badge – senza scadenza – dati ai fornitori, preferire badge con scadenza ad intervalli o badge dedicato per ogni accesso
– Aree di carico e scarico devono essere accessibili solo a personale autorizzato; deve essere vietato al personale addetto alle consegne di accedere ad altre parti della sede;
– Nei contratti con i fornitori, che hanno il permesso di accedere alla sede con badge (senza scadenza o scadenze ad intervalli) dell’organizzazione e della regolamentazione dei badge affidati ai propri collaboratori
– Regolamentazione per
# Presenza di custodi, guardie giurate, personale di sicurezza e di vigilanza;
# Presenza di accoglienza per il controllo e la registrazione dei visitatori, obbligo di esibire un documento di identità o di lasciarlo all’accoglienza, in fase di registrazione;
# Dotare di badge univoco – numerato – che potrebbe prevedere anche la fotografia del volto – i visitatori ed i fornitori (es. personale impresa di pulizie); il badge deve essere obbligatoriamente esposto;
# Dotare di badge il personale interno all’organizzazione – che potrebbe prevedere anche la fotografia del volto – il badge deve essere obbligatoriamente esposto.

Per quanto possibile tali misure devono basarsi sul principio dei “principio dei quattro occhi” (separatezza delle diverse funzioni, verifiche incrociate, controllo duplice, doppie firme, ecc.).

Le misure indicate possono essere ulteriormente affinate. Ad esempio:

– I badge per il personale, i visitatori ed i fornitori potrebbe prevedere dei colori diversi sulla base dei luoghi a cui è permesso l’accesso sulla base dei privilegi accordati – ad esempio ad ogni piano della sede dell’organizzazione è associato un colore ed il badge è del colore/colori dei piani a cui è permesso l’accesso sulla base dei privilegi accordati;
– I permessi di accesso ad aree e locali che sono accordati ai dipendenti ed ai fornitori non sono rinnovati automaticamente, ma devono essere riassegnati alla scadenza.

Le misure definite devono essere documentate, ad esempio nel MOP, ciò non solo per fornire un criterio di audit ma per date evidenza alle parti intessete, tra cui anche l’organo di controllo e l’Autorità che tali misure sono state pianificate, valutate in termini di efficacia e quindi documentate.

Conclusioni – Il tema degli accessi fisici e delle misure tecniche ed organizzative che possono essere poste in atto presenta sempre nuovi risvolti. Le misure poste in atto non sono ovviamente solo volte alla tutela dei dati personali ma più in generale al personale (ad esempio per prevenire il rischio di aggressioni), controllo ambientale (ad esempio per prevenire la presenza di cimici) ed ai beni aziendali (ad esempio per prevenire il rischio di furto, danneggiamento, atti vandalici). Tali misure hanno quindi una portata più ampia di quella prevista dal Regolamento EU 2016/679 (GDPR), peraltro la maggior parte delle imprese concepisce tali misure prevalentemente limitate a questo aspetto.