Modello per i responsabili della protezione dei dati
da R. Olschewsk
Il principio del doppio controllo significa che le misure importanti non devono essere di esclusiva responsabilità o eseguite da una sola persona. L'obiettivo è quello di limitare gli errori e le opportunità di abuso, poiché la probabilità che una sola persona sia compromessa è più alta di quella che due persone lavorino insieme in modo improprio.
Il principio del doppio controllo deriva originariamente dalla gestione della qualità e dall'autenticazione, ma sta diventando sempre più importante anche nell'ambito della protezione dei dati.
L'esempio classico di questo principio è la cosiddetta seconda opinione nel campo delle decisioni mediche. Tuttavia, le procedure di controllo duale si trovano anche nel settore bancario e nella pubblica amministrazione.
Per il responsabile della protezione dei dati, il principio del doppio controllo è particolarmente importante quando si progetta un concetto di diritti e ruoli, soprattutto per quanto riguarda i diritti di amministratore e la verifica dei processi di cancellazione.
Il principio del doppio controllo può essere stabilito, ad esempio, nelle linee guida aziendali per la protezione dei dati, in modo che quando si archiviano le e-mail si faccia attenzione a garantire che l'accesso possa essere concesso solo se due amministratori sono connessi. D'altro canto, l'attuazione di questo principio comporta il rischio che i controlli vengano eseguiti in modo superficiale, affidandosi l'uno all'altro. Per questo motivo, nell'ambito del principio del doppio controllo, è necessario mantenere una struttura organizzativa gerarchica.
I software standard come SAP hanno stabilito il principio del doppio controllo per la modifica degli infotypes, in particolare per gli infotypes HR, per mezzo dei cosiddetti indicatori di blocco. Ciò significa che un record di dati esiste, ma diventa completo solo quando un altro titolare di diritti sblocca questo record di dati. Il processo può essere pianificato in una variante simmetrica e asimmetrica.
Nella variante asimmetrica, un utente può creare, modificare e cancellare i record di dati, che inizialmente vengono automaticamente bloccati. L'altro utente può bloccare e sbloccare i record a sua volta. Non appena l'utente B sblocca i record, l'altro utente non può più modificarli. Ciò sarebbe nuovamente possibile solo se l'utente B li blocca.
Nella variante simmetrica, entrambi gli utenti hanno gli stessi diritti, ma in modo trasversale, cioè il rilascio non può essere effettuato dalla persona che ha creato i record di dati.
Le aziende dovrebbero esaminare le possibilità di utilizzare il principio del doppio controllo per le procedure di trattamento dei dati sensibili e implementarlo ove necessario.
Ulteriori informazioni:
- bsi.bund.de/ContentBSI/grundschutz/kataloge/m/m04/m04129.html
- bsi.bund.de/SharedDocs/Downloads/DE/BSI/ISRevision/Leitfaden_IS-Revision-v2_pdf.pdf?__blob=publicationFile