|
UNIRE ETICA ED ECONOMIA
MANCANO I MODELLI GIUSTI
NON C’È PRIVACY SENZA SICUREZZA
LA PROTEZIONE DEL PATRIMONIO INFORMATIVO
NON C’È PRIVACY SENZA SICUREZZA
LA PROTEZIONE DEL PATRIMONIO INFORMATIVO
La continuità operativa indispensabile all’attività aziendale
 Renato Romano
Componente Giovani Imprenditori Assindustria Salerno
r.romano@amalfinet.it
Non c'è privacy senza sicurezza: raramente si riesce a esprimere con sintesi ed efficacia un concetto così importante. A nulla serve essere estremamente scrupolosi nel trattamento dei dati inviando informative, acquisendo consensi e autorizzazioni, aggiornandoli con maniacale puntualità, se si lasciano poi incustoditi sulla scrivania i supporti contenenti i dati, alla mercé di chiunque possa entrare in ufficio. Non a caso si è introdotto un esempio che prescinde dal trattamento informatico: la questione sicurezza non riguarda, infatti, i soli dati trattati elettronicamente. Tale aspetto è oggi certo di primaria importanza, ma non è l'unico. La sicurezza si ottiene anche con l'uso dei vecchi lucchetti e delle pesantissime casseforti, e con la vigilanza delle strutture esterne.
Ma non ci si può fermare neppure qui, perché si è finora parlato delle misure di sicurezza fisiche, accennato a quelle logiche legate all'informatica, ma si è dimenticato l'aspetto più importante: le misure organizzative, il cui fine è di fare in modo che l'intera struttura adotti comportamenti conformi ai principi della sicurezza e, più in generale, della privacy. Il processo della sicurezza richiede che, prima ancora di pensare all'adozione delle concrete misure, vengano definite una serie di norme e procedure miranti a regolamentare gli aspetti organizzativi del processo medesimo, con riferimento alla definizione di ruoli e all'adozione di specifiche procedure. Il nuovo codice della privacy con gli artt. 34 e 35 qualifica come misura minima di sicurezza, che deve quindi essere obbligatoriamente adottata da tutti i soggetti che trattano dati personali, l'aggiornamento periodico dell'individuazione dell'ambito di trattamento consentito ai singoli incaricati, agli addetti alla gestione o manutenzione degli strumenti elettronici. Nel relativo disciplinare tecnico, le misure minime di sicurezza da adottare dipendono dal combinarsi di due variabili: la natura dei dati e gli strumenti che vengono utilizzati per il loro trattamento. Un passaggio fondamentale è l'analisi dei rischi legati alla gestione dei dati, che deve essere formalizzata nei casi in cui il titolare è tenuto alla redazione del documento programmatico di sicurezza, uno dei punti del quale è costituito dall'analisi dei rischi che incombono sui dati (punto 19.3 del disciplinare tecnico). Anche nei casi in cui non si è tenuti a redigere tale documento, è comunque opportuno procedere a una formalizzazione dell'analisi dei rischi, alla luce della quale si potrà poi valutare l'idoneità dei sistemi di sicurezza già adottati, e di quelli di cui si intende procedere all'adozione.
Gli ultimi studi comparativi tra USA ed UE hanno dimostrato che se l'informatizzazione spinta è il reale e necessario supporto all'evoluzione aziendale per poter beneficiare di consistenti aumenti di produttività, allora si può affermare che la sicurezza rappresenta ciò che ne garantisce la sua durata e costanza nel tempo. La tutela dei dati sensibili contro attacchi informatici o anche da improvvise interruzioni (down) dei sistemi (a causa di black out o di un semplice calo di tensione elettrica) diventa dunque fondamentale per le imprese, qualunque sia la loro dimensione. Se fino a qualche anno fa le aziende che proteggevano il proprio patrimonio dati erano poche, oggi la corsa alle misure di protezione assume un carattere d'urgenza a tutti i livelli. Con la nuova normativa, espressa nel Testo Unico delle disposizioni in materia di privacy e di dati personali, vengono rafforzate, in un quadro di evoluzione tecnologica, le misure di sicurezza contro i rischi di distruzione, intrusione o uso improprio. Con l'entrata in vigore del nuovo codice della privacy, a partire dal 1° gennaio 2004, il quadro delle misure di sicurezza che devono essere adottate nel trattamento dei dati personali, cambia profondamente, ferma restando la distinzione tra misure idonee, la cui inosservanza espone alla responsabilità per danni, e misure minime, dalla cui mancata adozione conseguono addirittura responsabilità di ordine penale. Molti sono gli argomenti di discussione su tali temi ma quello che più conta oggi è la "business continuity" (la cosiddetta continuità operativa).
Penso, ad esempio, ai fermi di svariati giorni, come nel caso di un collega rimasto senza server principale per la rottura dell'alimentatore o il caso del tritovagliatore di Giffoni al palo per la rottura di un bullone. Nel disciplinare tecnico del TU, per i dati sensibili e giudiziari, il punto 23 aggiunge la prescrizione per cui l'organizzazione deve essere in grado di provvedere in ogni caso al ripristino dei dati entro sette giorni: in talune circostanze, ciò può comportare la necessità di implementare un vero e proprio piano di continuità operativa, con particolare riferimento alle ipotesi in cui la perdita dei dati sarebbe di rilevante nocumento per le persone cui essi si riferiscono (ad esempio, il caso delle cartelle cliniche). In passato l'AIPA (Autorità per l'Informatica nella P.A.) e a marzo 2004 il CNIPA (Centro Nazionale per l'Informatica nella P.A.) hanno definito le linee guida per lo sviluppo di un piano di business continuità. Lo scopo è garantire la continuità dei processi dell'Organizzazione in funzione del loro valore e della qualità dei prodotti/servizi erogati tramite il supporto dell'infrastruttura di ICT, prevenendo e minimizzando l'impatto di incidenti intenzionali o accidentali e dei conseguenti possibili danni, dai malfunzionamenti hardware agli atti di vandalismo, perpetrati da intrusori informatici o semplici dipendenti. Il Piano di Continuità Operativa deve garantire la continuità e la disponibilità degli strumenti e dei dati in ipotesi di danneggiamenti causati da eventi accidentali, sabotaggi, disastri naturali. L'obiettivo è poter ripristinare i servizi informatici entro un tempo prestabilito, in funzione dei livelli di servizio attesi, e di rendere minime le perdite causate dall'interruzione dell'attività. Ciò significa che il piano non deve essere inteso quale misura alternativa a quelle di prevenzione, ma come un completamento di queste ultime. Non sempre è evidente che le transazioni commerciali con l'ausilio di strumenti elettronici comportano dei rischi. Senza le dovute precauzioni la semplice connessione a Internet potrebbe compromettere una delle principali ricchezze della vostra azienda: il patrimonio informativo. Le violazioni della sicurezza via telematica possono provocare danni rilevanti mediante virus, malware (malicious software), spyware, dialer, mancati updates, e altri ancora. Per la sicurezza dell'azienda cinque sono gli elementi chiave: l'identità, la sicurezza perimetrale, la privacy dei dati, il monitoraggio della sicurezza e la gestione delle politiche. Non si tratta di un problema che si risolve con un prodotto, ma facendo formazione, come peraltro previsto dal documento programmatico sulla sicurezza. Ci si dovrà concentrare prima di tutto su questo aspetto, altrimenti si rischia solo di spendere un mucchio di soldi e di portare a casa mere illusioni, per poi restare amaramente scottati al primo problema serio in cui si può incorrere. Ma cos'è esattamente la sicurezza? Una sensazione, «mi sento sicuro», oppure una situazione oggettiva, «qui finalmente siamo al sicuro», oppure «questa cosa è sicura»? Sembrerà strano ma di sicurezza si parla tanto più spesso quanto più frequentemente la stessa viene "violata". Gli anni '80 e '90 hanno visto nascere e crescere a dismisura il mondo dell'informatica. Come si chiama quella azienda di Redmond che sosteneva la tesi di “Un computer in ogni casa"? Oggi che i sogni di Mr. Bill Gates si sono avverati, noi come ci proteggeremo?
|
