DPS: opportunità per il miglioramento

Il punto è semplice: ogni Paese industriale deve la sua sopravvivenza a una molteplicità di "sistemi nervosi digitali" che a loro volta controllano o fanno funzionare i gangli vitali del sistema (energia, trasporti, banche, informazione, sanità). Se queste reti sofisticate saltano, perché strutturalmente insicure o mal protette, si possono verificare eventi negativi a catena (come il black-out elettrico del 28 settembre 2003) con conseguenze anche piuttosto gravi.

Si pensi a sistemi come quelli degli aeroporti, delle torri di controllo, dei radiofari: alle linee ferroviarie ad alta velocità sincronizzate da sofisticati sistemi di segnalazione. L'intera sicurezza di un Paese è oggi legata alla robustezza, a prova di disastro, dei sistemi digitali di comunicazione, sia tra esseri umani sia tra dispositivi e macchine, sia dentro il loro software.

Tuttavia l'attenzione collettiva è quasi sempre rivolta solo a ciò che è indispensabile, al minimo, come se la sicurezza fosse ingombrante, una imposizione e non un mezzo per tutelare il patrimonio informativo dell'impresa. Non tutelando i dati da accessi indesiderati, mantenendoli integri, esatti, disponibili quando richiesti, l'azienda si espone a diversi rischi. Secondo Paolo Attivissimo, autore del "l'acchiappavirus", piccolo manuale di sicurezza informatica per chi odia la sicurezza informatica, edito da Apogeo, è principalmente la mancanza di copie di sicurezza a provocare danni irreversibili quando si è vittima di un attacco. Attivissimo continua spiegando che anche i documenti Word possono contenere tracce imbarazzanti delle revisioni precedenti o che l'indirizzo e-mail del mittente è falsibicabile con estrema facilitè, quindi diffondere una "catena di Sant'Antonio" dal posto di lavoro a propria insaputa diventa un danno di immagine per l'azienda ma anche una potenziale responsabilità nei confronti della legislazione vigente in materia di tutela dei dati personali e del loro trattamento.

Alle imprese che fanno largo uso di dispositivi mobili, laddove è proprio necessario portare "fuori" dall'azienda i dati sensibili, suggerisco di utilizzare sistemi per cifrarli e renderli inutilizzabili a chi ne venisse in possesso in maniera illegale o accidentale. La sicurezza influenza, quindi, la qualità dei processi aziendali e i servizi erogati e incide anche sulla sua immagine e sulla sua reputazione. È perciò un tratto distintivo della cultura organizzativa di ogni impresa. Inoltre, la soddisfazione dei bisogni di sicurezza e riservatezza condiziona la fiducia dei consumatori che è alla base della propensione ad accettare le innovazioni.

La linea generale è quella di proteggersi da Internet, come se tutti i mali venissero dalla grande rete mondiale, in verità, da diversi studi, emerge che la maggior parte degli attacchi o dei ricatti connessi a furto di dati, provengono dall'interno dell'organizzazione che ne è vittima. Un impiegato corrotto, magari da una azienda concorrente, può distruggere o sottrarre dati strategici, arrecando un danno irrimediabile, o sottoponendo l'azienda a ricatto economico. Questo purtroppo è inevitabile, chi conosce il sistema, sa come funzione, come abbatterlo, come indebolirlo. Un buon consulente per la sicurezza è comunque in grado di indicare ai responsabili dell'azienda le "best practices" adeguate per ovviare anche a questi pericoli, difficilmente arginabili dall'antivirus di turno a 100 euro tutto compreso o dalla scatola magica quasi munita di intelligenza autonoma che comunemente si ritiene sia il firewall.

Sul fronte sicurezza è altrettanto importante anche possedere un piano per il disaster recovery, cioé le procedure da adottare nel caso di perdita parziale o totale di dati o compromissione del sistema informativo (esteso anche a quello che apparentemente non è un computer, come appunto telefonia VoIP o sistemi di telecontrollo). Da una ricerca internazionale condotta da Dynamic Markets emerge poco più del 10% dei manager intervistati ammette di essere coinvolto nel processo di sviluppo delle strategie di disaster recovery e che sono circa l'85% le aziende che hanno subito, nel corso dell'ultimo anno, un fermo imprevisto ai sistemi informativi.

La ricerca mostra che nonostante il numero delle aziende che sviluppano piani di disaster recovery cresca di anno in anno, la mancanza di manutenzione programmata è una carenza allarmante: il 57% revisiona i piani di disaster recovery solo con cadenza annuale o meno, mentre un allarmante 6% non esegue mai alcuna revisione.

In Italia, principalmente per mancanza di tempo e di fondi, e in misura inferiore perché un collaudo provoca potenziali disagi per i dipendenti, le procedure di tutela dei sistemi informativi non vengono tenute nella dovuta considerazione. Alcune aziende si dichiarano impegnate in progetti di analisi per mettere in sicurezza i sistemi informativi, altre non prendono in considerazione nemmeno semplici applicativi che permettono di proteggere i dati sui computer portatili o effettuarne la copia periodica dei dati.

Nonostante il ruolo chiave che la protezione dei dati riveste per il business di qualsiasi azienda, le decisioni relative ai piani di disaster recovery, di Documento Programmatico sulla Sicurezza, e in generale di sicurezza informatica, sono ancora oggi, nell'85% delle realtà italiane, esclusivo appannaggio dei responsabili IT. I vertici aziendali non risultano essere coinvolti (interessati) in queste scelte.

L'opportunità di miglioramento è quindi l'obbligo, per molte imprese che trattano dati personali, di predisporre ogni anno un documento programmatico sulla sicurezza, basato sull'analisi dei rischi che incombono sui dati, sull'individuazione delle contromisure da adottare per ridurli al minimimo e, per chi è tenuto, sul fatto di riferire o di avere compilato o aggiornato il documento, nella relazione accompagnatoria del bilancio di esercizio.

Privacy Policy