Identikit completo. La norma () obbliga le aziende a garantire "massima trasparenza". E questo significa non solo che dovranno registrare gli accessi degli amministratori di sistema a software e database, ma anche verificare almeno una volta l'anno che tutto sia corretto e dotarsi di un elenco che segnali l'identità e i compiti precisi di questi gestori. "D'ora in poi è necessaria un'identificazione della persona, un nome e un cognome, mentre prima questo non sempre avveniva, soprattutto se l'amministratore apparteneva a una società esterna", spiega Stefano Corsini, avvocato e consulente in diritto delle nuove tecnologie.
I rischi. Nel provvedimento si chiede anche che l'azienda scelga la persona adatta, tenendo in conto esperienza e conoscenze tecniche, ma anche l'"affidabilità". Perché, si sa, l'occasione può fare l'uomo ladro e, quando si maneggiano informazioni delicate, il pericolo esiste. "L'elenco degli amministratori funzionerà da deterrente", aggiunge Corsini, secondo cui però si potrebbe generare un cortocircuito perché "il titolare del trattamento, cioè l'azienda, deve vigilare su una persona con competenze informatiche eccellenti, che potrebbe riuscire a cancellare le sue tracce". Insomma, si riesce davvero a controllare il controllore?
Corazza di sicurezza. E' la tecnologia che può smascherare trucchi e irregolarità. "I software di controllo accesso permettono di ricondurre non solo al profilo di amministratore di sistema, che potrebbe invece essere usato come utenza di gruppo, ma anche alla persona fisica, all'individuo che è entrato nel sistema in quel momento preciso", spiega Elio Molteni, presidente dell'associazione italiana sicurezza informatica (Aipsi) e solution strategist di CA, azienda leader nel settore della security. Si formano così dei "diari" in cui vengono automaticamente annotati i movimenti dei gestori, con data, giorno e ora. "Con le nuove soluzioni tecnologiche si effettuano il controllo accesso, il log management e poi lo 'storage', cioè l'archiviazione dei dati", aggiunge Molteni.
Protezione a 360°. Le aziende quindi si devono proteggere non solo dagli attacchi che arrivano dall'esterno, con gli hacker e i virus sempre pronti a colpire, ma anche dalle insidie interne, come insegnano le "spiate" eccellenti all'Anagrafe tributaria (che nel 2006 riguardarono l'ex premier Prodi, sua moglie e tanti altri personaggi pubblici) o il caso di Giuliano Tavaroli, l'ex capo della "Security" di Pirelli-Telecom. Attrezzarsi però significa investire economicamente. E in tempi di crisi, con i conti in rosso e la produzione in calo, la sicurezza non diventa un lusso? Molteni non è d'accordo: "Gli amministratori di sistema sono delle mine vaganti per la privacy, ma anche per le aziende stesse, che hanno bisogno di proteggere i loro dati". Per esempio, dalla concorrenza. O dalle soffiate, in grado di far oscillare i titoli di borsa.
Tempistica e multe. Finora però non è stato così. Il Garante spiega che "le ispezioni effettuate in questi anni hanno messo in luce in diversi casi una scarsa consapevolezza da parte di organizzazioni grandi e piccole del ruolo svolto dagli amministratori di sistema". Secondo una ricerca di Net Consulting, mentre i settori Tlc, industria e finanza sono i più attenti alle normative sulla sicurezza informatica, seguiti a ruota dalla pubblica amministrazione - ai livelli centrali e poi locali - l'argomento è meno sentito nel "retail", vale a dire dalle società che si occupano della vendita. Per tutti però la molla principale a investire è una: doversi adeguare alla legge. Se non fosse sufficiente, basta pensare alle multe che rischia chi infrange le regole del Garante. Sanzioni che, tra l'altro, potrebbero essere aumentate, se verrà approvato il provvedimento contenuto nel decreto Milleproroghe, votato al Senato e ora al vaglio della Camera.
A seguito di una piccola proroga, la ns. azienda che aveva già pronta la documentazione per poter adempiere a questa scadenza, si è stoppata per qualche giorno al fine di meglio strutturare la formazione ai propri Clienti.
Infatti la proroga permetterà all'Ente di "SCEGLIERE" con cognizione di causa, la strada da intrapprendere.
- Formazione ?
- Esternalizzazione ?
- Altro ?
Ma soprattutto .. verrà richiesto uno studio della propria situazione informatica, la programmazione anche a livello pluriennale degli investimenti relativi all'informatica, quindi alla profilazione, alla sicurezza e alla tracciabilità delle operazioni effettuate.
Ripreso da: www.repubblica.it & integrato dalla ns. redazione.
In caso di interesse, per coloro che NON hanno sottoscritto il canone di DPS on line (i ns. Clienti saranno tenuti al corrente di ogni ns. azione), possono scriverci a info@sireinformatica.it
News inserita il 23/02/2009 alle 17:26
Stampa
