In uno dei seminari di e-Academy a Smau si è discusso di privacy ed esternalizzazione dei servizi
“La maggior parte dei responsabili dei sistemi informativi, se e quando può sollevare il capo dai problemi legati alla gestione quotidiana e ai budget sempre più ridotti, è fondamentalmente preoccupata da due aspetti: la prima è la legge 196/2003 sulla privacy, con i suoi relativi adempimenti, a partire dalle misure minime di sicurezza; la seconda, in parte derivata dalla prima, è la sicurezza di rete applicativa e fisica del sistema informativo”. Con queste parole Marco Calamari, fondatore del Progetto Winston Smith, ha introdotto, nell’ambito dell’iniziativa e-Academy di Smau 2005, il seminario “L’outsourcing dei sistemi informativi dal punto di vista della privacy delle informazioni”.
Dati i problemi su cui si concentra l’attenzione, che riguardano le apparecchiature e non il prodotto di un sistema informativo, è del tutto naturale che l’informazione in quanto tale non sia il soggetto principale delle valutazioni degli addetti ai lavori, di solito identificabili con i responsabili dei Sistemi Informativi.
Infatti, il loro ruolo normalmente centrato sugli strumenti e i budget. La percezione dei flussi informativi, delle loro caratteristiche e del loro valore si trova in altri ruoli, manageriali, ma spesso necessario radunare più funzioni aziendali per formare il quadro completo, perché in realtà nessun ruolo possiede il quadro generale dei flussi informativi, che è invece “diffuso” nei vari ruoli aziendali.
Non a caso, nelle grandi organizzazioni questo fatto è riconosciuto, e di solito trattato mediante una serie di attività aziendali che portano alla elaborazione di una policy di sicurezza informativa, spesso parte di un ancora più grande policy di sicurezza informatica o aziendale.
In questa accezione la policy tratta gli aspetti di sicurezza del patrimonio informativo dell’organizzazione, includendo non solo i sistemi informatici (hardware/software/reti) ma anche e soprattutto l’informazione stessa, vista come patrimonio principale dell’organizzazione.
“Va però sottolineato – ha proseguito Calamari – che la maggioranza delle Pmi non possiede una tale policy perché non può permettersi i costi, soprattutto in termini organizzativi, che essa implica”.
Tornando a parlare del responsabile dei sistemi informativi, possiamo dedurre che tra i tanti ruoli di parafulmine che gli sono propri, egli si troverà prima o poi a farsi carico delle problematiche di sicurezza informativa conseguenti alla mancanza di una policy.
Per di più, i responsabili del sistema informativo sono spesso obbligati a ricorrere all’outsourcing come sistema per ridurre i costi e mantenere al minimo lo staff Ict.
“Dal punto vista della riservatezza delle informazioni – ha detto Calamari – l’outsourcing è spesso una vera nemesi”. Esternalizzare i servizi di stampa o di backup, la gestione della posta elettronica o addirittura quella della sicurezza di rete vuol dire abdicare in parte al ruolo di gestore dei flussi informativi a favore di terze parti.
L’outsourcing di tali servizi causa la deviazione verso l’esterno di parte dei flussi informativi interni dall’azienda e/o il potenziale accesso da parte di esterni a questi flussi.
Se guardiamo per esempio alla posta elettronica, uno dei servizi che più spesso viene spesso esternalizzato, vediamo che espone all’esterno il flusso informativo. Il vantaggio competitivo dell’azienda è alla mercè di qualsiasi concorrente che possa e voglia attuare semplici attività di sniffing di informazioni.
Ma se la percezione di questo problema è senz’altro alla portata del direttore dei sistemi informativi, altrettanto non si può dire per la soluzione canonica dell’argomento policy. Raccomandazioni e regole su quali cose trasmettere via posta elettronica, e come proteggerle, richiederebbero una policy aziendale supportata dal management, che graverebbe sui bilanci aziendali. Come abbiamo detto, per le Pmi si tratta probabilmente solo di un sogno.
Un semplice accorgimento tecnico può però alleviare enormemente il problema: richiedere che il servizio di posta venga attuato tramite un server gestito in outsourcing ma interno al firewall aziendale, che riporterebbe perciò all’interno della rete dell’impresa quei flussi che altrimenti verrebbero esposti all’esterno.
“Avere delle policy per gestire i flussi informativi è, o almeno sarebbe, una cosa buona e giusta – ha concluso Calamari –. In assenza di policy, l’outsourcing di funzioni dei sistemi informativi, anche se realizzato con tutte le tutele contrattuali e legali del caso, può esporre all’esterno flussi informativi importanti e/o riservati, che potrebbero compromettere risorse economicamente inestimabili dell’azienda, come la sua reputazione o il suo vantaggio competitivo. Semplici accorgimenti tecnici, alla portata dell’autonomia decisionale dei ruoli informatici, possono spesso risolvere, o almeno alleviare, alcune di queste problematiche”.
