Un’altra questione, le politiche di sicurezza

Uno schema che illustra, passo per passo, tutti gli obblighi e i documenti che permettono di garantire la conformità alla legge Privacy

Un obiettivo fondamentale per raggiungere un corretto presidio dei processi aziendali è quello di assicurare la governance dell’It, a mezzo delle cosiddette politiche di sicurezza. I destinatari di simili documenti sono rappresentati dal management tecnico e da quello dell’area “organizzazione”, in modo da garantirne l’applicazione e l’eventuale discussione sindacale, oltre (ovviamente) agli utenti finali di postazione. Con questo termine si intende qualsiasi soggetto che utilizzi un pc all’interno dell’ente o dell’azienda. I documenti di politica andrebbero, poi, messi in relazione con quelli contenenti le cosiddette “linee guida” e con quelli, connessi al primo tipo, che riassumono le sanzioni per violazioni e illeciti (non solamente informatici). I documenti di politica possono essere così strutturati:

Criteri di valutazione delle problematiche di sicurezza


Destinata al management, questa documentazione illustra i problemi più importanti relativi alla sicurezza informatica, con particolare riferimento all’impatto degli abusi tecnologici operati dagli utenti sulla produttività aziendale, oltre che sulle responsabilità personali civili, penali e disciplinari.

Inquadramento Generale delle normative


Illustra lo schema organizzativo delle normative, al fine di far comprendere meglio come esse funzionano in sinergia. Corredato di schema grafico, questo documento è destinato al management.

Obiettivi delle AUP


Destinato al management, il documento Aup (Acceptable Use Policy) ha l’obiettivo di definire gli scopi fondamentali delle politiche di utilizzo dei sistemi informativi aziendali, oltre alle linee guida per garantire la conformità con i dettami normativi previsti dalla legge.

Acceptable Use Policy


Il testo del documento sarà il dettame normativo interno che dovrà essere seguito dagli utenti finali.

Training degli Utenti e Security Awareness


Destinatario del documento è il responsabile dell’organizzazione, al quale compete solitamente la pianificazione dei percorsi di addestramento del personale.

Criteri di valutazione delle problematiche di sicurezza


Il management tecnico avrà il compito di monitorare l’osservanza della Aup (Acceptable Use Policy), contestualmente alla gestione degli aggiornamenti necessari.


Risulta piuttosto importante focalizzare l’attenzione sulle problematiche che scaturiscono da un uso non corretto delle risorse It aziendali, prime tra tutte la connessione Internet e la banda. Tra gli esempi più significativi:


Perdita di produttività. L’uso incondizionato di siti non inerenti l’attività lavorativa e di chat diminuisce drasticamente la produttività.


Performance di rete. A prescindere dalle forniture a consumo, ove il problema dei costi è sicuramente rilevante. L’utilizzo della banda per gestire, per esempio, file Mp3, filmati e download consistenti corre il rischio di fermare la produttività e le performance complessive della rete.


Sicurezza dei dati. Scaricare programmi e software non consentito, soprattutto da fonti non “trusted” (come siti warez, o di pirateria online) espone l’azienda al rischio di malicious code (virus, worm e simili) nonché a quello di diramare involontariamente delle informazioni riservate.


Problematiche di tipo legale. Un comportamento non rispondente alle politiche di sicurezza da parte degli utenti può altresì esporre l’organizzazione a controversie di carattere legale, specie se accadono incidenti di sicurezza e violazioni non autorizzate conseguenti a comportamenti dubbi da parte di utenti. Una Aup redatta secondo criteri fondati su best practice note e, soprattutto, condivisa a più livelli, riduce altresì il rischio di rivalsa legale


Danno d’immagine. Un utente sorpreso da terzi a navigare su siti “irrituali”, o a compiere violazioni alla netiquette (come nel caso del download di filmati porno), può creare, se la notizia dovesse diffondersi, un consistente danno all’immagine dell’azienda. A seguito di quanto descritto finora, appare necessario rammentare all’utente la sua responsabilità personale in caso di download o diffusione di software e risorse Web non autorizzate. Alla stessa stregua va trattata la posta elettronica che, se usata senza attenzione, potrebbe generare problemi di esposizione legale. A dire il vero, questa è solo una parte della responsabilità in quanto l’ente potrebbe essere ritenuto responsabile oggettivamente per alcuni comportamenti tenuti dal proprio collaboratore. Pertanto una regolamentazione è necessaria.

L’ inquadramento generale delle normative


Lo schema organizzativo generale delle normative da predisporre, in sintonia con quanto previsto dalla legge, prevede:


a) Una normativa generale, assolutamente trasversale e applicabile a tutti, denominata generalmente “Linee guida per l’utilizzazione delle risorse”, dove sono fissati i principi applicabili, i soggetti ai quali si rivolge la normativa, i processi ai quali si applica, le risorse (non solamente informatiche) dell’ente.


b) Una normativa anch’essa generale, concettualmente legata alla prima, generalmente denominata “Sanzioni per violazioni delle linee guida”, che contiene le sanzioni applicabili a qualunque soggetto che operi in violazione delle linee guida.


c) Una normativa denominata Aup in seguito meglio analizzata.


d) Normative di secondo livello traversali, relative alla gestione di eventi ricorrenti e tipici, che possono avvenire e/o coinvolgere qualunque settore dell’attività d’impresa.


e) Normative di secondo livello “localizzate”, relative alla gestione di eventi ricorrenti e tipici che possono avvenire e/o coinvolgere solamente settori specifici nei quali opera l’ente.


Da notare come le normative indicate nei punti d) ed e) costituiscano parte integrante del progetto, ma rientrino in diverse tipologie di “fornitura” di consulenza.

Obiettivi delle Aup


Prendendo come riferimento il completo rispetto delle normative 196 (Privacy) e 231 (Due Diligence), nonché con le altre normative che espressamente impongono dei doveri di diligenza nell’espletamento delle attività dell’ente, lo sviluppo di un’Acceptable Use Policy (Aup) è legato a quattro obiettivi fondamentali:


• Chiarire la posizione dell’ente riguardo l’uso di Internet in generale


• Proteggere l’ente da eventuali responsabilità civili, penali e amministrative


• Evitare problemi di sicurezza mediante l’adozione di best practice e l’istruzione del personale


• Incoraggiare l’uso costruttivo e produttivo delle risorse It disponibili

Luca de Grazia, avvocato cassazionista, partner di DfLabs, ha dichiarato a tal proposito: “L’esperienza operativa con numerosi clienti, ha dimostrato che è consigliabile evitare un approccio obbligatorio e inquisitorio, di tipo top-down, nella divulgazione e introduzione delle politiche di sicurezza, naturalmente quando questo è possibile”.


La prima strada da cercare, infatti, è quella del coinvolgimento trasversale, dimostrando che una regolamentazione è conveniente per tutti al fine di evitare pesanti conseguenze legali e disciplinari. Non sempre, inoltre, una politica di totale negazione dell’utilizzo di Internet si rivela appropriata per le aziende. In realtà, molto spesso conviene adottare un approccio misto dove, cioè, agli utenti è garantita una discreta possibilità di utilizzo del mezzo, fermo restando alcune limitazioni. Inoltre, laddove gli investimenti in monitoraggio e protezione lo consentano, potrebbe essere possibile una navigazione personale minima in orari di pausa. A ogni modo, bisognerà sensibilizzare il personale sull’importanza di gestire le informazioni aziendali con la massima discrezione, favorendo comunque la condivisione dei dati, se necessaria, con l’impiego della crittografia.


Nel trasmettere al personale la Aup, inoltre, sarà il caso di rammentare all’utente le sue possibili responsabilità legali e disciplinari e l’impatto che un eventuale incidente di sicurezza causato dall’utente medesimo potrebbe avere sul business, dal quale dipende anche il suo impiego.


Dal punto di vista delle responsabilità in caso di inosservanza, le sanzioni dovranno essere concordate tra le varie funzioni aziendali, ma comunque non eccedenti il contratto di lavoro previsto per quella particolare funzione. Il riscontro dell’esecuzione e dell’osservanza delle politiche va demandato, a seconda dei casi, alla direzione amministrativa (per gli utenti dei sistemi informativi) o a quella delle risorse umane (per l’eventuale applicazione delle misure disciplinari in caso di inosservanza).


Si tenga conto che, in caso di comportamenti che possono creare possibili ripercussioni legali, sarà necessario interessare l’ufficio affari legali (per attività specifiche anche consulenti esterni specializzati) e il titolare. Per incidenti che di base possono esporre l’ente a un danno d’immagine bisognerà valutare l’opportunità di interessare le relazioni interne/esterne. In caso di incidenti particolari, inoltre, risulta conveniente coinvolgere il consulente per la sicurezza. Quest’ultimo fungerà da supporto laddove la sola funzione interna non sia in grado di gestire autonomamente la crisi. Un ultimo accenno va fatto all’implementazione tecnica delle Aup. All’atto dell’applicazione pratica delle politiche per gli utenti finali, la funzione organizzazione concorderà con i sistemi informativi un intervento di tipo tecnico, al fine di mettere in pratica ciò che è stato definito con le linee guida, con particolare riferimento al tipo di applicazioni/servizi che si vuole abilitare, file che si possono importare, contenuti multimediali scaricabili o eseguibili. L’implementazione avverrà a livello di firewall, intrusion detection e controllo antivirus. Ogni Aup dovrebbe essere resa disponibile nella intranet aziendale (se presente) o comunque distribuita al personale, che dovrebbe firmarla per presa visione e accettazione. Almeno ogni 12 mesi (o in presenza di un cambiamento dei processi o del ciclo It aziendale) si dovrebbe procedere a un aggiornamento dell’impianto normativo. L’utente destinatario della politica, inoltre, deve essere informato sui “comportamenti consigliati” per il mantenimento delle misure di sicurezza a protezione delle informazioni.

Conclusioni


Al termine di queste due puntate di inchiesta dovrebbe essere possibile per i lettori fare il punto della situazione interna, con particolare riferimento alla parte organizzativa e a quella tecnica. È evidente, comunque, che la legge 196 non è la 626. è palese, quindi, che la gestione della sicurezza informatica è decisamente più complessa di quella della sicurezza sul lavoro, importante ma meno articolata nell’applicazione. Occorre, infine, ricordare sempre che, nella 196, la situazione di fatto deve essere in totale riscontro con quella descritta sui documenti, a partire da quello programmatico.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome