L'ottimizzazione del sistema informatico aziendale sta diventando inevitabilmente un fattore competitivo per qualsiasi attività. Lo scenario varia dalla piccola ditta con il dipendente “factotum” che si destreggia tra le varie postazioni, a quella con un CED ed un amministratore di rete sempre in fermento, fino ad arrivare alla realtà che cede in gestione i propri sistemi informativi ad un professionista esterno (outsourcing). Per di più la diffusione di connettività a banda larga a costo fisso velocizza ed amplia i flussi di dati da e verso le aziende, comportando una crescente mole di dati da gestire e quindi un aumento del grado di obsolescenza delle infrastrutture informatiche accompagnato da un livello esasperante di entropia nell'organizzazione e nella gestione delle reti locali. Si incappa cosìi nel punto di rottura delle strutture tradizionali ossia quando le potenzialità produttive superano la disponibilità di informazioni. Soluzione necessaria è cosìi l'avvio di progetti che propongono sempre di più l'azienda come un nodo attivo su Internet, ovvero cercano dove è possibile e chiaramente proficuo di interfacciare il centro di elaborazione dati interno con il web. Lo scopo è da una parte l'eliminazione di tutte quelle procedure intermedie di acquisizione dati tra la fonte (succursale, cliente, fornitore o agente) e la destinazione finale (mainframe/server, software gestionale), dall'altra offrire agli interlocutori una serie di informazioni normalmente non disponibili, come le giacenze aggiornate di magazzino o le previsioni delle consegne fino ad arrivare alla programmazione dei lotti di produzione per le soluzioni piu spinte. Il risultato finale è un aumento della produttività grazie all'abbattimento di costi sommersi dovuti a trasmissioni dati piu lunghe, costose e maggiormente soggette ad errore. Di contro tali proposte incontrano enormi difficoltà nel razionalizzare processi che sono tipicamente artigianali o che per loro stessa natura non sono sistematici. Altro freno non meno importante è il rischio derivante dall'esposizione sulla rete pubblica del cervello dell'azienda.

Ecco allora che la sicurezza informatica diventa un'esigenza strategica per tutte quelle realtà che pur comprendendone i rischi scelgono di interagire con l'esterno attraverso internet. Basti pensare all'enorme diffusione di uno strumento essenziale come l'email ed alle rovinose conseguenze che puo provocare (worm, virus, cavalli di troia e quindi perdita o alterazione di dati). Ciò dovrebbe far riflettere sul fatto che ogni utente della rete aziendale è un potenziale punto debole e quindi deve essere adeguatamente istruito riguardo ai rischi ed alle responsabilità derivanti dall'uso dello strumento informatico, ma soprattutto limitato nell'accesso ai dati coerentemente con la propria mansione. Non sono casi isolati le fughe di notizie a fini di spionaggio industriale da parte di ex-dipendenti o molto piu banalmente operatori telefonici che riferiscono indicazioni apparentemente innocue a “ingegneri sociali” (impostori a caccia di informazioni riservate). Diventa allora fondamentale per il titolare d'impresa attivare una serie di provvedimenti rivolti a salvaguardare il patrimonio aziendale e quindi, necessariamente, a controllare il dipendente nel rispetto dei limiti legali imposti dallo Statuto dei Lavoratori e dal recente Codice sulla privacy e la sicurezza informatica in azienda .

In particolare dal 01.01.2004 è in vigore il D.Lgs. 30.06.2003, n. 196 denominato “ Codice sulla protezione dei dati personali ”. Si ricorda che chiunque conduca un'attività imprenditoriale con dei dipendenti o dei collaboratori, con dei clienti o fornitori tratta dati personali. E' quindi una legge fondamentale che coinvolge praticamente tutte le aziende. Le novità piu importanti introdotte dal Codice riguardano le cosidette “ misure minime di sicurezza ” che l'azienda deve predisporre. Esse rappresentano il livello minimo di sicurezza essenziale ed inderogabile che deve essere garantito quando si trattano dati personali.

Dlgs 196/2003 CODICE SULLA PRIVACY E LA SICUREZZA INFORMATICA IN AZIENDA ALLEGATO B DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA
Sistema di autenticazione informatica	•  Username univoco, password (8 caratteri, aggiornata ogni 3 mesi per dati sensibili, 6 mesi dati personali) o caratteristica biometrica; •  Custodia segreta delle credenziali; •  Disattivazione credenziali se inutilizzate per piu di 6 mesi; •  Log out o termine sessione se si lascia la postazione incustodita.
Sistema di autorizzazione	•  Profili utente diversi per mansioni diverse; •  Consentiti profili di gruppi di utenti per mansioni analoghe; •  Profili stabiliti sempre anteriormente.
Altre misure di sicurezza	•  Lista utenti redatta ed aggiornata annualmente; •  Installazione Antivirus e Firewall da aggiornare almeno ogni 6 mesi (consigliato giornaliero); •  Aggiornamento sistemi operativi almeno ogni 6 mesi se dati sensibili, ogni anno se dati personali (consigliato mensile); •  Backup dati almeno settimanale (consigliato giornaliero);
Documento Programmatico sulla Sicurezza	•  Redazione entro il 31 marzo di ogni anno; •  Elenco dei trattamenti, distrubuzione compiti e responsabilità, analsi dei rischi, misure di garanzia per l'integrità e la reperibilità, criteri di ripristino, programmazione interventi formativi, criteri di sicurezza.
Misure di tutela e garanzia	•  Attestato di conformità rilasciato dal consulente esterno; •  Menzione del DPS nella relazione accompagnatoria di bilancio.
Sanzioni, Art.169	•  Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 e punito con l'arresto sino a due anni o con l'ammenda da 10.000 a 50.000 €.

Tratto da "Il Mattino di Padova" del 29/01/2004

Per maggioni informazioni contattare Daniele Santi