SICUREZZA TOTALE
Guida alla protezione dei beni aziendali
di Giancarlo Butti
Giancarlo Butti, che ho conosciuto in quanto socio Clusit da diversi anni, si è sempre dimostrato molto attento e sensibile alle problematiche legate alla sicurezza delle informazioni e dal 2003 ad oggi ha realizzato numerose pubblicazione su questi temi.
Con questo volume, che ha come tema la protezione dei beni aziendali, intesi come beni fisici, informazioni e persone, l’autore intende promuovere presso imprenditori e professionisti una giusta percezione dei rischi, proponendo un auto assessment e dando alcuni semplici consigli per elevare da subito il livello della sicurezza.
Non posso che essere riconoscente a Giancarlo per questo sforzo di divulgazione di una corretta cultura della sicurezza delle informazioni, che rientra tra le attività promosse e portate avanti dal Clusit.
Paolo Giudice
Segretario Generale
CLUSIT – Associazione Italiana per la Sicurezza Informatica
www.clusit.it
Finalmente un testo che tratta di sicurezza informatica con un taglio differente dal consueto e che si rivolge non ai soliti addetti, ma a coloro che non sono del mestiere e hanno solo un’infarinatura di queste problematiche e devono per loro ventura identificare i beni materiali e immateriali da proteggere, individuare pragmaticamente le minacce che possono colpire quei beni, provvedere ad adeguate protezioni affinché le stesse rimangano lontane il più possibile dalla loro struttura e, giacché le risorse sono un’entità non infinita, gestire quantomeno il rischio residuo.
Semplice forse dirlo ma assolutamente non banale da realizzare se non si ha a fianco una guida che possa essere un buon compagno di banco.
Il libro ha a mio avviso la grande capacità di aprire un’ampia finestra anche sulle norme di comportamento che devono rappresentare il vademecum delle persone che con l’informatica e la sicurezza, devono convivere, sia in veste di addetti operativi del settore o che di utilizzatori finali.
Ho trovato molto apprezzabili i casi di studio riportati che offrono una visione grandangolare su alcuni esempi positivi di realtà aziendali di medio-piccole dimensioni in cui la sicurezza ha ricevuto un’accettabile attenzione. Casi emblematici in quanto in quel tipo di aziende di norma difficilmente opera un addetto con adeguate conoscenze/sensibilità della materia, ma soprattutto molto spesso l’imprenditore/titolare è poco incline a investire in sicurezza informatica se non costretto dalle norme di legge (ricordiamo che alcune hanno anche risvolti penali), per cui sovente confida nel sostanziale supporto del santo patrono locale. Il messaggio che ne diviene è che anche in situazioni in cui sovente non si fa nulla per la sicurezza è possibile invece fare passi sostanziali affidandosi a un corretto approccio.
L’ultimo capitolo del libro riguarda le norme di legge sulla sicurezza, che in Italia in anni recenti ha ricevuto grande attenzione da parte delle Istituzioni Aver estratto gli articoli maggiormente pertinenti l’ho trovato meritorio soprattutto per l’approccio didattico volto ad avvicinare al dettame anche le persone che normalmente sono restie ad avventurarsi nel mondo leguleio.
Chiude il tutto un pregevole allegato di schede operative per inventariare i beni, i documenti, le misure adottabili…
Un particolare che mi piace sottolineare è che tranne alcuni termini ormai di uso corrente e un solitario DMZ, brilla l’assenza del puro informatichese e anche dell’inglese tipo-prezzemolo, così gradito a tanti autori in quasi spregio dei bellissimi equivalenti nella nostra lingua.
Una considerazione finale su alcuni spunti che oserei definire piccole perle – Giancarlo insiste tra le altre sulla necessità della formazione a tutti i livelli e sulle verifiche periodiche – due dei più importanti segreti per ottenere e mantenere un buon livello di sicurezza.
Silvano Ongetta
Presidente
AIEA – Associazione Italiana Information Systems Auditors
www.aiea.it
SI PARLA DEL LIBRO
ABI LAB
Scarica il pdf
BANCA FORTE
www.bancaforte.it/articolo/un-vademecum-per-la-sicurezza-in-azienda-RB47169k
TOOLNEWS
Scarica il pdf
IGED.IT
Scarica il pdf
BANCO&NOI Giugno/Luglio 2011
Scarica il pdf
LETTERA ASSIOM FOREX (Per gentile concessione di Lettera Assiom Forex, già pubblicato su Lettera Assiom Forex ottobre/2011)
Scarica il pdf
SICUREZZA TOTALE DEI TUOI DATI: Disaster Recovery e alta disponibilità
www.lineacom.it/1/nt/news/109/
L’AUTORE
Giancarlo Butti
(LA BS7799), (LA ISO IEC 27001), CRISC, ISM
Master di II livello in Gestione aziendale e Sviluppo Organizzativo presso il MIP-Politecnico di Milano.
Si occupa di ICT, organizzazione e normativa dai primi anni 80 ricoprendo diversi ruoli: analista di organizzazione, security manager ed auditor presso gruppi bancari.
Consulente in ambito documentale, sicurezza, privacy… presso aziende di diversi settori e dimensioni.
Ha all’attivo oltre 600 articoli su 20 diverse testate (è stato per anni membro del Comitato tecnico della rivista iged.it) e 17 fra libri e white paper, alcuni dei quali utilizzati come testi universitari; tiene corsi e seminari, è docente presso ITER e ABI Formazione in ambito privacy, audit ICT e audit normativo.
Fra le pubblicazioni attinenti all’ambito documentale: Lavorare con gli ipertesti ‘91, Guida al document management ‘97, Discorso sulla multimedialità ‘98, Guida al workflow ‘99, Internet in azienda ‘00, Il protocollo informatico per la pubblica amministrazione ‘03, Protocollo informatico a norme AIPA – Guida alle soluzioni basate sulla tecnologia Microsoft ‘03, Portali per la pubblica amministrazione ‘04, Intranet per la pubblica amministrazione ‘04, L’informazione a portata di mano. Sempre. Ovunque ‘12.
È socio e proboviro di AIEA (www.aiea.it) e socio del CLUSIT (www.clusit.it).
Partecipa ai gruppi di lavoro di ABI LAB sulla Business Continuity, di ISACA-AIEA su Privacy EU ed è membro del Comitato degli esperti per l’innovazione di OMAT360.
AGGIORNAMENTI NORMATIVI
Successivamente alla pubblicazione del libro SICUREZZA TOTALE sono intervenute importanti modifiche al Dlgs 196/03.
Per comodità del lettore si riportano quelle che hanno significativi impatti sui sistemi informativi e sulle misure di sicurezza (oltre che sugli aspetti formali), rinviando per il testo ufficiale al sito www.garanteprivacy.it dove è sempre disponibile la versione aggiornata del testo normativo.
Si omettono le variazioni intervenute dopo la pubblicazione del libro e successivamente abrogate.
Art. 4. Definizioni
…
b) “dato personale”, qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;(1)
…
i) “interessato”, la persona fisica, cui si riferiscono i dati personali; (2)
…
(1) Comma così modificato dall’art. 40, comma 2, lettera a), del decreto legge 6 dicembre 2011, n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214.
(2) Comma così modificato dall’art. 40, comma 2, lettera b), del decreto legge 6 dicembre 2011, n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214.
Art. 34. Trattamenti con strumenti elettronici
…
1-bis.(1) Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell’ articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell’allegato B). In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrativo-contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentiti il Ministro per la semplificazione normativa e il Ministro per la pubblica amministrazione e l’innovazione, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico contenuto nel citato allegato B) in ordine all’adozione delle misure minime di cui al comma 1.
1-ter.(1) Ai fini dell’applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo-contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro.
…
(1) Commi aggiunti dall’art. 6, comma 2, lettera a), numero 5), del decreto legge 13 maggio 2011, n. 70, convertito, con modificazioni, dalla legge 12 luglio 2011, n. 106. Sostituiscono il precedente comma 1-bis aggiunto dall’art. 29, comma 1, del decreto legge 25 giugno 2008, n. 112, convertito, con modificazioni, dalla legge 6 agosto 2008, n. 133.
Decreto legge 09 febbraio 2012, n. 5 – Disposizioni urgenti in materia di semplificazione e di sviluppo
(GU n. 33 del 9-2-2012 – Suppl. Ordinario n.27)
Che introduce con l’articolo 45 la seguente Semplificazioni in materia di dati personali
1. Al decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:
c) all’articolo 34 è soppressa la lettera g) del comma 1 ed è abrogato il comma 1-bis;
d) nel disciplinare tecnico in materia di misure minime di sicurezza di cui all’allegato B sono soppressi i paragrafi da 19 a 19.8 e 26.
Alcuni contenuti riprodotti su questa pagina sono disponibili direttamente sul sito dei rispettivi proprietari.
