Il D.Lgs 196/2003 - il cosiddetto "Codice per la protezione dei dati personali" - ha finalmente visto rispettare la scadenza prevista per il 31 marzo 2006, relativamente alla redazione del Documento Programmatico sulla Sicurezza (DPS) ed all'attuazione delle misure minime di sicurezza previste nell'allegato Disciplinare Tecnico.
Purtroppo, però, solo una piccola parte delle imprese italiane è effettivamente conforme alla legge ed un'altra parte significativa crede di esserlo!.
In particolare il comparto delle Piccole e Medie Imprese, soprattutto per quanto riguarda le organizzazioni con meno di 30/40 addetti, è ben lungi dall'essersi adeguato a questa legge così discussa. Se alle aziende aggiungiamo gli studi professionali, soprattutto quelli a più elevato impatto privacy - avvocati, notai, commercialisti e consulenti del lavoro - il panorama è ancor più desolante. Del resto l'esempio fornito dalla Pubblica Amministrazione e dalle Unità Sanitarie è abbastanza eloquente: personalmente ho osservato numerose inosservanze della legge, a volte sconosciuta (in qualche modulo di informativa si fa ancora riferimento alla legge 675 del 1996...), soprattutto in ambito pubblico. Soprattutto nelle ASL e negli Ospedali è abbastanza evidente che se si è fatto qualcosa si è pensato solo a salvaguardare gli aspetti formali, ignorando ad esempio l'istruzione obbligatoria degli incaricati al trattamento dei dati personali e sensibili.
Sicuramente la quasi assenza di controlli effettuati "a campione" porta gli imprenditori a valutare il rischio di incorrere in sanzioni come molto basso, quasi trascurabile, e pertanto lo stimolo ad adeguarsi alla legge viene a mancare. Questo perché siamo in Italia, dove non ci si adegua alle leggi se non si rischia di incorrere in pesanti sanzioni. Non dovrebbe essere così, ma è così.
Del resto il Garante per la Privacy ha avuto problemi più grossi (intercettazioni telefoniche, dati di utenti utilizzati irregolarmente da Compagnie telefoniche, ecc.) e non ha risorse sufficienti per punire un po' gli inadempienti.
Poi ci sono gli aspetti riguardanti la sicurezza informatica, promossi dagli addetti del settore che hanno fiutato giustamente il business con l'entrata in vigore degli obblighi di legge, ma probabilmente le loro attese sono andate in parte deluse, visto il poco che si è fatto.
Sicuramente in certi ambiti si è fatto un po' di sano terrorismo (nel senso letterale del termine, lungi da evocare aspetti politici), cercando di far prendere paura ai titolari di imprese e studi professionali con lo spettro dei virus e malware simili, ma molti se ne sono strafregati giustificandosi che a loro non è mai successo niente, tanto hanno l'antivirus, ecc. ecc..
Come succede anche in altri contesti nella vita di tutti i giorni, ad alcuni che non hanno nulla di più di un antivirus pirata aggiornato a qualche anno fa non sono mai capitati virus (o non se ne sono mai accorti, che è quasi lo stesso), ad altri che invece sono stati sufficientemente prudenti sono capitati guai grossi.
Comunque sia il comportamento di coloro che non si sono ancora adeguati ai principi di legge è assolutamente da condannare, se non altro per la concorrenza sleale verso chi ha investito soldi veri per essere in regola. Questa mia asserzione è valida in generale anche per altre leggi che incombono sulle imprese (ad esempio la sicurezza sul lavoro, spesso trascurata per risparmiare un pugno di dollari).
Ma cosa dovrebbe fare una piccola organizzazione seria per essere in regola e proteggersi adeguatamente contro i pericoli che vengono dai computer e da internet, se non altro per cautelare i soci a fronte di danni ingenti?
Occorre certamente mantenere un giusto equilibrio fra la protezione assoluta, che crea anche inefficienze se non necessaria, ed il completo lassismo. Vale il principio che applichiamo a casa nostra: è inutile dotarsi di sistemi di allarme sofisticatissimi che sono anche impegnativi da gestire, oltre che costosi, se poi teniamo in casa pochi spiccioli (si fa per dire) e pochi oggetti di valore rubabili.
Se pensiamo ai virus informatici o più in generale al malware come a quel software che produce danni, sia per dolo che per colpa dell’autore, possiamo facilmente comprendere che possono essere classificati come malware anche quei programmi che ci rallentano enormemente il PC, che provocano frequenti blocchi del sistema operativo a causa di errori o conflitti fra diversi applicativi e driver di periferiche. Dunque la scelta dei programmi che ci devono proteggere contro il software dannoso, come dice la legge, deve essere oculata e rivolta verso quei prodotti che, oltre a proteggerci adeguatamente, non ci creano ulteriori problemi e conseguenti perdite di tempo.
Personalmente ho provato negli ultimi anni alcuni software antivirus e suite di sicurezza complete ed ho constatato che in taluni casi i prodotti singoli (antivirus, firewall software, anti spyware) hanno prestazioni migliori e sono più efficaci delle suite di sicurezza complete, in altri casi invece l'abbinamento di un certo antivirus con un certo firewall crea conflitti e quindi inefficienze del PC. Infine ho osservato che un prodotto leader del mercato crea forti rallentamenti della macchina ed ha un conflitto noto, ma non pubblicizzato, con i report di Microsoft Access.
Alla fine della fiera è consigliabile dotarsi di una suite di sicurezza integrata, anche se scegliendo prodotti singoli si può trovare buoni prodotti, alcuni di essi anche gratuiti (ad es. alcuni anti spyware e personal firewall).
Ma non basta certo acquistare ed installare la suite di sicurezza prescelta: va anche ben configurata, aggiornata e gestita nel tempo. Oltre alle scansioni periodiche dei virus e degli spyware occorre configurare bene il firewall, soprattutto nel primo periodo di utilizzo, e l'antivirus/anti spyware in modo che sia sempre attivo e non impieghi eccessive risorse per esaminare qualunque tipo di file.
Alcune suite offrono anche un prodotto anti spamming per la posta elettronica, ne esistono molti sul mercato, non tutti efficaci. La legge non richiede l'obbligo di dotarsi di un anti spam, ognuno deve valutare quanto tempo perde a gestire lo spamming e cosa comporta gestirsi l'anti spam.
Mi è capitato sovente di riscontrare che la sicurezza totale impostabile in alcuni software crea poi problemi nella consultazione di alcuni siti che ci interessano e nell'utilizzo dei programmi di office automation che interagiscono con internet. Un esempio classico è la disabilitazione dei cookie e delle finestre di pop-up del browser che spesso rende impossibile la consultazione di alcuni siti importanti (ad esempio bancari).
Anche il tanto decantato Firefox, nuovo browser che sta minacciando la leadership di Internet Explorer, è certamente meno vulnerabile di quest'ultimo dal punto di vista della sicurezza, però a volte occorre utilizzare IE se si vuole operare efficacemente su determinati siti.
Il livello di attenzione nella scelta dei programmi di sicurezza deve essere tanto più elevato quanto più i dati che gestiamo sono critici. Infatti anche se il D.Lgs 196/2003 definisce regole ferree per dati sensibili, giudiziari e sanitari, in molte organizzazioni i dati critici sono altri: PIN e password per operazioni di home/remote banking, dati contabili, progetti, dati sulle vendite, ecc.. Spesso la perdita di uno dei requisiti fondamentali della sicurezza (Riservatezza, Integrità e Disponibilità) su tali dati può create ingenti danni all'attività svolta.
Talvolta capita di vedere una estrema, quasi esagerata, riservatezza da parte della Direzione di un'azienda nel trattare documenti che forse non lo meriterebbero, poi gli stessi documenti in formato elettronico sono accessibili quasi a chiunque all'interno della rete aziendale e non sono nemmeno adeguatamente protetti a fronte di possibili attacchi dall'esterno.
Nell'ottica di mantenere i dati riservati potrebbe essere utile cifrare alcuni dati, misura obbligatoria per il codice della privacy solo per alcune tipologie di dati sensibili. Al proposito si consiglia di proteggere particolarmente i dati ed i PC che potrebbero essere rubati o attaccati informaticamente dall'esterno. L'operazione non è elementare e comporta comunque una gestione delle chiavi (hardware, software o password) usate per cifrare i file, dunque è un onere.
L'obiettivo è quello di evitare che il contenuto del disco fisso, ad esempio di un portatile che viaggia con il suo utilizzatore ed a volte viene lasciato incustodito, magari in auto o in albergo, possa essere conosciuto da persone che potrebbero sfruttare i dati stessi a loro vantaggio contro i legittimi proprietari. Si tratta di proteggere la proprietà intellettuale, segreti industriali o semplicemente dati su vendite, clienti, mercati, nuovi prodotti. Naturalmente i dati sul PC rubato dovranno essere sottoposti a backup frequente, se non disponibili aggiornati su server aziendali, poiché è impensabile che il ladro ci restituisca almeno i dati, riscontrandoli inaccessibili.
Le piccole organizzazioni che non hanno personale con adeguate competenze di informatica al proprio interno farebbero bene a rivolgersi a consulenti esterni ben preparati, senza però perdere il controllo della situazione. Infatti per non perdere tempo alcuni titolari del trattamento dei dati hanno delegato esternamente tutta la privacy e la relativa sicurezza informatica, senza verificare minimamente l'operato degli incaricati. Capita pertanto di vedere alcuni DPS con notevoli carenze sia nei contenuti che nell'attuazione di quanto prescritto (molti credono che fatto il DPS siano a posto e che non sia richiesta formazione del personale, verifiche, ecc.), soprattutto se sono stati scopiazzati, scaricati da internet senza farvi nessuna personalizzazione oppure acquistati da consulenti informatici che si sono improvvisati esperti di privacy per vendere un po' di hardware e un po' di software.
La cosa importante da capire è che il DPS non è il modulo da compilare come si fa in qualsiasi ufficio pubblico per presentare una richiesta!. Il DPS va personalizzato in base a quella che è la realtà aziendale, altrimenti ci fa credere di essere in regola ma non lo siamo veramente.
Ma software di sicurezza e DPS ben fatto non bastano per essere tranquilli, occorre istruire adeguatamente il personale, attuare le altre azioni previste e verificare costantemente che tutto funzioni. Per verificare che i programmi di sicurezza facciano a dovere quello per cui sono stati acquistati sarebbe opportuno effettuare alcune prove di vulnerabilità della propria rete aziendale, magari utilizzando programmi specifici che effettuano i principali test di sicurezza (ad esempio sul sito www.grc.com è possibile effettuare gratuitamente dei test con Shields Up e LeakTest per vedere se il nostro PC è adeguatamente protetto a fronte di attacchi esterni).
La legge prevede poi che i sistemi operativi siano costantemente aggiornati per proteggere i nostri dati dalle minacce che incombono a causa delle nuove vulnerabilità scoperte. Sebbene la procedura possa essere resa automatica, non tutti aggiornano le patch di Windows rilasciate per chiudere le falle del sistema operativo.
A volte l'aggiornamento nei termini di legge potrebbe essere addirittura controproducente se l'installazione delle patch può compromettere il funzionamento di programmi software particolarmente importanti per l'attività. Ad esempio una società che sviluppa software potrebbe avere la necessità di mantenere ambienti operativi obsoleti per necessità di sviluppo e di assistenza di software rilasciati alla propria clientela. In questi casi, anche se non previsto dalla legge, è necessario derogare alle misure minime di sicurezza previste dal Disciplinare Tecnico cercando di cautelarsi in altro modo da possibili vulnerabilità.
Per concludere vorrei sottolineare che l'entità più importante da gestire in ambito privacy e sicurezza informatica sono sempre le persone, che vanno formate e controllate in modo adeguato perché non sempre i problemi vengono dall'esterno dell'azienda (virus, hacker, ecc.), ma talvolta sono causati dal comportamento, doloso o colposo, del personale che opera all'interno del perimetro dell'organizzazione.. Qualche esempio? Password e codici utente rivelati, dati salvati in modo inappropriato, ma anche furto di dati importanti, uso improprio di internet per scaricare contenuti protetti da diritto d'autore, consultare siti pornografici o pedofili, commettere truffe.