M. Iaselli, Roma – Il 70% degli esperti di sicurezza informatica non ritiene sicuri i software della Microsoft, secondo uno studio di Forrester Research, denominato “Can Microsoft  Be Secure?”,
Il 77% degli intervistati – membri delle 35 maggiori aziende di Information Technology (IT) – ha dichiarato che la sicurezza dei software e’ essenziale e l’89% usa i software Microsoft per le operazioni cruciali.
Dallo studio emerge  che poco piu’ della meta’ delle compagnie colpite da virus informatici dannosi ha modificato il proprio uso dei software adibiti alla sicurezza delle Reti informatiche, mentre la maggior parte delle altre, anche dopo ripetuti attacchi, non ha ancora pianificato innovazioni ai propri sistemi. In definitiva sono ancora troppo poche le aziende che si assumono la responsabilita’ di aumentare il grado di sicurezza dei sistemi Microsoft.
Per quanto riguarda piu’ in particolare il nostro Paese, gli ultimi dati sul rapporto aziende-sicurezza informatica, indicano una maggiore presa di coscienza del problema e dei danni economici che ne derivano: oltre il 51% delle 600 compagnie prese in esame, infatti, percepisce la sicurezza informatica come un  importante fattore competitivo. A conferma di cio’, si puo’ constatare la crescente diffusione di applicazioni on line e di piattaforme aperte e interattive: un importante segnale di sviluppo che sottolinea la crescente evoluzione verso un approccio piu’ integrato al tema sicurezza.
I virus informatici e gli eventuali attacchi esterni da parte di hacker rappresentano le preoccupazioni maggiori delle nostre aziende, cosi’ come l’accesso non autorizzato ai database aziendali e i danni involontariamente causati dai dipendenti.

Le recenti statistiche sia di carattere internazionale che nazionale fanno ancora una volta ritornare in auge il problema sicurezza che continua a costituire il tallone d’Achille di molte aziende non solo italiane. Questa volta sono stati presi di mira anche i prodotti software Microsoft rei, secondo molti esperti, di non fornire sufficienti garanzie di sicurezza. In effetti il problema e’ piu’ di carattere generale ed investe la stessa organizzazione delle societa’ operanti nel settore ICT che da sempre hanno sottovalutato la gravita’ e la delicatezza delle problematiche attinenti alla sicurezza. Solo i recenti avvenimenti legati alla diffusione di virus su scala internazionale ed ai sempre micidiali e temuti attacchi di hackers hanno richiamato l’attenzione degli esperti del settore.

 Come e’ noto gia’ la nostra Presidenza del Consiglio – Dipartimento per l’Innovazione e le Tecnologie in tema di sicurezza informatica ha emanato una Direttiva datata 16 gennaio 2002 rivolta a tutti gli Enti Pubblici che ha cercato di tracciare un quadro generale sul problema “sicurezza” ICT e di suggerire degli interventi necessari per ottenere “una base minima di sicurezza” in attesa della predisposizione di un vero e proprio programma di azione governativo per la sicurezza ICT.
 Successivamente e per la precisione il 24 luglio e’ stato istituito il Comitato Tecnico Nazionale sulla Sicurezza Informatica nella Pubblica Amministrazione con Decreto Interministeriale presso il Dipartimento per l’Innovazione e le Tecnologie.

 La creazione di tale Comitato costituisce solo una fase degli interventi suggeriti dalla direttiva sulla sicurezza ICT per le Pubbliche Amministrazioni. Difatti oltre alla costituzione del Comitato per indirizzare, guidare e coordinare le varie iniziative connesse con il raggiungimento degli standard di sicurezza che verranno definiti, e’ prevista:
1. la creazione e la successiva attivazione di un modello organizzativo nazionale di sicurezza ICT che comprenda tutti gli organi istituzionali, scientifici ed accademici deputati, ciascuno per il proprio ruolo, ad assicurare organicita’ e completezza al tema sicurezza;
2. la definizione di uno schema nazionale di riferimento della sicurezza sviluppando linee guida, direttive, standard, nonche’ i processi di accreditamento e di certificazione;
3. la formulazione di un Piano nazionale della sicurezza ICT della pubblica amministrazione;
4. la realizzazione della certificazione di sicurezza ICT nella pubblica amministrazione.
 In altri termini secondo la Direttiva ed i relativi allegati e’ necessario tener conto prioritariamente:
• dell’organizzazione della sicurezza con la creazione di un Comitato per la sicurezza ICT e di un Consigliere Tecnico che deve affiancare il Ministro; ogni Ente poi dovra’ avere il proprio responsabile della sicurezza ICT;
• della gestione della sicurezza e quindi la c.d. Carta della sicurezza che definisce gli obiettivi e le finalita’ delle politiche di sicurezza;

• dell’analisi del rischio, fondamentale ai fini di una corretta pianificazione, realizzazione e gestione di qualsiasi sistema di sicurezza ICT;
• del controllo fisico e logico degli accessi;
• della protezione antivirus;
• delle misure di prevenzione;
• della gestione dei supporti;
• della gestione degli incidenti e delle emergenze.
Riguardo quest’ultimo aspetto e’ bene ricordare che nel nostro ordinamento esiste uno specifico contratto il “disaster recovery”, che ha la funzione di fornire alle imprese di una certa dimensione servizi volti alla analisi dei rischi di inoperativita’ del sistema EDP e delle misure di riduzione degli stessi, nonche’ la messa a punto del vero e proprio piano di emergenza informatica, che ricomprende in particolare procedure per l’impiego temporaneo di un centro di elaborazione dati alternativo o comunque l’utilizzo di macchine di soccorso da utilizzare in attesa della riattivazione.
L’accordo in esame puo’ costituire oggetto di una particolare clausola inserita nel contratto di outsourcing; tuttavia spesso le parti decidono di stipulare un autonomo contratto, che prescinda da chi debba gestire il servizio, il medesimo fornitore del sistema EDP o un terzo.
La fattispecie negoziale in esame si inquadra nell’ambito dell’appalto di servizi o del contratto di opera a seconda della qualita’ del contraente: se si tratta di un’impresa che si impegna a realizzare il servizio con la propria organizzazione di mezzi e personale ovviamente si stipulera’ un appalto, mentre se si tratta del singolo professionista o di un gruppo di professionisti associati si concludera’ un contratto di opera, nel quale prevale il lavoro personale.
La differenza, sotto il profilo della disciplina, e’ significativa, in quanto il contratto di appalto genera obbligazioni di risultato ed il rischio e’ posto, quindi, a carico dell’appaltatore, che lo assume proprio perche’ conta su un’organizzazione predisposta e governata da lui. Nel contratto di opera, la dottrina distingue ancora tra contratto d’opera materiale, qualificato come mini-appalto con la medesima disciplina di quest’ultimo, e contratto di opera intellettuale che genera obbligazione di mezzi, nel senso che oggetto del contratto e’ il comportamento diligente ed esperto del prestatore mentre il rischio del mancato risultato grava sul committente il quale sceglie di stipulare tale contratto per ottenere che la prestazione sia eseguita con lavoro proprio, personale o prevalentemente personale del prestatore d’opera intellettuale.

In definitiva nella prassi ricorrono entrambe le ipotesi a seconda che l’utente prediliga contare su un’organizzazione altrui che assuma ogni rischio ovvero su un tecnico o gruppo di tecnici dotati di particolari qualita’ e nei cui confronti nutra un rapporto di particolare fiducia.  
Quanto allo specifico contenuto dell’accordo, che prescinde dalla qualita’ del contraente, lo stesso riguarda lo strumento migliore, oltre il backup, per rendere sicuri i dati dell’azienda, ovvero il piano di disaster recovery che prevede esplicitamente i passi da seguire quando una catastrofe distrugge i sistemi e i dati.
In particolare al fine della predisposizione di un piano realmente efficace bisogna passare attraverso diverse fasi.
 Innanzitutto e’ necessario fare un elenco dei potenziali disastri che potrebbero verificarsi sulla rete. Tra le cause principali si segnalano il malfunzionamento dei dischi, l’interruzione temporanea delle operazioni, i virus, gli attacchi di hackers, la distruzione fisica.
 Il passo successivo nella creazione del piano consiste nel definire le priorita’ per applicazioni automatizzate, nel senso che devono essere determinate le funzioni del sistema che devono essere ripristinate immediatamente dopo un disastro e quelle che invece possono aspettare. Nella stesura di questa parte del processo di pianificazione i risultati migliori si ottengono quanto piu’ onestamente i dipendenti ammettano la importanza delle loro funzioni per l’azienda ovvero quanto piu’ agevolmente tale valutazione possa essere compiuta sulla base di criteri oggettivi.

In ogni caso il lavoro da compiere risulta difficoltoso poiche’ e’ necessario predisporre una catalogazione di tutte le applicazioni, operazione non sempre agevole. Normalmente si distingue tra funzioni essenziali per attivita’ a tempo pieno (si tratta di operazioni che devono proseguire in modo continuativo per il buon andamento dell’azienda), funzioni vitali a tempo parziale (si tratta di operazioni che devono continuare ma che hanno luogo periodicamente in specifici momenti), funzioni necessarie per obiettivi aziendali di secondaria importanza (sono operazioni considerate necessarie ma non rappresentano obiettivi primari), attivita’ operative di routine, attivita’ di crescita.
 Il terzo passo nella creazione del piano di Disaster Recovery consiste nell’identificare e implementare misure preventive. Sebbene il piano serva prevalentemente per decidere come comportarsi in caso di disastro, questo certamente non preclude la possibilita’ di prendere in esame modalita’ per prevenire i problemi o alleggerirne le conseguenze.

D’altra parte la conoscenza e l’implementazione delle misure di protezione dei dati sono fondamentali per l’eventuale ripristino dopo il disastro. In particolare bisogna prendere in considerazione le seguenti precauzioni: il backup dei dati, la ridondanza dei dati, il software anti-virus, l’energia elettrica (gruppi di continuita’), i firewall (sistemi di sicurezza contro possibili intrusioni di hackers), un centro dati alternativo.

 Il passo successivo nel processo di pianificazione consiste nello scrivere le istruzioni di ripristino, preparare, cioe’, un elenco dettagliato che spieghi esattamente che cosa fare quando un sistema qualsiasi deve essere ripristinato.
Nel piano e’ necessario indicare le seguenti informazioni: persone da contattare per ciascun reparto; modalita’ per recuperare i nastri di backup e copie di altri media; nomi e informazioni sui fornitori che possano fornire immediatamente nuovi computer adeguati alle esigenze dell’utente; nomi e informazioni sui fornitori che possono offrire consulenti in grado di eseguire le operazioni di ripristino istruzioni per recuperare i dati dai supporti di backup; notizie dettagliate su come configurare le workstation e i server da utilizzare in una LAN ripristinata.
Infine e’ necessario perfezionare il piano, accertando altresi’ che il medesimo funzioni attraverso tests di verifica e sottoponendolo a revisione periodica.

Scritto da