Sicurezza Informatica e PA / pt2

 

Riprendiamo il tema già introdotto in precedente articolo di qualche mese fa.

Negli ultimi 3 anni, la crescente necessità di poter contare su reti ed infrastrutture sicure ed affidabili ancor prima che efficienti, nonché l'evoluzione dei moderni sistemi informatici verso il Cloud, cioè un unico punto centrale in cui raccogliere una grossa quantità di dati che diventa quindi ad alta sensibilità, ha indotto DigitPA ad imporre con maggior forza la sua posizione.

Il 30 dicembre 2010 il Decreto Legislativo n. 235 apporta importanti modifiche al Codice dell’Amministrazione Digitale.
In particolare nell' articolo 50-bis si evidenzia l'obbligo per le P.A. di predisporre degli adeguati piani di emergenza atti a garantire il ripristino dei sistemi informativi ed il ritorno alla normale operatività a seguito di incidenti informatici. Nello specifico sarà obbligatoria la pianificazione di “un piano di continuità operativa (comma 3, punto a), inclusivo del piano di disaster recovery (comma 3, punto b), da parte di tutte le pubbliche amministrazioni, entro 15 mesi dalla data di entrata in vigore del D.Lgs. 235/2010 (25.01.2011)” e “la stesura, preventiva al precedente adempimento, di un apposito studio di fattibilità, sul quale deve essere obbligatoriamente richiesto parere di DigitPA (comma 4).
L'importante articolo 51 del CAD invece stabilisce fondamentali specifiche tecniche per garantire allo stesso tempo la sicurezza e la disponibilità dei dati sensibili all'interno dei sistemi informativi, rendendo per la prima volta il contesto dipendente da linea guida ad-hoc ed non solo dalle indicazioni stabilite dal Codice della Privacy ed in particolare nell' allegato B.
In questo contesto DigitPA non manca di rafforzare il suo ruolo assumendosi l'onere di monitorare sull'applicazione delle direttive, segnalarndo al Ministero competente le amministrazioni inadempienti rispetto alle citate regole tecniche, e predisponendo valutazioni, relazioni, studi di fattibilità e procedure di valutazione in merito.

Con comunicazione sulla Gazzetta Ufficiale n. 295 del 20 dicembre 2011, DigitPA ha poi predisposto delle Linee guida sulla Continuità Operativa, offrendosi al contempo come organo consultivo e di supporto alle amministrazioni che volessero avviare progetti coordinati per la salvaguardia dei propri sistemi informativi nella logica della razionalizzazione degli investimenti nella P.A. Un progetto simile infatti era già stato avviato nel 2003 quando avvalendosi dell'iniziativa già intrapresa dall' INPS l'anno precedente, DigitPA ebbe un ruolo di coordinamento nella costruzione del Centro unico di Backup degli istituti previdenziali e assicurativi (CUB) al quale hanno aderito INPS, INAIL, INPDAP, entrato nella fase operativa il 27 giugno 2005 e collaudato il 22 settembre 2007.
A proposito il 1 dicembre 2011 viene emanata una Circolare indicante le modatità di richiesta del parere di DigitPA sui temi precedenti, riguardo all'adozione di nuovi piani ed infrastruttire informatiche.

In quest'ultimo periodo quindi, i cambiamenti sono stati pochi ma assolutamente significativi. Ad oggi, vista la prevista sostituzione di DigitPA con l'Agenzia per l'Italia Digitale ed il varo del decreto denominato “Digitalia” le carte saranno destinate ad essere rimescolate ancora una volta, tuttavia per ora scegliamo di concentrarci sull'attuale situazione a cui devono fare fronte le Pubbliche Amministrazioni.
Riassumendo gli strumenti principali ogni PA deve predisporre sono:

  • Il piano di continuità operativa, che “fissa gli obiettivi e i principi da perseguire, descrive le procedure per la gestione della continuità operativa, anche affidate a soggetti esterni. Il piano tiene conto delle potenziali criticità relative a risorse umane, strutturali, tecnologiche e contiene idonee misure preventive. Le amministrazioni pubbliche verificano la funzionalità del piano di continuità operativa con cadenza biennale.”;
  • Il piano di disaster recovery, che “stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione. DigitPA, sentito il Garante per la protezione dei dati personali, definisce le linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni informatiche, verifica annualmente il costante aggiornamento dei piani di disaster recovery delle amministrazioni interessate e ne informa annualmente il Ministro per la pubblica amministrazione e l’innovazione.”;

Ovviamente le soluzioni tecniche atte all'adempimento di tali obblighi sono variabili e commisurati al tipo ed alle dimensioni dell'Amministrazione che potrà scegliere in maniera autonoma le migliori opportunità e prodotti a lei adatti. Come già detto DigitPA si offre come organo di supporto per la valutazione delle proposte tecniche, ma nel corso del tempo ha già fornito una ampia documentazione ed una serie di strumenti utili ad autovalutazioni e a facilitare studi autonomi.
In particolare è stato predisposto un modello denominato Studio di Fattibilità Tecnica che permette di riassumere i progetti da loro avanzati secondo una linea comune a tutte le amministrazioni.
Nel sito di DigitPA inoltre sono a disposizione alcuni strumenti (fogli di calcolo avanzati e software) utili ad un immediata autovalutazione sulla sensibilità dei serivizi prestati e quindi sulla priorità delle soluzioni da adottare. I risultati di questi calcoli possono essere confrontati con delle scale di valori che se ben interpetate possono indicare la soluzione tecnica adatta ad ogni tipo di servizio.
L'autovalutazione si basa sull'identificazione di tre direttrici: La tipologia di servizio erogato, la complessità organizzativa e la complessità tecnologica. Dalle linee guida per la compilazione ricaviamo: “La direttrice del servizio consente di far rientrare nella valutazione aspetti legati alla tipologia, numerosità e criticità dei servizi erogati, in termini di danno per l’organizzazione e/o per i suoi utenti in caso di mancata erogazione del servizio stesso; La direttrice della complessità della organizzazione consente di far rientrare nella valutazione aspetti legati alla complessità amministrativa e strutturale dell’organizzazione, al fine di stimare il dimensionamento delle soluzioni tecniche da adottare; La direttrice della tecnologia consente di far entrare nella valutazione aspetti legati al fattore tecnologico in termini di dimensione e complessità, al fine di poter stimare la tipologia e la natura delle soluzioni tecniche da adottare.
Ogni direttrice ha degli indicatori ad-hoc, da cui si giunge ad un indicatore complessivo di criticita’, i cui livelli sono raggruppati in 4 classi di rischio ognina associata alla soluzioni tecnologiche più adatte, denominate TIERS.
Sempre dalle linee guida riportiamo:

  • TIER 1: Backup dati e conservazione presso un altro sito con spazi attrezzati per accogliere risorse elaborative in caso di disastro, con garanzia della disponibilità di risorsa di elaborazione in emergenza;
  • TIER 2: Backup dati e conservazione presso un altro sito con spazi attrezzati per accogliere risorse elaborative in caso di disastro, con garanzia della disponibilità di risorsa di elaborazione in emergenza.
  • TIER 3: Backup dati e conservazione presso un altro sito con spazi attrezzati per accogliere risorse elaborative in caso di disastro, con garanzia della disponibilità di risorsa di elaborazione in emergenza.
  • TIER 4: La soluzione prevede che le risorse elaborative, garantite coerenti con quelle del centro primario, siano sempre disponibili, permettendo la ripartenza delle funzionalità in tempi rapidi.
  • TIER 5: La soluzione è analoga a quella del Tier4, con la differenza che l’aggiornamento finale dei dati avviene solo quando entrambi i siti hanno eseguito e completato i rispettivi aggiornamenti.
  • TIER 6: La soluzione è analoga a quella del Tier4, con la differenza che l’aggiornamento finale dei dati avviene solo quando entrambi i siti hanno eseguito e completato i rispettivi aggiornamenti.

In conclusione, la Normativa Italiana presenta un quadro legislativo non carente, e che sulla carta obbliga senza alcun dubbio ogni amministrazione ad essere in regola con standard e requisiti minimi necessari alla sicurezza, interperiobilità, accessibilità e disponibilità dei dati, nonché alla stessà continuità operativa dei servizi offerti. Le operazioni decisionali e pratiche tuttavia non posso che essere lasciate in mano agli stressi enti sul terriotrio, che non sempre sono sensibili ai temi trattati o non hanno le capacità finanziarie per operare verso un miglioramento delle loro strutture.
Ricordiamo però che nell'era del ritorno alla centralizzazione dei servizi e alla progressiva eliminazione della burocrazia in forma cartacea, i servizi degitali assumono un ruolo estremamente sensibile, in cui senza voler esagerare ogni piccola mancanza può portare a risultati estremante tragici ed imprevisti. Anche se le carenze sono ancora molte, l'attenzione verso questi temi nella Pubblica Amministrazione sta crescendo giorno dopo giorno e ci auguriamo che la semplice attuazzione delle normative in vigore possa un giorno diventare risultato alla portata di qualsiasi servizio pubblico.

 

RIFERIMENTI:
http://www.digitpa.gov.it/
http://www.interlex.it/pa/d_bruschi.htm
http://www.clusit.it/

Articoli Correlati

  • No Related Posts

Sanità Elettronica su Novà del Sole 24 Ore

L'importante è che se ne parli. Dopo l'allarme lanciato dal presidente dell'Autorità Garante sulla Privacy di cui abbiamo parlato su un precedente post, oggi Novà del Sole24Ore dedica ampio spazio alla discussione sulla Sanità Digitale con questo articolo che riportiamo.
La speranza è che questi siano i primi passi verso l'inizio di una discussione mediatica che traini quella normativa.
 

La spesa complessiva in informatica e tecnologie (Ict) per la sanità è di 1,3 miliardi di euro, pari a circa l'1,1% del costo totale. Fanno 22 euro per abitante. Poco, sostiene l'Osservatorio Ict in Sanità nel 2012 della School of Management del Politecnico di Milano in un rapporto che verrà diffuso martedì. Poco, se si considerano altri paesi con sistemi sanitari confrontabili. Molto se si considera che dal 2005 al 2011 quella sanitaria è l'unica voce di spesa in Ict che cresce rispetto a tutta la pa. Eppure, anche questi investimenti potrebbero essere a rischio. «Effettuare tagli al sistema sanitario italiano non è facile», si legge nel rapporto. «Esiste una sola leva che potrà consentire di conciliare in futuro la qualità del servizio e il controllo della spesa: l'innovazione, che nelle nuove tecnologie, e in particolare nel virtual health, trova un suo driver fondamentale».

Dentro virtual health o e-health ci sono tecnologie e servizi, soluzioni per la medicina sul territorio, monitoraggio, prevenzione e cura a distanza per ridurre i costi della gestione dell'ospedalizzazione, in particolare della popolazione anziana e dei cronici. L'esigenza è spostare l'assistenza dall'ospedale verso il territorio, diminuendo in modo rilevante la degenza e i costi di assistenza. L'area del Long Term Care è infatti tra quelle che maggiormente preoccupa chi deve far quadrare i conti della sanità. «L'opportunità di introduzione di innovazione in queste aree è oggi enorme – commenta Mario Salerno di Fondazione Filarete -. Senza dimenticare le possibilità fornite dalla disponibilità di enormi quantità di dati il cui utilizzo può avere impatti significativi su analisi epidemiologiche e sulla gestione della salute pubblica»,. Il solo effetto della deospedalizzazione, ad esempio, può valere oltre tre miliardi di euro l'anno. Confindustria l'anno scorso ha calcolato che la telemedicina, da sola, farebbe risparmiare 7,3 miliardi, ricetta digitale e fascicolo sanitario congelerebbero a loro volta altri quattro miliardi.

«Potremmo assistere alla tempesta perfetta, a una singularity tecnologica che vede l'healthcare da un lato e digitale e internet delle cose dall'altro convergere e alimentarsi a vicenda», spiega Leandro Agrò, global director user experience di Publicis Healthware International, azienda che offre servizi di consulenza strategica e comunicazione digitale in ambito healthcare. Paradossalmente la sanità che ha conosciuto per ultima il web lo cavalcherà meglio di editori, banche e telco. Negli Stati Uniti otto medici su dieci posseggono un tablet e lo usano per il loro lavoro. Esistono tra i sei e sette braccialetti che monitorano pressione, battito cardiaco, temperatura, di poche decine di dollari. Diverse centinaia di applicazioni per smartphone che ci monitorano ogni singolo istante della nostra vita. Il processo a cui stiamo assistendo parte dall'accesso all'informazione medica, oggi democratizzato dalla vastità di opportunità disponibili in rete. Ma prosegue cavalcando devices di monitoraggio nati per il wellness che si stanno sempre più integrando con profili medici, e da lì risale verso un futuro di autodiagnosi e autocura. Leandro Agrò sintetizza questo fenomeno con 'consumerizzazione dell'healthcare'. E si spinge oltre. I prossimi tre step sono informazione (epatients), monitoraggio (self tracking), autodiagnosi (Ai), autocura. Oggi, si legge in un Whitepaper di prossima pubblicazione, saremmo solo alla prima fase, quella degli epatients.

In Italia sull'onda del britannico Patience Opinion e dello statunitense Patientslikeme già da qualche anno è attivo Patienti.it, fondato da una giovane medico, Linnea Passaler. «I pazienti che mi arrivavano ‐ ricorda – spesso erano all'oscuro di informazioni fondamentali per la loro salute. Se avessero scelto con più cura dove affidarsi avrebbero avuto esiti diversi. Da qui è nata la voglia di dare un servizio che permettesse a chiunque, anche a chi non avesse conoscenze di medici, di informarsi e di scegliere consapevolmente». Pazienti.it oggi raccoglie migliaia di informazioni, recensioni, dati su tutte le strutture sanitarie italiane. Informazioni che continuano ad aumentare, eppure, il dialogo tra tecnologi, medici e istituzioni è tutt'altro che sereno, almeno in Italia. I pazienti, spiega la Passaler, diventano sempre più consumatori di salute, «pretendono più servizi, più qualità a costi più bassi. La medicina è invece ancora arroccata su posizioni molto paternalistiche, si mette poco in discussione; il sistema sanitario è basato su diritti acquisiti che riteniamo sacrosanti ma che diventano sempre più difficili da garantire con il prolungarsi dell'età». Queste due istanze apparentemente opposte producono attriti fortissimi.

L'altro terreno scivolosissimo è quello della privacy e del trattamento dei dati sensibili soprattutto se riferiti alla salute. Questi servizi innovativi in rete, lamentano i tecnologi, sono ostacolati da normative che rendono impossibile sbloccare le potenzialità di questo strumento. All'estero ci sono certamente meno limitazioni e forse anche per questo si sta sviluppando rapidamente la geomedicina, ovvero il posizionamento dei dati medicali sulla mappe per analizzarli alla luce del contesto. Così come le ricerca collaborativa attraverso gli open data delle università. Quest'anno scadranno importanti brevetti per Big Pharma. Le grandi del farmaco hanno iniziato a guardare in basso, al digitale, a vendere prodotto (farmaco) e servizio. Come? Tenendo d'occhio quel mondo di startup della salute che sta partendo. Nell'ultimo anno Rock Health, un acceleratore di seed capital ha finanziato ben 15 startup attive su mobile e web applicazioni. Anche qui da noi il biomedicale produce idee. Ogni mese Fondazione Filarete presenta e lancia startup attive nel settore biomedicale. All'ultima Filarete Healthy Startups di marzo, Roberto Lattuada di MyHealthbox ha raccontato la sua idea: progettare e distribuire bugiardini elettronici per medicinali e prodotti per la salute. Il 2 maggio Samuele Burastero, ricercatore al San Raffaele, proporrà Dya, un chip per scoprire in temi rapidi le allegrie. Non sarà solo. Con lui innovatori che racconteranno un'altra sanità possibile.

Fonte:http://www.ilsole24ore.com/art/tecnologie/2012-04-13/cura-digitale-sanita-165602.shtml

Articoli Correlati

Consultazione Pubblica sull’ Agenda Digitale

 

Uno dei punti cardine sul quale il governo sta lavorando nell'ottica di favorire la crescita economico-commerciale nel paese è quello dell'Agenda Digitale. Ormai da qualche anno si parlava di questo tema indicato da molto come fattore imprescindibile per riavviare gli investimenti e portare sviluppo tecnologico ed infrastrutturale nel paese, ma che tuttavia continuava ad essere ignorato o quasi da parte delle istituzioni, nonostante già a maggio 2010 fosse stata presentata in Commissione EU l'Agenda Digitale Europea che l'Italia come paese membro doveva recepire elaborando una propria strategia digitale.
A gennaio di quest'anno però con il Decreto Semplificazioni è stato fatto un importante passo avanti istituendo “…senza nuovi o maggiori oneri a carico della finanza pubblica, una cabina di regia per l’attuazione dell’agenda digitale italiana, coordinando gli interventi pubblici volti alla medesime finalità da parte di regioni, province autonome ed enti locali.”.
Della notizia se ne è già ampiamente risonanza e a distanza di pochi mesi possiamo obbiettivamente notare che i lavori sull'Agenda Digitale Italiana hanno subito un cambio di marcia anche se è prematuro dire che sarà decisivo.
La notizia della settimana è però quella che proprio la Cabina di Regia attraverso il sito http://www.agenda-digitale.it ha lanciato una consultazione pubblica aperta a tutti i cittadini e soggetti giuridici italiani per raccogliere idee, proposte ed opinioni da valutare in vista della stesura del Decreto Digitalia iattorno a giugno.
Il progetto è stato suddiviso per aree tematiche, includendo "Infrastrutture e Sicurezza", "eCommerce", “Alfabetizzazione Digitale e Competenze Digitali", "eGovernment", "Ricerca & Innovazione" e "Smart Cities & Communities", articolando gli argomenti relativamente a “Obiettivi e relative priorità”, “Ostacoli”, “Azioni correttive proposte”, “Ulteriori approfondimenti”.

 

Navigando all'interno del sito possiamo però trovare alcuni interessanti punti descritti dalla stessa Cabina di Regia, In particolare segnaliamo:
– “Assicurare la copertura a banda larga di base per tutti entro il 2013, completando il Piano Nazionale Banda Larga.”
– “Stimolare l’uso di reti a banda larga, incrementando il numero di abbonamenti al servizio di connettività, rispettando così – entro il 2020 l’obiettivo europeo di avere il 50% degli utenti domestici europei abbonato a servizi con velocità superiore a 100 Mbps.”
-”Gestione in modalità cloud computing dei contenuti e servizi della PA, mediante la realizzazione dei data center federati, mediante l’attuazione del Progetto Strategico Data – Center.”
-”Assicurare la protezione dei dati di valore strategico e la relativa gestione del disaster recovery mediante i data center di prossima realizzazione.” .
Oltre alle fondamentali promesse riguardo alla banda larga, fino ad ora grave mancanza italiana che ha bloccato tutti gli investimenti nel settore Digitale, accogliamo con piacere anche gli ultimi due punti, in quanto noi di Atlante s.r.l. possiamo dirci già impegnata da tempo in progetti rivolti in questo senso.
 

Ora sarà tutto da vedere sul come si svilupperanno i temi e le discussioni (ci aspettiamo che si trovi spazio anche per parlare di Software Libero ed OpenSource), ma per ora le basi non mancano.

Articoli Correlati

  • No Related Posts

Rapporto Clusit sulla Sicurezza ICT

 

Il Clusit, l'Associazione Italiana per la Sicurezza Informatica, ha pubblicato un encomiabile Rapporto sulla Sicurezza ICT in Italia. Il testo che elenca con precisione fonti e metodologie di ricerca, presenta una panoramica generale sull'argomento, proponendo di seguito una serie di Case Study legati ai principali eventi di Cyber Crime ed incidenti informatici nel 2011, per poi analizzare la specifica situazione Italiana e le tendenze per il 2012. Vengono anche approfonditi i temi dell'operato delle autorità sul contrasto alla criminalità informatica ed al rapporto tra mercato e sicurezza ICT, per poi passare all'analisi di alcuni argomenti caldi inerenti alla materia.

Dal rapporto si posso estrapolare una serie di interessanti dati che ci permettono di effettuare alcune considerazioni.
Ad oggi i ricavi di un ipotetico mercato del crimine informatico si possono stimare tra i 7 ed i 12 miliardi di dollari l'anno, con bersagli e modalità di attacco che diventano sempre più importanti, pensando ad esempio che nel 2011 il Ddos più significativo, scagliato contro Telecom Ucraina, Yandex ed Evoswitch ha raggiunto picchi di 100 Gb/s, mentre la somma più alta rubata con un singolo attacco ad un conto corrente bancario è stato di 14,8 milioni di dollari. In pratica si deduce che gli obbiettivi non sono più soltanto ignari e poco poco preparati utenti così detti “casalinghi”, ma diventano sopratutto grandi organizzazioni e compagnie, da cui recuperare ingenti quantità economiche o trafugare preziose banche dati contenenti informazioni sensibili di un numero largo di clienti, assumendo l'aspetto di una moderna Cyber-War. E' evidente però che questi così detti “pesci grossi” non siano di certo impreparati di fronte ad attacchi di questo genere, ma ciò nonostante le intrusioni illegali hanno talvolta avuto buon fine, dimostrando che ad oggi il livello di sicurezza informatica applicato in qualsiasi campo non potrà mai garantire una completa inibizione dagli attacchi, ma potrà soltanto minimizzare la possibilità di successo di quest'ultimi.
Durante l'ultimo anno si è parlato di una serie di attacchi a grandi organizzazioni da parte di “hacker-attivisti” che operano senza scopo di lucro (per quel che si conosce) che avevano come unico scopo quello di creare ingenti danni d'immagine ai primi. Tuttavia l'attenzione mediatica su questi eventi ha distratto l'attenzione da i pericoli creati dalla reale cyber-criminalità, molto spesso organizzata ed addirittura strutturata per lavorare su commissione.
In generale si è riassunto che il 2011 è stato probabilmente l'anno peggiore di sempre nella storia per la sicurezza informatica, lasciando previsioni non migliori per il 2012, dove le crescenti tecnologie mobili, i social network e i cloud saranno i nuovi obiettivi.
A questo vanno però aggiunti i problemi relativi agli incidenti informatici, alcuni dei quali dovuti alla troppa superficialità nella gestione dei sistemi e dei dati, ma anche alla ormai sconfinata complessità della gestione informatica che sta raggiungendo livelli avanzatissimi rendendo complicato seguire con efficienza e regolarità tutti gli elementi che compongono il complesso informativo.
Per quanto riguarda il caso specifico Italiano, si ricava che soltanto il 2% degli utilizzatori di internet ha piena e completa consapevolezza dei rischi e dei mezzi per proteggersi, mentre il 71% sebbene abbia una protezione di base è ancora impreparato per affrontare attacchi diretti e situazioni d'emergenza, evidenziando una pericolosa difficoltà culturale a riguardo, oltre che una incomprensibile arrendevolezza al denunciare le attività illegali di cui cade vittima. Si stima infatti che i danni economici che ricadono sui cittadini italiani a causa della cyber-criminalità siano in totale circa 6,7 miliardi di euro all'anno!

In questo blog verranno più avanti presentate ulteriori analisi sul tema con nuove informazioni ed analisi su argomenti specifici.
Nel frattempo per chi volesse consultare il documento del Clusit può trovarlo qui: www.securitysummit.it/page/rapporto_clusit

Articoli Correlati

Decreto semplificazioni: cosa cambia per la privacy

Nella tarda mattinata di ieri il governo ha posto la questione della fiducia alla Camera sul decreto legge in materia di semplificazione fiscale ed ha introdotto svariate semplificazioni e novità.

In questo articolo parleremo delle novità in tema Privacy (decreto legislativo 193/2003)

Con il decreto semplificazioni ufficialmente vengono abrogati una serie di articoli in cui si evince (ma si sapeva da tempo ormai) che non serve più il dps come documento da avere in azienda.

Infatti vengono abrogati alcuni punti  del disciplinare tecnico in materia di misure minime di sicurezza e precisamente tutto l'articolo 19 e l'articolo 26 che riportiamo:

 

Documento programmatico sulla sicurezza
19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo:

19.1. l'elenco dei trattamenti di dati personali;
19.2. la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;
19.3. l'analisi dei rischi che incombono sui dati;
19.4. le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonchè la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
19.5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23;
19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonchè in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;
19.7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare;
19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato.

26. Il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza.

In sostanza: il famoso documento "DPS" sparisce. Ma si sapeva da tempo.

Il DPS è sempre stato un documento farraginoso e poco adottato dalle aziende in tutti i settori in quanto visto sempre come un qualcosa di inutile, un costo da sostenere per essere a norma. Molto spesso il documento era creato in forma automatica (decine di programmi che facevano in automatico o quasi il documento minimale e a norma di legge) oppure creato da consulenti senza scupolo per poche centinaia di euro con metodi di taglia e incolla. Dimenticando però lo spirito originario del sistema (e qui comincio a parlare di sistema per la sicurezza dei dati aziendali, non più DPS): Essere una guida per salvaguardare il patrimonio informativo della propria attività. Poche organizzazioni lo hanno inteso in questo modo.

Cosa succederà da oggi: probabilmente si dedicheranno ancora meno soldi al tema della sicurezza del proprio sistema informativo in quanto, erroneamente, si presuppone che non servendo più questo documento, il sistema potrà essere lasciato cosi' com'e'. Sbagliando. In quanto tutto il resto del sistema di sicurezza comunque deve essere garantito. Soprattutto in un' era in cui la digitalizzazione sta diventando sempre più pervasiva anche in settori che storicamente erano resti. Aprendo nuove prospettive di furto di dati digitalizzati anche sensibili.

Dal nostro punto di vista, condiviso da molti, il dps dovrà essere sostituito, all'interno dalle organizzazioni, da un manuale operativo per la gestione della sicurezza dei dati comuni, personali e sensibili.

Noi continueremo comunque nella nostra opera di sensibilizzazione sulla necessità della sicurezza del sistema informativo in quanto unico vero patrimonio delel organizzazioni.

Articoli Correlati

Costruire la propria reputazione su facebook

Da corrierecomunicazioni.it

Imprese, la "reputation" si costruisce su Facebook

 

Secondo i risultati di una ricerca dell'Università Cattolica e Digital Pr cresce il numero di aziende italiane che si affida ai social newtwork per rafforzare il brand a scapito dei blog aziendali, utilizzati principalmente per comunicazioni interne. YouTube "re" della comunicazione video

I social network battono i blog aziendali. Almeno nelle strategie con cui le imprese costruiscono la loro brand reputation sul web. In questo contesto , Facebook è una piazza virtuale privilegiata e Twitter rappresenta la sfida per i prossimi anni mentre per la comunicazione video è YouTube a farla da padrone. Contestualmente perde d'importanza il blog aziendale, riservato per lo più alla comunicazione interna, mentre il sito web continua a svolgere il ruolo di archivio dei contenuti e delle informazioni tecniche.

È questa la fotografia scattata dall'indagine “Brands & Social Media. Osservatorio su 100 aziende e la comunicazione sui social media in Italia”, promossa dall'Università Cattolica e da Digital Pr e diffusa in occasione del seminario “Web Reputation”, organizzato dall'Atelier del Club della comunicazione d'impresa di Torino.
La ricerca, prima nel suo genere, ha selezionato 100 aziende fra le più rilevanti per il mercato italiano in cinque settori: consumer electronics, automobili, banche/assicurazioni, retail/grande distribuzione e servizi. L'indagine ha portato alla compilazione di una classifica che tiene conto non solo dell'impegno delle aziende, ma anche dell'interazione degli utenti. E dalla quale emerge una strategia “multi-piattaforma” nel mondo social da parte delle aziende, che oggi pensano sempre più in digitale, complice ce la crisi, il bisogno di fare saving e una più diffusa accessibilità alle piattaforme web.

L'indagine ha preso in considerazione social media – blog, Facebook, Twitter e YouTube – misurando le medie di aggiornamenti, commenti, condivisioni giornaliere (per i blog), i link agli update aziendali in bacheca, la presenza di sezioni speciali e di feedback degli utenti, nonché il numero di fan (per Facebook), le personalizzazioni dei profili e il numero di followers (per Twitter), unitamente ai report sui commenti e le visualizzazioni dei video (YouTube).

A sottolineare l'importanza di essere in rete, oggi, per un'azienda è Nicolò Michetti, chief executive officer Digital Pr: “L'informazione sul web non muore mai – spiega – e le notizie, positive o negative che siano, sono persistenti, rilevabili e tracciabili. È bene che chi si occupa di comunicazione abbia ben presente tutto ciò”.

Articoli Correlati

Gestione di gruppi di lavoro con strumenti open source

L’organizzazione di una azienda, di uno studio, necessità di condividere tra i collaboratori molte informazioni. Molto spesso queste informazioni sono sparse su una quantità di supporti eterogenea: rubrica cartacea, appunti, file sui diversi computer, conoscenze non scritte dei collaboratori. Questo comporta molto spesso inefficienze, ritardi nella trasmissione delle informazioni, perdita di informazioni.

Le organizzazioni più efficienti, da anni si sono dotate di strumenti di collaborazione per sopperire a ciò. Nella mia esperienza sono ancora troppo poche, soprattutto in Italia e non solo presso le piccole organizzazioni mancano questi strumenti.

Spesso si dice che costano troppo, che non servono, che sono troppo complesse. Niente di più falso.

Costi: Le soluzioni open source, quindi libere da costi di licenza sono sempre più numerose e sempre più complete.

Non servono: avere a disposizione in ogni momento la propria agenda, la propria rubrica e quella dei collaboratori, avere sottomano l’ultima offerta o lo stato di un ordine molto spesso fa la differenza tra acquisire e concludere un contratto o perderlo. Immagazzinare la conoscenza dell’organizzazione in questi strumenti puo’ sopperire alla mancanza di alcuni collaboratori (che magari se ne vanno portando via conoscenza).

Troppo complesse: sono tutte web based, intuitive. Con pochi clic si trovano le informazioni grazie anche ai potenti motori di ricerca inseriti all’interno.

La verità molto spesso è un’altra: non sono mai state provate a fondo per un periodo sufficiente, si pensa di perdere tempo ad inserire i dati. In sostanza è solo ed esclusivamente un fatto culturale.

Vediamo una applicazione che da tempo propongo ai clienti e che utilizziamo all’interno della nostra struttura: E-Groupware.

L’applicazione è presente sul mercato da svariati anni ed ha raggiunto una buona stabilità. Gira su qualsiasi sistema su cui gira un interprete php, un database mysql, un server web. Quindi gira su piattaforma Windows, Mac, Linux. E’ accessibile esclusivamente via web da qualsiasi dispositivo su cui giri un web browser: PC, MAC, Linux, iPhone, iPad, BlackBerry, cellulari in genere con capacità grafiche.

L’applicazione o, meglio il sistema, è composto da vari sottosistemi integrati tra di loro ad esempio:

  1. Rubrica condivisa o personale estendibile. E’ possibile garantire l’accesso alla propria rubrica ai membri dell’organizzazione in svariati livelli di accesso;
  2. Agenda personale condivisibile con i membri dell’organizzazione. E’ possibile ad esempio dare l’accesso alla propria segretaria per l’aggiornamento degli appuntamenti. Le viste possono essere giornaliere, settimanali, mensili. Gli appuntamenti si possono esportare rapidamente presso altre agende.
  3. Un completo sistema di gestione delle varie attività per gestire telefonate, mail, to do, note. Si possono categorizzare liberamente e gestire gli stati di avanzamento delle azioni (un mini crm praticamente)
  4. Un buon sistema per la gestione dei progetti (se la nostra azienda lavora per progetti ad esempio uno studio di ingegneria, di architettura);
  5. Un buon sistema di gestione del foglio ore utile per tracciare ad esempio attività da fatturare ai nostri clienti
  6. Un sistema per la gestione delle risorse aziendali su prenotazioni, ad esempio sale riunioni, auto aziendali, furgoni aziendali, apparecchiature di prova
  7. Un sistema completo per la gestione documentale aziendale completo di versioning, scadenza documenti, access list, ricerca per metadati (nella nostra organizzazione abbiamo svariate migliaia di documenti salvati all’interno e non da segni di cedimento o di lentezza)
  8. Un sistema di gestione documentale privato per ogni membro dell’organizzazione (che si usa poco, l’altro è molto più potente)
  9. Un sistema per la gestione della conoscenza aziendale classificabile in categorie utile per esprimere in documenti metodologie di lavoro, guide interne, policy aziendali.
  10. Un sistema wiki integrato, dalle funzionalità basilari;
  11. Integrazione e-mail, siti, notizie interne e molto altro ma meno utilizzati
  12. Soprattutto si puo’ estendere grazie alla buona documentazione offerta. Si possono quindi creare moduli ad hoc per l’azienda.

Le informazioni vengono tutte salvate su database relazionale e quindi è molto agevole accedere al sistema per effettuare ricerche non previste, analizzare le attività aziendali in ottica di migliorare la performance, etc.

Non vedo motivi quindi per non adottare un sistema del genere, in quanto i vantaggi che offre sono molti e di indiscutibile validità.

Articoli Correlati

The CAVE: il mito della caverna di Platone e del quaderno degli errori

Titolo un po’ strano vero?

Tutto nasce dalla lettura del supplemento Nova del Sole 24 ore di oggi.

Leggo spesso questo supplemento, in quanto  fanatico di tecnologia e di applicazioni all’avanguardia, e devo dire che mi piace. Ogni tanto pero’ bisognerebbe leggerlo con giudizio (come bisognerebbe leggere tutto con giudizio e senso critico).

Ma ritorniamo al fatto: sto sfogliando l’inserto e mi imbatto in un articolo , “la Caverna delle Idee” di Gianni Rusconi. Vedendo le immagini il mio primo pensiero: hanno fatto un articolo sul CAVE. E leggo l’articolo. Bello ma con molte insesatezze e soprattutto è un articolo per fare pubblicità, nessun accenno, nessun link di storia. Il sistema, leggendo l’articolo, sembra nato dalla società T-Systems che spiega sarà utilizzato per fare business e che difficilmente si troveranno installazioni in ambito pubblico o privato (al massimo, dicono i manager, solo con due o tre pareti, proprio per porre l’accento sulla complessità del loro sistema).

Bene ma che è il CAVE? Il CAVE è l’acronimo di Computer Advanced Visualisation Environment ed è nato qui e anche molti anni fa come vedete se visualizzate il link appena proposto. In sostanza una scatola cubica le cui pareti sono in realtà degli schermi gestiti da computer che proiettano lo spettator ein una vera realtà artificiale immersiva (almeno visiva), con o senza occhialini 3d. Realtà con la quale si puo’ interagire in svariati modi (comandi tipo joystick tridimennsionali, sensori, altro).

In sostanza ho trovato il classico articolo fatto per stupire pieno di inesatezze. Queste le ho scoperte in quanto mi sono interessato al sistema gia’ nel lontano 1996 per un mio progetto visionario, ma chissà quante altre inesatezze ci propinano ogni giorno su gionali (reali o elettronici) senza che ce ne accorgessimo.

Curiosità sul progetto visionario? Bene eccolo:

Riqualificazione del Centro Candiani di Mestre (in realtà all’epoca solo un oggetto incompiuto di due grandi architetti veneziani). L’idea (non completamente mia, ma portata all’estremo per l’epoca da me) era semplicemente questa: facciamo del Candiani un museo interattivo dell’arte digitale sulla falsariga di alcune realizzazioni simili che stavano nascendo a Tokio, Karlsruhe e Linz. In sostanza un grande videogioco il cui soggetto variava di volta in volta: Una mostra di quadri (veri) con un avatar artificiale che mi appare quando mi soffermo davanti ad un’opera, una rappresentazione artistica in cui anche il pubblico manipola gli artisti e cose del genere. Il CAVE faceva parte del gioco (e molte altre cose che all’epoca mi ispiravano). C’era anche il ritorno economico: la tecnologia costava tantissimo all’epoca e si dovevano utilizzare macchine estremamente potenti e allora perchè non le noleggiamo alle società private per fare ricerca quando queste sono inattive? (anche questa idea non originale, l’aveva inventata penso un certo Ross Perot se non sbaglio) . In quel periodo si era ispirati da rare riviste ormai sparite che precorrevano i tempi

Purtroppo progetto troppo avanti nel tempo che ovviamente non è stato portato avanti.

Comunque grazie Nova, pur nella tua superficialità (solo per questo articolo, intendiamoci) mi hai fatto ripercorrere alcuni dei miei progetti più cari.

Articoli Correlati

Formazione continua per gli Ingegneri

Mi era sfuggito ai suoi tempi e lo rileggo su Fidest

Venezia Gli Ingegneri veneziani lanciano lo sprint per la formazione continua. L’Ordine degli Ingegneri della Provincia di Venezia ha infatti varato, primo in Italia, un nuovo progetto rivolto agli iscritti all’Albo, anticipando le indicazioni in merito presenti in tutte le proposte di riforma della professione.  Il Consiglio dell’Ordine ha approvato un innovativo Regolamento che darà vita al progetto di formazione permanente obbligatoria e certificazione degli iscritti. Il progetto – che verrà illustrato al 55° Congresso Nazionale degli Ordini degli Ingegneri che si terrà a Torino – è già in fase di studio per l’adozione anche a livello nazionale.  Il percorso pilota dell’Ordine Veneziano – che conta 2.245 iscritti – prenderà il via in forma sperimentale da gennaio 2011 per un triennio, dopodiché dovrebbe entrare a regime per tutti gli Ordini degli Ingegneri delle province italiane.
Il percorso di formazione permanente obbligatoria garantirà agli iscritti all’Albo l’acquisizione di crediti formativi professionali progressivi (per un minimo sperimentale di 2 crediti annuali). Le attività proposte – ove possibile a livello gratuito – verranno stabilite dal Consiglio dell’Ordine e attuate dalla Fondazione degli Ingegneri veneziani (la struttura formativa dedicata) e comprenderanno corsi di aggiornamento e master (anche con percorsi telematici), seminari, convegni, giornate di studio e tavole rotonde.Il periodo di valutazione della formazione permanente di ogni iscritto avrà durata triennale e sarà certificato da una apposita commissione.

Ottimo, riprende quello che dicevamo sul post precedente. Qui si legge il regolamento.

Conoscendo l’Ordine spero vivamente una cosa: Ingegneria deve essere anche Ingegneria dell’Informazione. Troppo spesso bistrattata. Troppo spesso non considerata. Non è polemica. Se siete iscritti a questo Ordine, andate a vedere nei bollettini, nelle newsletter, nei siti e contate quante iniziative sono rivolte agli Ingegneri del terzo settore e agli Ingegneri dell’Informazione in particolare. Questo fortunatamente, con questo regolamento dovrebbe cambiare.

Articoli Correlati