La privacy, ovvero il codice in materia di protezione dei dati personali, è spesso al centro dei riflettori nel panorama normativo. Se da un lato se ne parla spesso e si invoca ancor di più, a volte con discutibile ragione, dall’altro sembra essere una regolamentazione la cui applicazione è spesso trascurata, forse per mancanza di chiarezza, forse perché implica la gestione di aspetti formali, organizzativi e tecnologici, richiedendo di mettere in campo in modo sinergico competenze che appartengono a mondi diversi.
La rubrica AssetProtection, ovvero Riflessioni su sicurezza e terrorismo, a cura di Anthony Cecil Wright, presidente Anssaif (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria). Per consultare gli articoli precedenti clicca qui.La Commissione Informatica e Qualità dell’Ordine dei Dottori Commercialisti ed Esperti Contabili di Roma ha organizzato un incontro formativo, tenutosi nella mattinata dello scorso venerdì 13 marzo, sul tema della Privacy e della Sicurezza delle Informazioni, con l’obiettivo di ripercorrere gli adempimenti obbligatori previsti ma soprattutto fornire un approccio pratico alla gestione sicura delle informazioni negli studi professionali. La sessione si è articolata in tre momenti che ripercorriamo a seguire.
La valutazione del rischio
Sono risultate di stupefacente chiarezza e ad alto impatto comunicativo le prime slide della presentazione. Il rischio, rappresentato con la fotografia di un coccodrillo con le fauci spalancate, deve essere adeguatamente gestito. La gestione è stata questa volta rappresentata con la fotografia di una custodia per tablet in pelle di coccodrillo. Non si inalberino gli animalisti, perché l’intenzione del relatore era semplicemente quella di comunicare in modo inequivocabile che l’art. 169 del D.lgs 196/03 parla chiaro: “chiunque, essendovi tenuto, omette di adottare le misure minime previste […] è punito con l’arresto sino a due anni”.
Inoltre, unitamente alle sanzioni amministrative previste, esiste anche un considerevole rischio in termini di credibilità professionale: “perché la gente dovrebbe affidare informazioni sensibili ad uno studio che non è in grado di garantirne gli aspetti di disponibilità e di integrità, oltre che di riservatezza”?
A seguire si è ripercorso il processo di valutazione del rischio, esaminando i concetti fondamentali correlati alle fasi di identificazione e analisi. La fase di ponderazione del rischio è inequivocabile: l’applicazione dei requisiti della normativa è obbligatoria e per tanto non c’è margine di scelta. Per la porzione tecnologica dei rischi, la cui gestione è indicata nell’Allegato B – Disciplinare tecnico in materia di misure minime di sicurezza, si è sottolineata la stretta relazione – ed elevata compatibilità – che intercorre con la normativa internazionale UNI CEI ISO / IEC 27001:2014, la quale stabilisce i requisiti ed i controlli (nel suo Annex A) per un Sistema di Gestione per la Sicurezza delle Informazioni.
La sicurezza informatica (non delle informazioni)
Non è un segreto che il virus di moda sia il CryptoLocker. E’ un Ransomware che si presenta in allegato ad un’email come file eseguibile camuffato da PDF. Una volta aperto, impacchetta i file presenti sull’hard disk criptandoli con una chiave RSA a 2048 bit e rendendoli di fatto inaccessibili. I malcapitati, per conoscere la chiave e recuperare i file, devono pagare un riscatto di 350 euro circa nella prima settimana di sequestro, che poi raddoppia alla seconda settimana. Superato il termine ultimo, a fronte del mancato pagamento del riscatto, la chiave viene distrutta dai truffatori ed i file resi definitivamente irrecuperabili. Non è neanche un segreto che alcuni professionisti iscritti all’Ordine abbiano di recente subito quest’infezione, gestendola in modo più o meno apprezzabile a seconda delle contromisure preventivamente attivate e delle competenze tecniche personali.
E’ stato quindi invitato ad intervenire il responsabile tecnico di un noto brand di sistemi anti-virus, il quale ha illustrato i trend di crescita di virus sempre nuovi e dei relativi volumi di infezioni, dettagliando ulteriormente la situazione relativa ai dispositivi mobili. Ancor più in dettaglio ha analizzato il contesto Android. Ha infine mostrato le fotografie relative al mondo Apple, con specifico riferimento al sistema operativo per fissi e laptop, ignorando la situazione relativa ad IOS. L’amara considerazione finale, facilmente individuabile guardando i picchi segnati nei grafici andamentali del 2013 e del primo trimestre del 2015, riguarda l’incapacità di apprendere dagli errori già commessi in passato. In molti sono ancora convinti che i sistemi anti-virus, specie quelli per mobile e per Apple, siano un accessorio trascurabile, mentre le frodi informatiche, che hanno in buona parte origine dalle infezioni dei sistemi, hanno raggiunto volumi economici impressionanti, paragonabili ad i traffici illeciti mondiali di droga.
Security e Business Continuity in pratica
E’ stato con un dialogo tra un commercialista ed un esperto di gestione del rischio che si è conclusa la mattinata. Hanno suggerito, con un taglio pratico, le linee guida per la gestione degli aspetti di security e business continuity in risposta alle esigenze di amministrazione delle informazioni negli studi professionali, condividendo di fatto con i partecipanti un decalogo delle buone abitudini misurate sulle effettive necessità, disponibilità di tempo e capacità di investimento.
L’approccio proposto ha evidenziato la necessità di individuare e valutare consapevolmente i rischi, focalizzando l’attenzione sulle modalità organizzative, demandando la gestione degli aspetti più tecnici ai fornitori, non senza un adeguato presidio. Si è infatti sottolineato come i rapporti contrattuali debbano includere specifici requisiti di sicurezza e chiari livelli di servizio in relazione alla continuità operativa.
Sono stati poi considerati gli aspetti fondamentali correlati alla classificazione delle informazioni trattate, valutando quali dovrebbero essere soggette a crittazione, la gestione delle password di accesso ai sistemi e ai dispositivi utilizzati, i canali di scambio dei file, anche con i clienti, e la gestione dei backup. La parte conclusiva dell’intervento ha posto l’accento sui collaboratori dello studio. Si è discussa infatti la necessità di condividere policy anche sintetiche ma adeguate – considerando a priori quali responsabilità attribuire al collaboratore in modo esplicito già in sede contrattuale – a fronte dello svolgimento di frequenti incontri formativi periodici.
Abbiamo visto i partecipanti prendere ben nota di quanto è stato detto, onde non incorrere in possibili sanzioni!