Lo scorso aprile è entrata in vigore la Legge 18 marzo 2008, n.48, che in pratica ratifica ed esegue la Convenzione del Consiglio d’Europa sulla criminalità informatica, siglata a Budapest nel 2001 e riguardante le attività illegali commesse via Internet od altre reti informatiche, cercando di ostacolarle in modo comune e coordinato.
Mi pare possa essere considerato come uno spunto per affermare che la progettualità aziendale non possa prescindere dalla definizione di un sistema capace di proteggere al meglio le informazioni, che costituiscono un elemento di enorme valore per la sua attività ed il suo sviluppo. Un’adeguata strategia deve quindi essere in grado di salvaguardare l’integrità , la validità e la riservatezza dei dati indifferentemente disponibili in forma elettronica e cartacea.
Non va infatti trascurato il fatto che gli attacchi rivolti alla violazione dei sistemi di sicurezza siano sempre più frequenti, tenuto oltretutto conto che le informazioni vengono oggi in buona parte custodite mediante metodologie informatiche.
Per la definizione e l’attuazione più appropriata di un Information Security Management System si può ricorrere alle norme ISO 27000, individuate per sviluppare un’azione adeguata alla propria realtà , piccola, media o grande che sia.
Il sistema di gestione per la sicurezza delle informazioni va organizzato a 360° e comprende strumenti, comportamenti, standard e procedure finalizzati all’ottimizzazione della protezione logica e fisica delle informazioni attraverso diverse aree d’intervento.
Compiti e responsabilità devono naturalmente essere fissati anche nel caso che il trattamento dei dati debba essere assegnato in outsourcing, cercando in ogni caso di valutare il rischio associato, attraverso un’appropriata classificazione dei dati stessi.
Si tratta dunque di inibire l’accesso a soggetti non autorizzati, sia internamente che esternamente, riducendo al massimo il rischio di manomissioni e furti del patrimonio informativo e tecnologico. E ciò può avvenire dotandosi anche di sistemi anti-intrusione, quali antifurto, telecamere di videosorveglianza, allarmi, casseforti ignifughe e badge di identificazione.
Non bisogna inoltre tralasciare o sottovalutare anche gli aspetti legati alla gestione delle comunicazioni e delle operazioni, assicurandosi che il funzionamento dei sistemi informativi sia adeguato e cercando di ridurre la probabilità di guasti hardware e di anomalie software.
Un processo di certificazione della sicurezza può infine aiutare a rendere più affidabile il rapporto con clienti, fornitori ed eventuali partner, aumentando il valore intrinseco degli investimenti anche rispetto alle risorse umane ed ambientali.