F.A.Q.–Informatica e Privacy

Podcast mp2 – Misure Sicurezza Informatica Studi Professionali

INFORMATICA: tutti ne parlano, tutti più o meno la usano in vario modo, quanti ne conoscono le potenzialità ed a volte i limiti?

Computer e periferiche non sono “elettrodomestici” o “macchine da scrivere con il monitor”, ma strumenti di produttività ai quali affidiamo la nostra professionalità e/o impresa!! Chi ha una rete informatica e/o tratta dati propri od anche di terzi, deve rispettare normative tecniche (all.B D.Lgs 196/2003) e giuridiche.

Backup, tutti ne parlano, pochi li fanno (bene), fino al momento della necessità quando risultano indispensabili.

Cybercrime, tutti ne parlano, ma nessuno ha mai spiegato come la prima conseguenza per una azienda potrebbe essere il blocco della produzione od attività, oltre a risarcimenti difficilmente prevedibili.

Di seguito si troveranno alcune domande, alle quali sono state date delle brevi risposte, volte a chiarire magari alcune ambiguità e false dicerie che ruotano intorno alla materia ed al suo uso più o meno corretto.

Compresi brevetti, diritti d’uso e quant’altro, tra software Open Source, Freeware e Proprietari.

  • Posso usare un Antivirus di quelli che si scaricano gratis da Internet nella mia attività aziendale/professionale?—-NO: la maggior parte degli antivirus che si scaricano da Internet sono per uso personale(casalingo), non possono essere usati liberamente in attività imprenditoriali o professionali (P.IVA), salvo alcuni che sono espressamente consentiti dalla Licenza. Inoltre spesso sono privi di alcune funzioni.
  • Sono obbligato a fare backup dei miei dati importanti?—-SI: soprattutto se parliamo di una attività professionale/aziendale che tratta dati anche sensibili (sanitari) e/o giudiziari. L’attuale normativa sulla Privacy, D.Lgs. n. 196/2003, prevede almeno il backup settimanale dei dati più importanti su un supporto informatico esterno e possibilmente non nello stesso luogo ove risiedono i dati principali
  • Devo fare una manutenzione costante dei miei computer?—-SI: erroneamente si pensa che è conveniente e necessario chiamare un consulente tecnico nel momento in cui si verifica il problema. Potrebbe essere già troppo tardi, come nel caso di “cryptolocker”, un “ransomware” che cripta i dati ed un consulente tecnico che arrivasse dopo non avrebbe modo di recuperarli. Il D.Lgs. n. 196/2003 prevede un controllo degli apparati di rete (computer, router, firewall, etc) almeno ogni sei mesi.
  • Devo utilizzare una password anche se ho un solo computer che utilizzo solo io?—-SI: anche se il computer viene utilizzato da una sola persona, ed in special modo se si connette ad Internet, l’utilizzo della password protegge da accessi non autorizzati sia da Internet che da chiunque ne entrasse in possesso. Inoltre è richiesto sempre dal D.Lgs. n. 196/2003 All.B disciplinare tecnico.
  • Posso utilizzare nella mia attività software Open Source e sono affidabili?—-SI: lo stesso “Stato Italiano” nelle sue Amministrazioni, ha chiaramente imposto la scelta di Software Open Source come scelta primaria in alternativa a software proprietario. Ovviamente nella categoria Open Source, è consigliabile adottare software regolarmente supportati dalla Comunità, con date di rilascio non anteriori a 6 mesi/1 anno e magari derivati e supportati a livello internazionale.
  • Posso effettuare update ed upgrade dei miei computer da solo od avvalermi di persone di mia fiducia?—-POSSIBILE MA SCONSIGLIATO: Come prevede All.B art.25 del Disciplinare Tecnico del D.Lgs. n. 196/2003 :” Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall’installatore una descrizione scritta dell’intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico.” Una persona interna all’attività, seppur di fiducia, se non adeguatamente competente ed professionalmente aggiornata nel settore, potrebbe portare a danni imprevedibili ed esporre i sistemi ad insicurezze, con possibili sanzioni, anche penali, in capo al responsabile da parte degli Organi di Controllo e/o risarcitorie per dolo o colpa grave.
  • Ho bisogno di un computer moderno e potente per lavorare?—-NO: per un lavoro medio ed una utenza singola, potrebbe bastare un computer che però non superi i 5-7 anni massimo di vita. Ovviamente per un uso più professionale ed aziendale conviene, anche per motivi di sicurezza-qualità-velocità-compatibilità con nuove tecnologie, avere dei computer con circa 3 anni di vita e dimensionati per lo scopo (uso ufficio-server-workstation grafica). Un buon consulente potrà consigliarvi prima di effettuare acquisti, magari in promozione, non adatti allo scopo prefissato od in alcuni casi addirittura difformi da quanto previsto da norme tecniche.
  • Se stacco il mio computer da internet, rischio di prendere lo stesso dei virus se si trova in rete LAN con altri computer?—-SI: un computer staccato dalla rete Internet non ha possibilità di essere infettato da Internet, però se si trova in una LAN (Local Area Network) dello studio od aziendale, può essere infettato da altri computer, su cui magari un collega di lavoro ha inserito una chivetta USB portata da un cliente per transitare dati.
  • Posso utilizzare LINUX e Software Open Source per il mio lavoro insieme a Windows?—-SI: Linux è un Sistema Operativo consolidato e sicuro, sul quale si basa molto di quello che troviamo su Internet, in primis Google. Computer con Linux riescono ad interagire abbastanza bene in una rete in cui si trovano anche computer con Windows, se ben configurati e installati da personale tecnico competente. Inoltre  di molti software proprietari (a pagamento) per Windows, esistono valide alternative (Open Source) che possono essere installate sia su computer Windows che Linux.
  • Ho un modem/router con il wireless, posso metterlo a disposizione di chiunque per navigare?—-SI MA SCONSIGLIABILE: anche se attualmente è stata accantonata la legge che prevedeva obbligatoriamente di prendere le generalità di chi si connetteva tramite il nostro wireless (legge Pisanu), rimane sempre in capo a noi la responsabilità, sia penale che civile, nel caso qualcuno commetta reati od altre azioni tramite la nostra linea/wireless. Inoltre, come previsto dalla normativa D.Lgs 196/2003, è nostro compito adottare le “migliori misure di sicurezza disponibili” degli apparati di cui siamo proprietari o responsabili, compresa la criptazione (chiave Wi-Fi) della rete wireless.
  • Basta fare il backup dei documenti per rispettare la normativa sulla Privacy?—-NO: non basta assolutamente fare il backup dei soli documenti per rispettare Privacy e “requisiti minimi” di sicurezza. Infatti la legge chiarisce esplicitamente “entro 7 giorni il ripristino dei dati e dei sistemi”. Effettuare il backup documenti è solo una parte di un processo che coinvolge anche copia immagine del sistema operativo e delle sue configurazioni che potrebbero andare perse. Per esempio l’uso di mail gratuite ( free), non assicura assolutamente la copia backup delle mail da parte del gestore, per cui se non fatte da noi localmente potrebbero andare perse con imprevedibili conseguenze per la nostra attività. Un buon consulente può consigliarvi adeguatamente nel ridurre al minimo rischio e conseguenze.
  • Usare un UPS (gruppo di continuità) per proteggere i computer è importante?—-SI: usare un UPS, di adeguata potenza, per proteggere i computer è di estrema importanza appunto perchè non stiamo parlando di elettrodomestici. Un UPS oltre a stabilizzare la corrente che arriva allungando la vita dei computer, ci protegge da possibili sovracorrenti/sovratensioni che potrebbero danneggiare sia il PC che l’hard disk che contiene i dati. Inoltre in caso di black-out, se adeguatamente configurato, permette lo spegnimento regolare del PC in breve tempo, salvaguardando la struttura del filesystem che contiene i dati. Se protegge anche la linea adsl, molto meglio, dato che alcune sovracorrenti/sovratensioni potrebbero arrivare anche dalla linea telefonica.
  • Quali gli adempimenti per uno studio legale munito anche di apparati informatici?—- In un contesto tipico di studio legale nel quale in genere si opera, deve essere fatta una prima e precisa valutazione, prima di procedere nell’attuazione degli adempimenti imposti dalla legge, di come è strutturata la gestione organizzativa delle attività di trattamento, di quali siano le figure interne ed esterne dedicate ai trattamenti (titolare, responsabile e incaricati) e predisporre, eventualmente, precise deleghe e mansionari per gli incaricati. Dopo la valutazione, occorre passare alla gestione degli adempimenti. Per una gestione di trattamenti in conformità alla legge, inoltre, non deve assolutamente essere trascurato l’aspetto della sicurezza degli archivi anche cartacei oltre che informatici. Inoltre, per quanto attiene al caso specifico di uno studio legale, rileviamo che anche la semplice raccolta di fascicoli di causa dei clienti in faldoni deve considerarsi un trattamento di dati personali, svolto senza l’ausilio di strumenti automatizzati, non soggetto all’obbligo di notifica al Garante né al consenso dell’interessato, in quanto riguarda dati necessari all’adempimento di obblighi derivanti da un contratto di cui l’interessato è parte (articolo 24, lettera b del Codice). E’ obbligatorio, però, informare l’interessato ai sensi dell’articolo 13. Non è assolutamente in secondo piano, infine, l’obbligo dell’adozione delle misure per sicurezza dei dati, dettato dal combinato disposto dell’art.31 e segg. del Codice Privacy e dell’Allegato B.
  • Cosa si intende per digitalizzazione dei processi e può essere utile per la mia attività?—- SI: Per “Digitalizzazione dei Processi” si intende la trasformazione dei “processi lavorativi” da tradizionali, ovvero analogici (telefonata classica) e su carta (fotocopia), a digitali (informatici). In questo modo è possibile acquisire, attraverso i processi digitalizzati, tutte le informazioni in tempo reale che ci consentono di modulare la strategia aziendale in maniera più reattiva rispetto ad un processo tradizionale. Un buon processo di digitalizzazione ha suoi fondamenti nella “Normativa Globale“, fondamentale per rispettare i canoni obbligatori anche per legge; la “Competenza di Processo” alla quale si può arrivare tramite “Audit di Processo” di qualità, volti anche alla completa rivisitazione del processo stesso; la “Dinamicità Day by Day” ovvero l’adeguamento costante nel tempo alle dinamiche aziendali e di mercato o normative.
  • Il mio datore di lavoro può controllare le mie mail ed la navigazione web?—anche dopo il Jobs Act, i controlli datoriali devono comunque essere improntati a gradualità nell’ampiezza e nella tipologia con assoluta residualità dei controlli più invasivi, legittimati solo a fronte della rilevazione di specifiche anomalie e comunque all’esito dell’esperimento di misure preventive meno limitative dei diritti dei lavoratori. E così, ad esempio, ove il datore di lavoro riscontrasse la presenza di virus sui pc aziendali, dovrebbe dotarli di sistemi di filtraggio/blocco dei siti a rischio e non procedere al monitoraggio dei siti visitati. Del resto, come il Garante ha affermato in più occasioni, il datore di lavoro è tenuto all’individuazione preventiva della lista dei siti considerati correlati alla prestazione lavorativa, nonché dell’adozione di filtri per il blocco dell’accesso a determinati siti o del download di alcuni file. E non sono comunque consentite al datore di lavoro la lettura e registrazione sistematica delle e-mail e delle pagine web visualizzate dal lavoratore, la lettura e registrazione dei caratteri inseriti tramite tastiere e dispositivi analoghi, nonché l’analisi occulta di computer portatili affidati in uso.

computer-virus-update

Licenza Creative Commons
Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Condividi allo stesso modo 4.0 Internazionale.