Lunidata Blog di Stefano Tonelli

Allo scopo di trattare in modo più approfondito l’argomento Privacy, soprattutto relativamente agli adempimenti e alle linee guida per aziende e professionisti, ho creato il blog www.soluzioneprivacy.it che vi invito a visitare.

Questo spazio mi consentirà inoltre di parlare dei nuovi strumenti che sto testando e mettendo a punto con l’obiettivo di permettere alle aziende e agli studi professionali di gestire la problematica Privacy in maniera corretta e a costi contenuti.

Per i più pigri è disponibile anche la newsletter!l

sicurezza informatica consulenza privacy, normativa privacy, priva, privacy

Il 31 Marzo scade, come ogni anno, il termine per la stesura del DPSS, il documento programmatico in materia di protezione e sicurezza dei dati personali. Quest’anno lascio ad altri il compito di fornire consigli utili di ordine pratico, vorrei invece ragionare più sull’impatto che la normativa Privacy ha sulle aziende e sui professionisti e su come viene vissuta quest’incombenza.

Fin dall’entrata in vigore del 2004, il DM196/03 è stato visto più come un’inutile peso che come un’opportunità per migliorare la sicurezza dei sistemi e delle procedure per il trattamento dei dati. Chi come me ha investito molto sulla propria formazione con l’obiettivo di poter fornire una buona consulenza ai propri clienti, ha dovuto poi scontrarsi con la scarsa volontà da parte dei clienti stessi di adottare le misure minime e di produrre la documentazione che la normativa prevede. Insomma, per aziende e professionisti la normativa Privacy è solo un inutile costo, da affrontare soltanto con l’obiettivo di evitare sanzioni spropositate.

Inoltre l’obiettivo principale che la legge voleva raggiungere, cioè la modifica delle comuni abitudini nei confronti del trattamento dei dati personali, non è stato neppure minimamente avvicinato. Di fatto tutti quelli che - come il sottoscritto - hanno fatto cancellare il proprio numero di telefono dagli elenchi pubblici, ricevono sempre le solite telefonate promozionali durante le ore di pranzo e cena e, di fatto, mia moglie prova sempre il solito disagio nell’inviare al lavoro il certificato medico in quanto è cosciente che, in un batter d’occhio, tutti i colleghi verranno a conoscenza del suo problemino fisico.

Da quest’anno poi, ad alimentare la sensazione di inutilità della normativa, si è aggiunta anche la necessità di tracciare gli accessi degli amministratori di sistema ai sistemi stessi. A lato pratico questa tracciatura non ha alcuna efficacia in quanto non è previsto il monitoraggio delle attività che l’amministratore ha effettuato. Si tratta quindi di un adempimento che crea solamente costi aggiuntivi senza generare alcun vantaggio per l’azienda.

Cumunque sia le leggi vanno rispettate ed è obbligatorio quindi rispettare le misure minime e produrre la documentazione necessaria, magari facendosi aiutare da uno di quei consulenti demotivati che copiaincollano le informative, così come copiaincollano da altri siti (senza chiedere il permesso) i testi per i loro pagine di presentazione sul web. Provare per credere:

Sito originale: http://www.lunidata.it/privacy.vsf
Sito clone: http://www.bit-sound.com/bit_consulting%20-%20consulenza%20privacy.asp

sicurezza informatica consulenza privacy, garante privacy, normativa privacy, privacy, software privacy

I dati riportati in questo articolo su Blog PMI sono inquietanti ma purtroppo veri. Anzi, direi che sono arrotondati per difetto. Se è vero che il 67% degli utenti aziendali non rispetta le policy aziendali relative alla sicurezza dei dati, è ancor più vero che il 33% delle PMI italiane non prevede alcuna policy. Credo che se l’indagine fosse effettuata sulle piccole aziende, tale percentuale sfiorerebbe allegramente il 70/80%.

Esiste una sorta di ottimismo fatalista che autorizza gli utenti a non adottare precauzioni e accorgimenti per evitare la perdita di dati. Mi ricorda molto il mitico capitano di volo Tombale (alias Lino Banfi) che rassicurava i passeggeri del suo aereo con la famosa frase: “Fumate pure, tanto se deve succedere succede“.

Eppure la semplice copia dei documenti e/o dei database eseguita settimanalmente su un qualsiasi supporto removibile, unita all’adozione di un valido software antivirus e a un uso consapevole delle risorse Web,  sono accorgimenti più che sufficienti per salvaguardare i dati aziendali e per dormire sonni tranquilli.  Basta poco, perché rischiare?

sicurezza informatica backup, policy aziendali, sicurezza informatica

A titolo statistico riporto, in ordine inverso, le principali cause di perdita di dati riscontrate sul campo.

5) Furto di PC e/o server.
4) Clamorosa scarica elettrica notturna dovuta a temporale o brevi interruzioni diurne dell’energia elettrica.
3) Formattazione accidentale dovuta a ripristino da virus o tentativi di upgrade.
2) Si è rotto l’hard disk. In effetti era da un po’ di tempo che faceva un rumore strano…
1) Ooppss… ho premuto CANC!

In caso di perdita dei dati è comunque possibile eseguire un ripristino utilizzando un back-up recente. Perché abbiamo un back-up recente, vero?

sicurezza informatica backup, disaster recovery, ripristino dati

Ho sempre pensato che gli utenti Windows si dividessero i due categorie: quelli che mettono la password uguale all’username e quelli che invece usano password complesse che poi annotano in fogliettini attaccati al monitor o alla tastiera.

Oggi ho scoperto l’esistenza di una nuova categoria di utenti: quelli che la password la digitano a memoria.

Detta così sembrerebbe una cosa normale, la realtà è un po’ più complicata. Ecco il dialogo che ha portato alla rivoluzionaria scoperta:

TL (Tecnico Lunidata) - Avrei bisogno della sua password per poter accedere alla macchina ed effettuare l’installazione del software.
UT (Utente) - Ma io la password non la conosco.
TL - Bè, dovrebbe conoscerla visto che la usa tutti i giorni per accedere al PC.
UT - Sì, accedo al PC ma la digito a memoria.
TL - Ok, quindi la ricorda. Potrebbe dirmela per cortesia?
UT - No, guardi, la digito a memoria nel senso che premo i tasti a memoria senza vedere quali tasti sto premendo…

Mi riesce difficile immaginare un livello di sicurezza superiore a quello della password ‘digitata a memoria’. In effetti l’utente non saprebbe rivelarla nemmeno sotto tortura! Piuttosto geniale, vero?

(image from http://www.freedigitalphotos.net/)

sicurezza informatica password

Kaspersky Antivirus è certamente uno tra i migliori prodotti per la sicurezza di desktop e server in ambiente Windows. Premesso che la sicurezza assoluta non esiste, avere un prodotto come Kaspersky - correttamente installato, configurato e aggiornato - permette di dormire sonni piuttosto tranquilli.

Da alcuni giorni è possibile trovare Kaspersky Small Office Security in versione box sullo scaffale del supermercato, e questo ha fatto un po’ storcere il naso ai noi Kasperskysti della prima ora che avremmo preferito continuare a trattare un prodotto di nicchia. L’insediamento della filiale italiana ha invece spostato il marketing verso un ampio target, con conseguente distribuzione dei box nella GDO e la localizzazione del negozio on-line (con tanto di programma di affiliazione), tramite il quale è possibile acquistare licenze e rinnovi.

La speranza è che la massificazione del brand non incida sulla qualità del software, cioè che Kaspersky non si nortonizzi investendo risorse più sulla comunicazione che sullo sviluppo, con il rischio di diventare un prodotto diffusissimo ma di qualità mediocre.

sicurezza informatica, software antivirus, kaspersky, kaspersky e-commerce

Parliamo ancora di Privacy considerato che siamo al 31 di marzo cioè nel giorno di scadenza del DPSS annuale. Ho trovato decisamente interessante l’articolo di oggi su Lineaedp che vi consiglio di leggere e che si può sintetizzare nelle parole dell’avvocato Valentina Frediani che dice: “la Privacy va vista come un valore aggiunto perché stimola la protezione del dato aziendale“.

Il concetto è in linea con quanto scritto sul nostro sito web: ” [...] la normativa, per quanto complessa e in alcuni aspetti troppo restrittiva, offre un importante spunto per migliorare la situazione aziendale in termini soprattutto di procedure informatiche [...]“.

Del resto vediamo spesso all’interno di aziende e studi professionali, situazioni di scarsa attenzione in materia di Privacy, situazioni che potrebbero creare notevoli danni economici oltre che comportare problemi di rilevanza penale. Adeguare i propri comportamenti e creare un regolamento interno per l’utilizzo degli strumenti informatici sono le due opzioni a basso costo (praticamente a costo zero la prima) che risultano indispensabili per la corretta gestione dei dati e del sistema informatico aziendale.

sicurezza informatica consulenza privacy, dpss, normativa privacy, privacy, scadenza 31 marzo

Come spiegato chiaramente in questo articolo su 01.net, in questi giorni sta girando un messaggio e-mail di Microsoft e che invita a installare un importante aggiornamento di sicurezza. Ovviamente si tratta di un falso e l’aggiornamento di sicurezza altro non è che un virus, nello specifico una variante del troyan Zbot. Nonostante il buon senso possa far intuire quanto sia improbabile che Microsoft invii una e-mail ai suoi clienti e nonostante il messaggio sia scritto nel classico italiano stentato dei traduttori automatici, non è da escludere la possibilità di un’infezione di massa.

sicurezza informatica bufale, troyan, virus

Abbiamo raggiunto il picco. Ovviamente non mi riferisco all’influenza ma al virus informatico denominato Conficker. Il suo meccanismo di propagazione è chiaramente spiegato sul blog di Feliciano Intini, chief security advisor di Microsoft Italia.

Per sconfiggere il virus è necessario installare tutti gli aggiornamenti di Windows compreso il Malicious Software Removal Tool. Per eseguire la scansione del sistema, digitare MRT su “Start”, “Esegui”, e fare click su “OK”. Consiglio di effettuare una scansione completa. L’operazione può richiedere anche alcune ore, la durata dipende dalla quantità di file presenti sul PC e dalle prestazioni della macchina.

sicurezza informatica aggiornamenti microsoft, malware, virus, virus conficker

Microsoft ha pubblicato questo bollettino sulla sicurezza straordinario relativo ad una vulnerabilità critica rilevata praticamente su tutti i sistemi operativi con tecnologia NT.

Il consiglio è quello di leggere il bollettino e installare l’aggiornamento per il proprio sistema. I nostri clienti che hanno attivo il servizio WSUS non dovranno fare nulla in quanto la patch verrà installata in automatico. ST

sicurezza informatica aggiornamenti microsoft