tag:blogger.com,1999:blog-9322354.post-62709019544390761772007-06-18T12:10:00.000+02:002007-06-19T21:00:16.059+02:00<p>Metti una sposina che, a casa la sera, sola, quando suo marito è fuori a giocare a poker con gli amici, decide di ascoltarsi della buona musica.<br />Metti che voglia ascoltare proprio l'ultimo CD degli Artic Monkeys, di cui ha sentito un pezzo di sfuggita l'altro giorno in radio e che tanto gli è piaciuto.<br />Metti che il negozio di dischi sia chiuso e che la sposina non abbia altro a disposizione che il PC del maritino, di cui conosce la password di accesso.<br />Metti, infine, che sul notebook sia installato Kazaa...<br />Risultato: la sposina mette a disposizione della rete le informazioni di 17.000 tra impiegati attuali e passati del gigante farmaceutico Pfizer, dati contenenti informazioni sensibili come il Social Security Number associato al nome (leggete l'articolo su <a href="http://www.theregister.co.uk/2007/06/14/pfizer_p2p_data_leak/">The Register</a> per saperne di più).<br />Dimenticavo: il marito, come è lecito pensare, lavora alla Pfizer.</p><p>Risultato per la Pfizer: un'offerta ai dipendenti interessati di un servizio di monitoraggio del credito per un anno.<br /></p><p>Cosa possiamo trarre da tutto questo?</p><p>Prima di tutto che non dovremmo lasciare le mogli sole a casa la sera, onde evitare accadimenti oltremodo spiacevoli.<br />Ma ancora più importante è la necessità di una serie di regole che le aziende dovrebbero implementare: innanzitutto di sensibilizzazione e di proceduralizzazione che si estrinseca nel comunicare che alcuni strumenti non possono essere installati dall'azienda e non devono essere installati dai dipendenti.<br />Dal momento che mettere solo un avviso non basta come misura contro un comportamento indesiderato, sarà necessario impedire questo tipo di comportamenti, e quindi installare appositi sistemi che impediscano l'installazione di software non desiderato oppure che ne consentano il monitoraggio.<br />Spesso nelle aziende non viene compreso che la maggior sicurezza è un fattore abilitante al proprio business: vengono implementate procedure utili solo qualora la normativa lo richieda.<br />A nessun ente, poi, viene demandato l'onere del controllo, ma solo nel caso di un procedimento giudiziario sarà possibile scoprire se l'azienda aveva ottemperato agli obblighi normativi (in Italia, la 196/03 impone alle aziende di proteggere i dati sensibili e di adeguare la propria sicurezza con il progredire delle minacce, implementando quindi nuovi sistemi e procedure di controllo).<br />Gli USA e il Regno Unito hanno fatto un passo in più: impongono alle aziende che hanno subito perdite di dati sensibili di avvisare le potenziali vittime e di darne quindi pubblica notizia.<br />Certo è che, nemmeno in questo caso, si avrà la sicurezza che l'azienda ottemperi all'imposizione normativa, ma le sanzioni, nel caso che la notizia arrivasse all'autorità giuridica, sono ovviamente severe.<br />Credo che alla fine il cerchio si debba chiudere sull'azienda che deve raggiungere la consapevolezza del grado di rischio che per sé stessa può avere una perdita di dati: reputazione, danni finanziari, procedimenti giuridici, multe, sono le potenziali conseguenze a cui può andare incontro.<br />Ho messo per prima la reputazione, proprio perché è quella che ha l'impatto maggiore: sia che si tratti di una banca, sia che si parli di un negozio online, la fiducia che l'utente ha nell'azienda che perde i suoi dati può calare vertiginosamente a fronte di una fuga di informazioni.<br /></p>Stefanohttp://www.blogger.com/profile/16213979966016948621noreply@blogger.com