Mamma ho perso i dati

DataStorage

Dietro al recente incremento dei casi di perdita dei dati aziendali sembra nascondersi una certa dose di distrazione dei reponsabili It, che a volte sembrano non capire a fondo il valore di quanto memorizzato sui propri sistemi

Ultimamente sembra di assistere ad un sensibile incremento di notizie che riportano della perdita di dati sensibili o strategiciper il business aziendale. Approfondendo le condizioni che hanno condotto alla perdita dei dati sembra esserci una certa dose di distrazione da parte dei responsabili It. In realtà, in molti casi tali responsabili sembrano non rendersi effettivamente conto di quali dati possano essere persi e di quale sia effettivamente il loro valore. Un esempio significativo di quanto può accadere è rappresentato da quanto vissuto da una società della quale non faremo il nome, che ha perso i record contenenti i dati di circa 3,9 milioni di suoi clienti. In base al rapporto fornito dal’agenzia Reuters, i dati smarriti erano contenuti su di un nastro affidato a UPS per essere trasportato a un’agezia di credito. E’ vero che normalmente tali trasporti sono assicurati e vengono risarciti, ma forse è sbagliato dall’inizio considerare dati sensibili alla stregua dei comuni pacchi normalmente trasferiti utilizzando i corrieri. Ecco cosa intendevamo dire che spesso i responsabili It non sono completamente coscienti del valore dei dati aziendali e si limitano a trattarli come i comuni documenti, affidandoli a sistemi non sufficentemente sicuri. Episodi come quello appena descritto non impattano sull’azienda solo a livello del tempo necessario al recupero attraverso l’eventuale backup dei dati smarriti, ma può avere rispercussioni legali sui responsabili aziendali dei più alti livel li. Nel nostro paese infatti, il Testo Unico sulla Privacy prevede risvolti penali per i legali rappresentanti di un’azienda che non siano in grado di dimostrare di aver implementato le opportune misure di protezione dei dati sensibili. Per esempio se il nastro smarrito da Ups fosse finito inavvertitamente nelle mani sbagliate i dati in esso contenuti sarebbero potuti arrivare a società concorrenti. A quel punto i clienti contattati da tali società, avrebbero potuto chiedere come mai i dati da loro affidati alla nostra società fossero stati ceduti a terzi senza la loro autorizzazione. Una tale evenienza avrebbe avuto una doppia ripercussione aziendale. Come prima cosa, i dati relativi a clienti strategici sarebbero stati da quel momento disponibili alla concorrenza, con inevitabili ripercussioni economiche. Inoltre, l’eventuale denuncia di un solo cliente al Garante Privacy avrebbe esposto i vertici aziendali a ripercussioni penali. Purtroppo torniamo al discorso che molti responsabili ignorano le loro effettive responsabilità e il valore economico/legale dei dati a loro affidati. Spesso ogni organizzazione raccoglie dati che forniscono informazioni di vari tipi. L’azienda li possiede, ma i responsabili del loro trattamento sanno esattamente dove sono e che tipo di informazioni trasportano? La prima operazione da eseguire per risolvere il problema sin qui discusso è quella di effettuare una verifica della privacy. Tale verifica prevede un certo numero di domande relative ai dati sensibili raccolti dalla propria organizzazione. Eccone alcuni esempi: – Quale tipo di dati identificativi sono raccolti? – In quale modo tali dati sono raccolti? – Perché (per quali scopi) tali dati sono stati (vengono) raccolti? – Sono state stabilite particolari condizioni per il loro utilizzo (interne o esterne) – Chi è il proprietario dei dati e chi è il loro custode? – Chi utilizza i dati, perché e come normalmente puo accedervi (remotamente, via Web, dal proprio notebook o Pda) – Dove sono archiviati tali dati? – Parte dei dati sono normalmente registrati su dispositivi che possono essere portati all’esterno dell’azienda (laptop o Pda)? – Esistono delle copie di backup? Se si è necessario contemplare anche le seguenti domande: – I dati sono condivisi con partner esterni? – Esistono dei log relativi all’accesso ai dati? – Dove sono archiviati i file di log? – I file di log sono sufficientemente protetti? – Quali altre misure di sicurezzaa sono previste per la protezione dei dati (firewall, intrusion detection system)? Una volta risposto alle precedenti domande dovrebbe essere abbastanza chiaro il tipo di dati che ci si trova a gestire e dove effettivamente risiedono. La brutta notizia è che qualsiasi tecnologia al mondo non potrà essere utile alla protezione di questi dati fino a quando tutti i soggetti coinvolti nella loro gestione e utilizzo non comprenderanno pienamente i problemi legati alla loro perdita e non saranno completamente coscienti delle loro responsabilità. La società che ha smarrito I propri dati attraverso UPS ad esempio, presa coscienza della loro importanza ha implementato una tecnologia di codifica con la quale proteggerli. In questo modo, anche se il nastro cadesse inavvertitamente nelle mani sbagliate, i dati sarebbero inutilizzabili. La soluzione adottata è stata semplice, ma è stata messa in atto solo dopo aver compreso il valore dei dati trasferiti e quanto essi fossero vulnerabili. La soluzione è stata applicata a livello di policy più che a livello di tecnologia. In effetti alcune delle soluzioni più efficienti richiedono semplicemente un maggior grado d’informazione e il loro livello tecnologico non deve necessariamente essere elevato. Per rendere meglio il concetto basta pensare che sarà possibile applicare qualsiasi tipo di protezione ai dati aziendali di cui si è responsabili, ma tali accorgimenti potrebbero essere facilmente annullati dal loro trasferimento su un laptop o un Pda da parte di uno degli autorizzati al loro utilizzo. Se tale soggetto non risultasse abbastanza informato del valore dei dati trasferiti e delle sue responsabilità nei loro confronti, tutte le protezioni aziendali attivate potrebbero alla fine rivelarsi inutili.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore