Privacy e sicurezza per le PMI
Inserito da Redazione il Gio, 2006-01-19 17:26
Gennaio 2006 | Privacy | Security
0601-privacyPmi Intervista a Ivano Greco di Firenze Tecnologia
IsacaRoma: Cos'è Firenze Tecnologia?
Ivano Greco: Firenze Tecnologia è l’azienda speciale della Camera di Commercio dedicata a supportare le PMI nei processi di innovazione. Dal 2002 la Camera di Commercio e l’Ente Cassa di Risparmio di Firenze hanno finanziato il “Progetto Sicurezza Informatica”, sicurinfo. Proprio grazie a questo progetto, Firenze Tecnologia ha potuto avviare una serie di attività che ancora oggi sviluppano nuovi percorsi e generano benefici per le imprese del territorio.
Nel progetto sono state coinvolte più di trenta aziende del territorio fiorentino che hanno partecipato a diverse giornate di consulenza in tema di sicurezza delle informazioni. È stato organizzato un ciclo di seminari informativi, a partecipazione libera, sulle tematiche inerenti l’introduzione al D.Lgs 196/03, le modalità di redazione del Documento programmatico sulla sicurezza (Dpss), metodologie per l'analisi del rischio e lo Standard BS7799.
È stato pubblicato anche l’opuscolo informativo: “La Sicurezza delle informazioni nelle PMI: Metodologia Aperta per la Gestione della Sicurezza” (pdf, 222 K), per fornire alle imprese un modello di approccio metodologico utile negli aspetti organizzativi, legali e tecnologici della sicurezza informatica. I risultati del progetto, le metodologie e tutte le iniziative sono disponibili sul sito web di sicurinfo, punto di riferimento per tutti coloro interessati alla materia. Proprio per l’importanza e l’ufficialità che riveste l’associazione Clusit nell’ambito della sicurezza informatica, Firenze Tecnologia ne è diventata socia dal 2003.
IR: Lei che ruolo ha nell'organizzazione?
IG: In qualità di Lead Auditor BS7799, svolgo attività di tutoraggio in aziende ed enti locali che intendono avviare o gestire le procedure inerenti la sicurezza delle informazioni, in conformità al D.Lgs 196/03 e allo standard ISO/BS7799. Le attività vengono svolte coordinando le competenze interne e le aziende del territorio con cui Firenze Tecnologia ha collaborato per avviare un percorso di crescita costante e maturo.
IR: Privacy e sicurezza: un binomio inscindibile e spesso anche in contraddizione. Qual è la vostra visione?
IG: Per essere competitivi nel mercato, i processi strategici devono essere gestiti attraverso strumenti elettronici. L'informatica sta semplificando e velocizzando la gestione delle informazioni, fornendo nuove opportunità alle imprese, ma esponendole anche a nuovi rischi, inerenti la mancata integrità, confidenzialità e disponibilità di dati e informazioni. La protezione dai rischi impone al management l'attivazione di processi per una gestione affidabile della sicurezza informatica.
IR: A volte il costo della sicurezza (e degli adempimenti normativi in generale) sembra spropositato rispetto ai (potenziali) benefici? Quali sono i vostri consigli? Perché la scelta Open Source?
IG: Affinché la sicurezza non sia percepita solo come un costo da parte dell’imprenditore è necessario investire nella formazione del personale interno. Infatti, un’azienda di consulenza esterna può solo impostare il processo di gestione della sicurezza delle informazioni e concordare con il cliente le principali modalità operative. Per dare continuità alla gestione del processo, è necessario che il personale interno sviluppi delle competenze che migliorino nel tempo. Appurato che le imprese devono tenere conto del lato economico degli investimenti in formazione, risulta strategica la scelta di adottare il Software Libero, cioè software che può essere liberamente utilizzato da chiunque ne abbia le competenze per farlo funzionare e che non richiede il pagamento della licenza d'uso. Se necessario l'azienda potrà tutelarsi stipulando un contratto di assistenza con aziende che supportano l'installazione e la manutenzione del software. Un esempio di questo metodo di lavoro è OpenPrivacy, Software Libero a supporto delle PMI nel processo di gestione delle Misure Minime di Sicurezza da adottare in conformità al D.Lgs 196/03.
IR: Cos'è il sistema OpenPrivacy ?
IG: OpenPrivacy, liberamente scaricabile dal nostro sito, si basa su GNU/Linux Debian, Samba, LDAP, Squid. I file di configurazione rilasciati permettono di gestire, così come richiesto dal D.Lgs 196/03 - Testo Unico Privacy, le autenticazioni, i profili di accesso, le politiche per le password, lo spazio disco condivisibile (FileServer), l'elenco aggiornato degli utenti e dei privilegi, le operazioni di backup su HD USB esterno (o su altro dispositivo presente in azienda), l'estensione della autenticazione e dei profili d’accesso alle connessioni Internet.
Il sistema è stato sviluppato per permettere l'interoperabilità fra il mondo Microsoft e Linux. Lo scorso settembre 2005 Firenze Tecnologia ha organizzato a Firenze il primo corso di formazione per gestire autonomamente le Misure Minime di Sicurezza con OpenPrivacy. Presto sarà disponibile sul sito del progetto il calendario aggiornato dei corsi per l’anno 2006.
OpenPrivacy è uno strumento di supporto al processo di gestione della sicurezza, che può essere adottato dalle organizzazioni che intendono automatizzare la gestione delle Misure Minime di Sicurezza previste.
IR: Dopo l'ultimo rinvio delle misure minime di sicurezza sulla privacy come ci si deve comportare?
IG: Le aziende devono tutelare il proprio patrimonio informativo aziendale, inteso sia come informazioni di business (produzione, controllo di gestione) che dati personali (clienti e fornitori) e i sensibili (di solito dei dipendenti). Ciascuno dato deve essere trattato con le opportune e diverse modalità, sempre in funzione delle aspettative di tutela aziendali.
È sempre bene prevenire i danni che possono essere creati da una gestione non oculata delle proprie informazioni: si tratta di investire risorse prima che sia troppo tardi e che il danno diventi eccessivamente oneroso per l’azienda.
IR: Grazie e buon lavoro
IG: Grazie a voi
IsacaRoma: Cos'è Firenze Tecnologia?
Ivano Greco: Firenze Tecnologia è l’azienda speciale della Camera di Commercio dedicata a supportare le PMI nei processi di innovazione. Dal 2002 la Camera di Commercio e l’Ente Cassa di Risparmio di Firenze hanno finanziato il “Progetto Sicurezza Informatica”, sicurinfo. Proprio grazie a questo progetto, Firenze Tecnologia ha potuto avviare una serie di attività che ancora oggi sviluppano nuovi percorsi e generano benefici per le imprese del territorio.
Nel progetto sono state coinvolte più di trenta aziende del territorio fiorentino che hanno partecipato a diverse giornate di consulenza in tema di sicurezza delle informazioni. È stato organizzato un ciclo di seminari informativi, a partecipazione libera, sulle tematiche inerenti l’introduzione al D.Lgs 196/03, le modalità di redazione del Documento programmatico sulla sicurezza (Dpss), metodologie per l'analisi del rischio e lo Standard BS7799.
È stato pubblicato anche l’opuscolo informativo: “La Sicurezza delle informazioni nelle PMI: Metodologia Aperta per la Gestione della Sicurezza” (pdf, 222 K), per fornire alle imprese un modello di approccio metodologico utile negli aspetti organizzativi, legali e tecnologici della sicurezza informatica. I risultati del progetto, le metodologie e tutte le iniziative sono disponibili sul sito web di sicurinfo, punto di riferimento per tutti coloro interessati alla materia. Proprio per l’importanza e l’ufficialità che riveste l’associazione Clusit nell’ambito della sicurezza informatica, Firenze Tecnologia ne è diventata socia dal 2003.
IR: Lei che ruolo ha nell'organizzazione?
IG: In qualità di Lead Auditor BS7799, svolgo attività di tutoraggio in aziende ed enti locali che intendono avviare o gestire le procedure inerenti la sicurezza delle informazioni, in conformità al D.Lgs 196/03 e allo standard ISO/BS7799. Le attività vengono svolte coordinando le competenze interne e le aziende del territorio con cui Firenze Tecnologia ha collaborato per avviare un percorso di crescita costante e maturo.
IR: Privacy e sicurezza: un binomio inscindibile e spesso anche in contraddizione. Qual è la vostra visione?
IG: Per essere competitivi nel mercato, i processi strategici devono essere gestiti attraverso strumenti elettronici. L'informatica sta semplificando e velocizzando la gestione delle informazioni, fornendo nuove opportunità alle imprese, ma esponendole anche a nuovi rischi, inerenti la mancata integrità, confidenzialità e disponibilità di dati e informazioni. La protezione dai rischi impone al management l'attivazione di processi per una gestione affidabile della sicurezza informatica.
IR: A volte il costo della sicurezza (e degli adempimenti normativi in generale) sembra spropositato rispetto ai (potenziali) benefici? Quali sono i vostri consigli? Perché la scelta Open Source?
IG: Affinché la sicurezza non sia percepita solo come un costo da parte dell’imprenditore è necessario investire nella formazione del personale interno. Infatti, un’azienda di consulenza esterna può solo impostare il processo di gestione della sicurezza delle informazioni e concordare con il cliente le principali modalità operative. Per dare continuità alla gestione del processo, è necessario che il personale interno sviluppi delle competenze che migliorino nel tempo. Appurato che le imprese devono tenere conto del lato economico degli investimenti in formazione, risulta strategica la scelta di adottare il Software Libero, cioè software che può essere liberamente utilizzato da chiunque ne abbia le competenze per farlo funzionare e che non richiede il pagamento della licenza d'uso. Se necessario l'azienda potrà tutelarsi stipulando un contratto di assistenza con aziende che supportano l'installazione e la manutenzione del software. Un esempio di questo metodo di lavoro è OpenPrivacy, Software Libero a supporto delle PMI nel processo di gestione delle Misure Minime di Sicurezza da adottare in conformità al D.Lgs 196/03.
IR: Cos'è il sistema OpenPrivacy ?
IG: OpenPrivacy, liberamente scaricabile dal nostro sito, si basa su GNU/Linux Debian, Samba, LDAP, Squid. I file di configurazione rilasciati permettono di gestire, così come richiesto dal D.Lgs 196/03 - Testo Unico Privacy, le autenticazioni, i profili di accesso, le politiche per le password, lo spazio disco condivisibile (FileServer), l'elenco aggiornato degli utenti e dei privilegi, le operazioni di backup su HD USB esterno (o su altro dispositivo presente in azienda), l'estensione della autenticazione e dei profili d’accesso alle connessioni Internet.
Il sistema è stato sviluppato per permettere l'interoperabilità fra il mondo Microsoft e Linux. Lo scorso settembre 2005 Firenze Tecnologia ha organizzato a Firenze il primo corso di formazione per gestire autonomamente le Misure Minime di Sicurezza con OpenPrivacy. Presto sarà disponibile sul sito del progetto il calendario aggiornato dei corsi per l’anno 2006.
OpenPrivacy è uno strumento di supporto al processo di gestione della sicurezza, che può essere adottato dalle organizzazioni che intendono automatizzare la gestione delle Misure Minime di Sicurezza previste.
IR: Dopo l'ultimo rinvio delle misure minime di sicurezza sulla privacy come ci si deve comportare?
IG: Le aziende devono tutelare il proprio patrimonio informativo aziendale, inteso sia come informazioni di business (produzione, controllo di gestione) che dati personali (clienti e fornitori) e i sensibili (di solito dei dipendenti). Ciascuno dato deve essere trattato con le opportune e diverse modalità, sempre in funzione delle aspettative di tutela aziendali.
È sempre bene prevenire i danni che possono essere creati da una gestione non oculata delle proprie informazioni: si tratta di investire risorse prima che sia troppo tardi e che il danno diventi eccessivamente oneroso per l’azienda.
IR: Grazie e buon lavoro
IG: Grazie a voi
» email this story | printer friendly version | 2259 reads
