jump to navigation

Pubblicate in G.U. le Regole tecniche: arriva il nuovo “sistema di conservazione” dei documenti informatici sabato 15 marzo 2014

Posted by andy in Information Security, tecnologia.
Tags: , , , ,
add a comment

Sono state pubblicate in G.U. le Regole tecniche per il nuovo “sistema di conservazione” dei documenti informatici.

Una delle novità riguarda il concetto di “sistema di conservazione“, che viene definito come un sistema che, in tutto il ciclo di vita del documento, deve assicurarne la conservazione con i metadati a essi associati, tramite l’adozione di regole, procedure e tecnologie idonee a garantirne le caratteristiche di autenticità, integrità, affidabilità, leggibilità e reperibilità.

Non intendo qui entrare nel merito delle caratteristiche di autenticità, integrità, affidabilità e reperibilità, che sono di fatto da anni oggetto degli obblighi derivanti dalla Legge sulla Privacy (d.Lgs. 196/2003), e successive integrazioni e modifiche.

Grazie alla redazione del DPS, tali obblighi hanno in sostanza portato all’attenzione del top management delle aziende ed anche dei professionisti la necessità di gestire la sicurezza delle informazioni in tutto il loro ciclo di vita.

Desidero invece concentrarmi su uno dei termini invece ha delle implicazioni che probabilmente sfuggono ai più: la ‘leggibilità‘.
Supposto che siamo in grado di assicurare una lunga vita al documento informatico, siamo altrettanto in grado di garantirne la sua leggibilità?
Già oggi è estremamente difficile trovare del software che sia in grado di aprire documenti realizzati con le prime versioni di Word, Access, etc. (per non parlare di quelli redatti con i programmi di office automation che giravano prima su DOS e su altre piattaforme (Commodore, Sinclair, etc.).
E se anche inseriste nel vostro ciclo di vita di gestione delle informazioni anche la preservazione del software necessario, il giorno che vi occorresse, sareste ancora in grado di utilizzarlo?
Potrebbe essere definitivamente scaduta la licenza d’uso, o non essere più supportato dall’ultima versione del sistema operativo che avete adottato a livello aziendale …
Senza voler fare dell’allarmismo, già oggi esistono parecchie criticità nell’utilizizare all’interno di WIndows 7 applicativi scritti per versioni precedenti di Windows e del DOS – vedi il workaround del XPmode).
Windows 8.1 prevede l’utilizzo del DRM: il che significa che Microsoft avrà il controllo sul software che utilizzerete; a fronte di una licenza scaduta, il produttore del software potrebbe impedire l’esecuzione del programma, o addirittura forzarne la disinstallazione.
In sostanza, garantire la leggibilità di un documento potrà divenire potenzialmente impossibile.

Ovviamente esistono anche gli standard aperti ed il software libero, ma queste sono scelte strategiche che in pochi sono in grado di affrontare.

 

A proposito …
visto che per poter rendere ‘leggibile’ un documento possono essere necessari dell’hardware obsoleto ed anche una o più licenze di software anch’essi potenzialmente obsoleti, in caso di giudizio quale delle parti ha l’onere di fornire la piattaforma per poter presentare il documento?

Ed il giudice stesso, volendo consultare gli atti del processo può avere necessità di fare accesso al documento stesso; anche nell’ottica della dematerializzazione deve andare da una delle parti e farsi stampare tutto?
O si fa mettere a disposizione una copia del sistema informatico necessario per poter leggere il documento?

Annunci

Perché l’Information Security non viene accettata? lunedì 21 febbraio 2011

Posted by andy in Information Security.
Tags: , , ,
add a comment

L’Information Security e’ un business enabler. Se fatta bene, aiuta a riportare a livelli gestibili i rischi a riservatezza, disponibilita’ e integrita’ dei dati.

Ragionando con il buon senso, chi può volere dati la cui riservatezza non puo’ essere garantita? E tali dati devono essere presenti e disponibili quando occorrono, e devono anche essere esattamente come ce li si aspetta.

La security e’ un business enabler anche sotto un altro punto di vista, piu’ strutturale: ogni rischio e’ monetizzabile. Questo implica avere una policy di (overall) information security, ossia lavorare in un framework.

È vero che la sicurezza delle informazioni, ma nella gestione di un’attività si è abituati a ragionare sui costi, a partire dalle graffette fino al personale da impiegare.

È ragionevole scontrarsi con il budget e cercare di ridurre i costi, ma ignorarli proprio?

Nessuno pensa di non acquistare più buste per presentare offerte in sede di gara, o programmatori per realizzare il software: dovrebbe quindi essere implicita l’accettazione di costi per la sicurezza delle informazioni.

Perché la realtà è diversa dalla teoria?
In effetti in parte la cosa forese dipende dal fatto che chi oggi ricopre le posizioni decisionali è probabilmente ‘nato’ in ambiente mainframe, dove la sicurezza esisteva sia intrinsecamente nell’infrastruttura e nella tecnologia, sia nello scarso know-how del personale, e nella minima accessibilità ai dati che esisteva (ovviamente la cosa è un po’ ‘tirata’, ma non credo di sbagliare di molto).

Tutte queste persone non concepiscono neppure l’idea che una persona possa portarsi via un hard-disk: un tempo erano grossi come scatoloni e pesavano molti chili.
Ed ancor meno concepiscono che l’hard-disk possa essere portato via in qualcosa che è ancora più piccolo di un floppy disk.

A corredo credo che debba essere considerata la concezione per cui il software vale il ferro che lo fa girare: non per niente ho visto firo di progetti in cui per dare valore ad un software sono state vendute caterve di server molto costosi, perché altrimenti il software che poteva stare su pochi floppy disk veniva apprezzato tanto quanto quello che si trova allegato nelle riviste in edicola.
Al software occorre naturalmente collegare, in senso più lato, tutte le discipline e le professionalità che girano intorno al software.

Il figlio dei dirigenti poi a casa con il PC e con il telefonino fa miracoli, per cui viene da chiedersi che il professionista che ti viene a parlare di sicurezza non possa essere sostituito dal figlio e dal nipote …

In effetti magari il figlio ed il nipote sono veramente bravi, ma la Qualità del servizio consiste nel know-how, nel metodo e nell’esperienza; in sostanza, nella completezza e nella ripetibilità dei controlli.
Credo che in fondo ciò che non viene compreso sia proprio questo fatto.