CSIG SERRAINO MAGGIPINTO :: MILANO 2012 :: NORMA E TECNICA NELLA GESTIONE E VALORIZZAZIONE DELLE INFORMAZIONI AZIENDALI

Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali
CSIG
Avv. Andrea Maggipinto
www.studiomra.it
Norma e Tecnica nella gestione e
valorizzazione delle informazioni
aziendali
Ing. Igor Serraino
www.serraino.it
www.studiomra.it
aziendali
www.studiomra.it
aziendali
Ing. Igor Serraino
www.serraino.it
www.studiomra.it
aziendali
Ing. Igor Serraino
www.serraino.it
www.studiomra.it
CSIG
Agenda
Livelli di protezione e controllo
! legale: contrattuale e giudiziale
! organizzativo e tecnologico: sistema qualità
Casi d’uso e riﬂessioni conclusive
andrea.maggipinto@studiomra.it - www.maggipinto.org
CSIG
Protezione e controllo dell’informazione
Sistema organizzativo aziendale tale da:
• garantire che le informazioni siano disponibili
alle persone autorizzate
• evitare che persone non autorizzate entrino in
possesso di informazioni riservate
• tutelare riservatezza e confidenzialità
• allinearsi alle best practices e agli standard
• soddisfare la normativa vigente
CSIG
Livello legale di protezione e
controllo
! Tutela legale
! Tutela contrattuale
! Azioni a difesa

CSIG
Tutela legale dei beni intangibili
La conoscenza è valore
" Segreto: informazione su fatti o cose che devono
rimanere riservati (relazione soggetto-
conoscenza)
" Know-How: conoscenze pratiche e saperi
" Banche dati: insieme di dati/archivi collegati
secondo un modello logico
" Invenzioni: conoscenza di nuovi rapporti causali
per l’ottenimento di un certo risultato
riproducibile
" Brevetto: il trovato o il processo innovativo
suscettibile di applicazione industriale
CSIG
Tutela legale del patrimonio
informativo
Dipendenti
• Art. 2105 Cod. Civ. (Obbligo di fedeltà): il
prestatore di lavoro non deve trattare affari, per
conto proprio o di terzi, in concorrenza con
l'imprenditore, né divulgare notizie attinenti
all'organizzazione e ai metodi di produzione
dell'impresa, o farne uso in modo da poter recare
ad essa pregiudizio
Ex collaboratori e concorrenti
• Art. 2598 Cod. Civ. (Atti di concorrenza sleale):
Atti confusori, Denigrazione e appropriazione di
pregi, Atti contrari alla correttezza professionale
CSIG
Informazioni (segrete) come bene
aziendale
Il Codice della Proprietà Industriale (artt. 98 e 99
del D.Lgs. 30/2005) vieta la divulgazione a terzi
di informazioni necessarie e utili per il processo
produttivo, distributivo o organizzativo di
un’attività economica.
Le informazioni però devono soddisfare certi
requisiti:
• segretezza
• valore economico
• sottoposte a “segregazione”
CSIG
Informazioni segrete
Art. 98 CPI (Oggetto della tutela)
1. Costituiscono oggetto di tutela le informazioni aziendali
e le esperienze tecnico-industriali, comprese quelle
commerciali, soggette al legittimo controllo del
detentore, ove tali informazioni:

a) siano segrete, nel senso che non siano nel loro
insieme o nella precisa conﬁgurazione e combinazione
dei loro elementi generalmente note o facilmente
accessibili agli esperti ed agli operatori del settore;

b) abbiano valore economico in quanto segrete;

c) siano sottoposte, da parte delle persone al cui
legittimo controllo sono soggette, a misure da ritenersi
ragionevolmente adeguate a mantenerle segrete […]

CSIG
Quali informazioni sono protette?
! le informazioni aziendali (organizzative,
finanziarie, di gestione, di marketing)
! le esperienze tecnico-industriali e quelle
commerciali
! i dati relativi a prove o altri segreti la cui
elaborazione comporti un considerevole impegno
economico e di tempo

Assume rilevanza non tanto l'informazione in
sé e per sé, ma il complesso di informazioni o
la loro specifica configurazione e
combinazione
CSIG
Know How
“Patrimonio di conoscenze pratiche non brevettate
derivanti da esperienze e da prove” (tecnologico,
commerciale, finanziario, strategico)
Reg. 772/04/CE (già Reg. n.96/240/CE):
• segretezza
• sostanzialità
• identificabilità
Valore economico: negoziazione
CSIG
Condizione di accesso alla tutela
Onere di adottare misure “ragionevolmente adeguate”
da parte del soggetto al cui legittimo controllo le
informazioni sono soggette (titolare dell'impresa).
Valutare in concreto e graduare la scelta:
• condizioni di conservazione/detenzione delle
informazioni
• modalità di utilizzo
• soggetti che possono accedere alle informazioni
• progresso tecnologico
• altre misure di natura organizzativa o tecnologica già
adottate (misure di sicurezza privacy, policies
aziendali, ecc.)
• misure di natura contrattuale
CSIG
Tutela contrattuale
Misura preventiva: patto di non concorrenza e non-
sollicitation (Key People?)
Da ricordare: “Il patto con il quale si limita lo
svolgimento dell'attività del prestatore di lavoro, per il
tempo successivo alla cessazione del contratto, è
nullo (i) se non risulta da atto scritto, (ii) se non è
pattuito un corrispettivo a favore del prestatore di
lavoro e (iii) se il vincolo non è contenuto entro
determinati limiti di oggetto, di tempo e di luogo. La
durata del vincolo non può essere superiore a cinque
anni, se si tratta di dirigenti, e a tre anni negli altri
casi. Se è pattuita una durata maggiore, essa si riduce
nella misura suindicata” (art. 2125 Cod. Civ.)

CSIG
Tutela contrattuale
Misura preventiva: patto di riservatezza / accordo di
non divulgazione / non-disclosure agreement (Key
People?)
# “informazioni riservate”
# durata
# penali
# garanzia anche per fatto e obbligazione di terzo
(art. 1381 c.c.)
# giudice competente e legge applicabile
CSIG
Azioni a difesa
Azione giudiziaria ordinaria
• provvedimenti: inibitoria / risarcimento del
danno / pubblicazione della sentenza /
retroversione degli utili
Azione giudiziaria cautelare
• fumus boni juris
• periculum in mora
• provvedimenti: descrizione / inibitoria /
sequestro
Sanzioni penali (art. 513 e art. 622 Cod. Pen.)andrea.maggipinto@studiomra.it - www.maggipinto.org
CSIG
Onere della prova
Principio generale di cui all’art. 2697 Cod. Civ.
Chi agisce in giudizio per tutelare le proprie
informazioni da atti illeciti di terzi deve provare
– ex artt. 98 e 99 CPI – la sussistenza delle tre
condizioni per l’accesso alla tutela (lo ricorda il
Tribunale di Bologna 4.10.2010)
CSIG
Un caso significativo
Fattispecie:
! Impresa
! Settore peculiare
! Patrimonio aziendale composto da (A)
informazioni segrete e know-how; (B) banche di
dati

CSIG
Il piano illecito
Sottrazione e utilizzo delle informazioni e delle
banche dati
- archiviazione e condivisione sui computer aziendali
- utilizzo per newsletter
- liste di distribuzione: soggetto terzo coinvolto
Storno di dipendenti
- sollecitazione alle dimissioni
- assunzione e ricerca della loro collaborazione
CSIG
Descrizione giudiziale
Ai sensi degli artt. 161 della legge 633/1941 (LDA) e
129 del D.Lgs. 30/2005 (CPI)
• il titolare dei diritti può chiedere la descrizione
degli "oggetti costituenti violazione di tale diritto,
nonché dei mezzi adibiti alla produzione dei
medesimi e degli elementi di prova concernenti la
denunciata violazione e la sua entità" (art. 129 CPI).
• ﬁnalità: acquisire la prova dell’illecito ed evitare che
in futuro si possa sostenere di non avere estratto e/
o duplicato e/o riprodotto e/o rivelato e/o
acquisito e/o detenuto e/o comunque utilizzato le
informazioni, il know-how e le banche dati
CSIG
Onere probatorio
E’ stato necessario provare che le informazioni
possedevano le tre caratteristiche richieste per la loro
tutela ai sensi e per gli effetti di cui agli artt. 98 e 99
CPI
(i)
segretezza
• non sono note agli altri operatori concorrenti, né sono
liberamente accessibili.
• non è possibile reperire (neppure una parte
sostanziale delle informazioni) altrove, per esempio
attraverso una ricerca in archivi cartacei, su pagine
bianche, online, su siti associativi, social network,
nelle banche dati della camera di commercio o
creditizie
CSIG
Titolo della slide
(ii) valore economico (proprio perché non sono note
né accessibili ai concorrenti)
• La raccolta e la gestione delle Informazioni è costata
anni di notevoli investimenti, impegno e spese; le
informazioni consentirebbero a chi ne entrasse in
possesso di ricavare elementi determinanti per
realizzare e proporre prodotti e servizi magari a
condizioni più convenienti, o comunque mirati a una
clientela già faticosamente curata e selezionata,
risparmiando così tempi e costi signiﬁcativi per
l’autonoma creazione del proprio “portafoglio”

CSIG
Titolo della slide
(iii)
sono sottoposte a idonee misure a
mantenerle segrete
• Misure di sicurezza (Documenti Programmatici ex
d.lgs. 196/2003, Manuali sulla sicurezza, clausole
contrattuali)
• l’accesso di ciascun utente può avvenire solo
attraverso un processo di autenticazione protetto
da password
• il server dell’azienda non è accessibile in remoto e
la rete è comunque protetta da firewall (hardware e
software) di ultimissima generazione e in costante
aggiornamento
CSIG
In cosa consiste
Descrizione dei file in formato elettronico presenti sul
server, sui computer, su qualunque supporto, come
Cd-Rom, DVD, chiavette USB e altro, nonché delle
agende e delle rubriche, anche elettroniche, degli
elenchi delle telefonate, della corrispondenza, di
tabulati e/o elenchi, delle schede clienti, del materiale
commerciale e promozionale e comunque di tutta la
documentazione e/o i file relativi al titolare dei diritti
violati, nonché la descrizione della documentazione
commerciale e contabile relativa all’utilizzazione delle
Informazioni, del know-how e delle banche di dati,
anche al fine di individuare se vi siano altri soggetti
coinvolti nell'illecito.
CSIG
Esito della descrizione
Il CTU nominato dal Tribunale e l’Ufficiale
Giudiziario competente, nel corso della
descrizione, hanno trovato sui computer e sul
server della società concorrente una
massiccia quantità di dati pertinenti alla
controversia
Il tutto è stato acquisito su DVD sigillato,
custodito in cancelleria e inizialmente non
accessibile alle parti.
CSIG
Next step: sequestro e inibitoria
Sequestro dei dati (ai sensi e per gli effetti di cui agli art.
129 CPI e 161 LDA)
• Finalità: evitare che le Informazioni e le Banche di dati
rimanessero di fatto nella disponibilità del
concorrente
Inibitoria all’utilizzo delle Informazioni e delle Banche di
dati (ai sensi e per gli effetti di cui agli artt. 131 CPI e
156 LDA)
Inibitoria all’impiego dei dipendenti stornati (ex art. 700
Cod. Proc. Civ., art. 2598 Cod. Civ.).
Pubblicazione del provvedimento

CSIG
Protezione e Controllo dell’informazione
Livello organizzativo e livello tecnologico
CSIG
Nuovi modelli di processo
• Ad oggi è sempre maggiore la % di aziende che ha già intrapreso
percorsi di rinnovamento IT, basati su modelli di processo e
metodologie moderne
• Prima metà degli anni ‘90: le procedure focalizzano l’attenzione sul
prodotto finito e sui processi manifatturieri
• Raggiungere l’obiettivo (adeguati standard qualitativi) significava
seguire una strada decisamente tortuosa
• Eccessiva formalità delle norme da applicare
• Vocabolario oscuro
• Eccessiva burocrazia
• Mancanza di strumenti informatici adeguati e costi ancora troppo
elevati
CSIG
L’avvento dell’informatizzazione
• Pervasività delle nuove tecnologie
• Progressiva sostituzione del cartaceo con il digitale
• Riduzione delle risorse temporali che l’azienda deve
dedicare al perseguimento degli obiettivi
• Integrazione del sistema di qualità con gli strumenti
strumenti hardware e software già presenti in azienda
• Progressivo cambio generazionale degli addetti al
backoffice
CSIG
Il concetto di servizio e l’informatica
Fornire un servizio: soddisfare i bisogni e le aspettative
dell’utilizzatore
•Necessario disaccoppiare il concetto di qualità di un servizio dal costo
che il cliente/utilizzatore deve pagare per ottenerlo
•Servizi complessi, prodotti tecnologicamente avanzati, ritrovano nel
concetto di qualità un fattore di successo
•Il processo produttivo o di erogazione del servizio riveste un ruolo
fondamentale nel garantire adeguati livelli di qualità
•L’informatica rappresenta uno strumento , non una garanzia assoluta
di successo

CSIG
Ruolo del sistema informativo
nell'erogazione del servizio
L'utente richiede
un servizio o
un prodotto
Servizio
o
prodotto
Sistema
informativo
Strutture organizzative
Sistema informatico
Supporta,
fornisce
strumenti
Utilizza
CSIG
ISO: International Organization for
Standardization
• La Qualità: capacità di un insieme di caratteristiche inerenti un prodotto, sistema o
processo di ottemperare a requisiti di clienti o di altre parti interessate
• L'impostazione dello standard ISO/IEC 27001 è coerente con quella del Sistema di
Gestione per la Qualità ISO 9001:2000
UNI EN ISO 9000:2005 (Sistemi di gestione
per la qualità – Fondamenti e terminologia)
Descrive I fondamenti dei sistemi di gestione per la qualità (intesi
come modelli di management) e speciﬁca il Dizionario della
qualità
per la qualità – Requisiti)
Indica I requisiti di un SGQ – Sistema di Gestione per la Qualità
(da intendersi come modello di management) ed è propedeutica
anche al conseguimento della certiﬁcazione di qualità
per la qualità – Linee guida per il
miglioramento delle prestazioni)
Fornisce gli orientamenti per il miglioramento continuo della
performance dell’organizzazione
ISO/IEC 27001:2005 (Requisiti di un sistemi di
gestione della Sicurezza delle informazioni)
The ISO27k (ISO/IEC 27000-series) standards concern the
protection of valuable information assets through information
security, particularly the use of Information Security Management
Systems (ISMSs).
CSIG
Information Security Management
System (ISMS)
• Standard ISO/IEC 27001
• Suite di standard di grande interesse per l’azienda
• Fornisce strumenti fondamentali a livello organizzativo
per una corretta gestione della sicurezza IT in azienda
• Norma a valore internazionale che stabilisce i requisiti di un
Sistema di Gestione della Sicurezza nelle tecnologie
dell'informazione (Information Security Management System -
ISMS)
CSIG
Information Security Management
System
• L’obiettivo di un ISMS (Information Security Management System) è
quello di realizzare una serie di routines mirate al security control che
permettano di garantire un livello di protezione delle informazioni
ADEGUATO al contesto aziendale, sia dal punto di vista interno che
da quello del cliente
• La norma certifica le linee guida e gli strumenti a disposizione per
arrivare al risultato atteso

CSIG
Standard ISO 27001:2005
• The standard is designed to ensure the selection of adequate and proportionate
security controls that protect information assets and give confidence to
interested parties including an organization’s customers and suppliers.
• Direttiva 1: proteggere i dati e le informazioni da minacce di ogni tipo, al fine di
assicurarne l'integrità, la riservatezza e la disponibilità.
• Direttiva 2: fornire i requisiti per adottare un adeguato sistema di gestione della
sicurezza delle informazioni finalizzato ad una corretta gestione dei dati
aziendali soggetti a tutela.
Security
Tutela personali,
sensibili, giudiziari
Contesto privacy
Contesto 27001
Componenti di
business
CSIG
L’azienda ISO/IEC 27001 compliant
• Possiede un’architettura hardware, software, gestionale (comprehensive
framework) su cui sviluppare e implementare politiche di gestione della sicurezza
• Risk-based approach: il modello di ISMS generato durante i vari steps è
fortemente contestualizzato alla realtà aziendale.
• Gestione delle risorse umane: il modello proposto permette di assicurarsi che
figure professionali dalle competenze adeguate siano allocate alla gestione delle
aree critiche
• Completa protezione delle informazioni, dal punto di vista dei tre canoni
fondamentali: riservatezza, integrità, disponibilità.
• L’ISMS è qualitativamente allineato a sistemi gestionali standard come le
ISO9001.
• Può forgiarsi di un attestato di terze parti, garanzia di applicabilità della normativa
e delle regole previste
• Aumento della competitività aziendale: la certificazione garantisce alla clientela
che la sicurezza delle loro informazioni personali non è in discussione
• Attestazione di impegno assoluto e di impiego di risorse per risolvere e
gestire problematiche inerenti la sicurezza
CSIG
Riflessioni pre-operative
• Quali sono le riflessioni che hanno portato alla decisione di
adottare un modello di processo adeguato ai canoni imposti dal
sistema di qualità?
• Esiste una adeguata motivazione al cambiamento,
nell'organigramma aziendale?
• L'impatto che il cambiamento avrà sull'attività aziendale, sia dal
punto di vista del back-office che del front-office, è attestato dalla
Project Board?
• La gestione di eventuali (e probabili) problematiche dovute al
cambiamento è stata pianificata, in fase di starting up?
• La normativa e gli standard da seguire durante le attività
necessarie per il cambiamento sono ben chiare e definite?
CSIG
Risk-based approach
• Un approccio RISK-BASED (ISO/IEC 27005:2011) assicura che il
sistema implementato risulti:
• affidabile
• contestualizzato alla realtà operativa
• Identificate le aree di rischio, per ciascuna delle quali è necessario
valutare l’impatto (che dipende dal valore e dal settore dell’azienda
sotto analisi) e la probabilità di accadimento.

CSIG
Il ciclo continuo di innovazione
E' importante che le attività di rinnovamento siano percepite come in
continuo divenire
Non esiste un punto di inizio e un punto di fine: sono gli obiettivi
aziendali e i nuovi stimoli proposti dal mercato a stabilire quando un
“ciclo” di innovazione va a terminare e quando ne inizia un altro
La CERTIFICAZIONE non può essere un punto di arrivo, deve
costituire un traguardo (una sorta di gratificazione per l'ottimo lavoro
svolto)
Raggiunta la certificazione ISO, la procedura di rinnovamento non
deve arrestarsi bruscamente.
E' l'evoluzione delle tecnologie dell'informazione a dettare le regole.
CSIG
Il ciclo del miglioramento continuo
(Deming cycle)
Identificare e analizzare il problema
Definire il piano di lavoro, pianificare e allocare le risorse necessarie
Costruire una soluzione completa
Chi? (responsabili)
Cosa? (punti critici)
Quando? (scadenze)
Come? (tecnologie)
Risultati desiderati (e punti deboli)
CSIG
Fattori di successo e insuccesso
•analizzare S.I. esistente: individuazione e descrizione dei processi,
correlazione dei processi con l’organizzazione, individuazione
dell’architettura IT
•definire rigorosamente degli obiettivi
•scegliere approcci reingegnerizzazione e tecnologie
•comprendere punti deboli e rischi
•contestualizzare il processo di rinnovamento
a una data tecnologia, e far percepire
al personale «il «cambiamento di abitudini»
•«è nuovo deve essere buono»
•«tutti lo fanno»
•perseguire obbiettivi confusi o troppo generici
•sottovalutare l’analisi dei rischi e lo studio di fattibilità
CSIG
Il ciclo di innovazione del S.I.
• Pianiﬁcazione delle risorse allocabili, studio di fattibilità
• Analisi dell’infrastruttura informatica già esistente, rinnovamenti
necessari? Imprescindibili?
• Pianiﬁcazione delle risorse da allocare.
• Analisi sullo stato del processo
• Attuazione degli interventi migliorativi previsti, introduzione di nuove
tecnologie: e-procurement, fatturazione elettronica, drastica riduzione del
cartaceo
• Frequenti checkpoint (valutazione)
• Nomina dell’Amministratore del S.I.
• Passaggio da uno step all’altro attraverso entry/exit criteria

CSIG
L’importanza dello studio di fattibilità
• Fattibilità tecnica - Verifica se gli aspetti tecnici della proposta sono
effettivamente realizzabili
• Fattibilità organizzativa - Verifica se la proposta è realizzabile nell’ambito
della organizzazione esistente
• Fattibilità economica - Verifica se le risorse necessarie per la
realizzazione del sistema (costi) sono giustificate dai ritorni prevedibili,
espressi in termini di benefici
• Fattibilità temporale - Verifica se il sistema è realizzabile nei termini in cui
continua ad essere utile alla organizzazione
• Fattibilità motivazionale - Verifica l’effettivo grado di accettabilità che gli
utenti potranno esprimere rispetto al nuovo sistema, una volta realizzato
CSIG
Finalità dello studio di fattibilità
• La realizzazione di un qualunque sistema informativo rappresenta per una
azienda un investimento che mobilita risorse: finanziarie – umane -
impiantistiche
• La scarsità di tali risorse richiede che vengano effettuate valutazioni sui
progetti proposti che portino a dimostrarne la fattibilità e la convenienza
economica.
• Tra tutti i progetti che superano il test precedente è poi necessario
effettuare un confronto comparativo che stabilisca una scala di priorità.
• Ogni progetto potrà poi avere diverse soluzioni architetturali tecnico
organizzative, per ciascuna delle quali sarà necessario valutare la
convenienza economica e la fattibilità.
CSIG
Un possibile studio di fattibilità
Progetto di massima
della soluzione
Analisi del rischio
Analisi costi-benefici
Produzione capitolato
contratto e scelta del
fornitore
Conclusioni?
•Il progetto non si può
realizzare
•Il progetto si può realizzare, ma
è necessario un intervento
organizzativo
•Il progetto si può realizzare con
questa soluzione, con questi
costi, con questi rischi
•Il progetto si può realizzare,
diverse soluzioni tra cui scegliere
CSIG
Riflessioni: il fattore economico
Fondamentale:
•motivare l'acquisto di nuovi apparati HW e SW alla luce del cambiamento
organizzativo in essere
•garantire l'usabilità delle nuove infrastrutture
•identificare le risorse umane preposte all'utilizzo: verificare che la
preparazione informatica sia adeguata
•garantire adeguata preparazione sulle principali norme del sistema di
qualità, in riferimento alla nuova infrastruttura introdotta
•una qualsiasi iniziativa di miglioramento deve puntare a massimizzare il
livello di coerenza interna (environment) e esterna di una organizzazione.

CSIG
Gli strumenti a disposizione
STRUMENTI DI PRODUTTIVITA’
INDIVIDUALE
Office, CAD,
applicativi di modellizzazione,
CRM ad hoc, software client
web, email
SOFTWARE AD USO CONDIVISO
ERP, CRM CLIENT/SERVER,
DATA WAREHOUSE,
BUSINESS INTELLIGENCE
MONITORIZZAZIONE QUALITA’
Security administrator
and Supervisor
La scelta e l’adattamento delle tecnologie al livello culturale ed al ruolo degli utenti sono
aspetti essenziali per poter conseguire una buona efficacia nell’utilizzo degli strumenti
messi a disposizione !
CSIG
Frammentazione banche dati: scenario
tipico
DB uff. vendite
3 postazioni
DB uff. contabilità
1 postazione
1. DB ufficio vendite replica dati contenuti nel DB ufficio contabilità (ridondanza, incoerenza)
2. Architettura del sistema informatico inadeguata: DB non centralizzato, logica client/server
primitiva, livello business non separato dal livello database
3. Applicativi eterogenei, formati non interscambiabili (presenza di versioni obsolete di suite office)
4. Assenza dei più elementari criteri di protezione sulle singole postazioni (password disabilitate,
documenti critici posizionati su cartelle pubbliche, strategie di condivisione ben definite)
• PROBLEMATICA: dati clientela ridondanti e incoerenti.
CSIG
Il problema delle e-mail
• TROPPI CLIENT !
• Per ogni postazione informatica (addetto interno) risulta presente un client di posta ad
uso singolo (Outlook Express, client ormai obsoleto)
• Non vi è alcuna politica centralizzata di gestione archivio e-mail, la conservazione e la
catalogazione sono compiti delegati all’utente (account pop3…): tecniche contingenti e
non rigorose
• Il client utilizzato non è dotato di strumenti nativi per una gestione metodica di
problematiche come lo spam (inquinamento archivio)
• Backup e ripristino difficoltoso, in caso di sostituzione pc
• Mancano strumenti per garantire integrità e autenticità, quali firma digitale e PEC
• Non è implementato alcun meccanismo nativo per la verifica destinatari o altre facilities
pre-inoltro
• ISO 9001: 4.2.3 “I documenti richiesti dal sistema di gestione per la qualità devono
essere tenuti sotto controllo…“ e 4.2.4 “…Le registrazioni devono rimanere leggibili,
facilmente identificabili e rintracciabili”
CSIG
MS Exchange 2010 Retention policies
(archiviazione caselle postali)
• Attraverso le retention
policies configurabili sul server
Exchange è anche possibile fare in
modo che l’archiviazione avvenga in
modo automatico.
• Oggetti contenuti nella mailbox
vengono spostati nell’archivio in
modo automatico dopo un certo
numero di giorni o secondo altri
criteri personalizzabili
• Così facendo la struttura delle
cartelle presente nella cassetta
postale verrà ricreata in modo
automatico anche all’interno
dell’archivio, mantenendo quindi
l’organizzazione creata dall’utente.

CSIG© 2010 Microsoft Corporation. Active Directory, ActiveSync, Internet
Explorer, Microsoft, Outlook, Office Communicator, Windows, Windows
Mobile, Windows PowerShell, and Windows Server are either
registered trademarks or trademarks of Microsoft Corporation in the
United States and/or other countries. All rights reserved. Other
trademarks or trade names mentioned herein are the property of their
respective owners.
Destinatario errato?
Messaggio troppo pesante?
CSIG
Gestione centralizzata banche dati
• UN NUOVO SISTEMA INFORMATIVO
Postazioni ufficio
vendite
Postazioni
contabilità
Altre
postazioni
Windows
Server
2008
Security administrator and Supervisor
Gestione email centralizzata
CSIG
Il Ruolo dell’amministratore di sistema
(ISSM)
• Richiesto dal d.lgs. 196/03 , aggiornamento 2008
• Ruolo fondamentale nell’ ISO27001 Certification Process
• “Con la definizione di «amministratore di sistema» si individuano
generalmente, in ambito informatico, figure professionali finalizzate
alla gestione e alla manutenzione di un impianto di elaborazione o
di sue componenti. Ai fini del presente provvedimento vengono
però considerate tali anche altre figure equiparabili dal punto di
vista dei rischi relativi alla protezione dei dati, quali gli
amministratori di basi di dati, gli amministratori di reti e di apparati
di sicurezza e gli amministratori di sistemi software
complessi.” (punto 1 del provvedimento 27/11/2008)
CSIG
La nomina e le responsabilità
dell’Amministratore
• Il Titolare (o il responsabile) deve effettuare la nomina ad amministratore di
sistema “previa valutazione dell'esperienza, della capacità e dell'affidabilità
del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto
delle vigenti disposizioni in materia di trattamento ivi compreso il profilo della
sicurezza”.
• La nomina è individuale e i suoi compiti possono essere riassunti dai
seguenti tre punti chiave:
1. Gestire l’implementazione e lo sviluppo dei sistema di security digitale dell’azienda
2. Verificare che le politiche di sicurezza, gli standard e le procedure siano applicate
correttamente
3. Coordinare e prendere parte alle operazioni di ispezione e controllo, test di
simulazione, revisioni procedurali

CSIG
Non una semplice formalità!
• Figura professionale individuata all’interno dell’organigramma aziendale o, se
esterna, NO a soggetti che solo occasionalmente intervengono sui sistemi, ad
esempio a seguito di guasti, manutenzioni, installazioni.
• Fondamentale per garantire adeguato supporto a figure professionali in
outsourcing, durante le 4 fasi del ciclo di rinnovamento
• “il responsabile è individuato tra soggetti che per esperienza, capacità ed
affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in
materia di trattamento, ivi compreso il profilo relativo alla sicurezza.” (art. 29 D.lgs
196/2003)
• Caratteristiche professionali necessarie
• Competenze informatiche di base
• Conoscenza della topologia di rete locale
• Disponibilità e motivazione all’aggiornamento professionale, in ambito
informatico (corsi di addestramento)
• Reperibilità garantita
• Formazione in ambito privacy e sicurezza dei dati
CSIG
Riflessioni conclusive
• Per valorizzare e proteggere le informazioni è necessario che l’azienda assuma un
ruolo attivo
• Non bastano le norme vigenti previste dall’ordinamento - che pur devono essere
note - per far valere i propri diritti
• E’ opportuno e altamente consigliato adottare misure – anche contrattuali – che
proteggano gli investimenti e il futuro dell’azienda da danni irreparabili
• L’azienda deve insomma poter accedere alla tutela legale che l’ordinamento
prevede, se e in quanto siano state adottate “misure adeguate” di protezione
• E’ necessario conoscere e utilizzare opportunamente gli strumenti messi a
disposizione dall’informatica moderna
• L’avvio di un processo di rinnovamento aziendale deve necessariamente essere
preceduto da adeguate fase preliminari e studi di fattibilità
• L’adesione a standard di sicurezza come le norme della famiglia ISO 27001 e ai
relativi modelli di processo permette di seguire strade ben illuminate e definite
• Fondamentale individuare e nominare figure professionali consone al ruolo che
dovranno ricoprire all’interno del sistema informativo aziendale!
Ing. Igor Serraino
www.serraino.it
igor@serraino.it
www.studiomra.it
andrea.maggipinto@studiomra.it
Grazie per l’attenzione

CSIG SERRAINO MAGGIPINTO :: MILANO 2012 :: NORMA E TECNICA NELLA GESTIONE E VALORIZZAZIONE DELLE INFORMAZIONI AZIENDALI

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (9)

Similar a CSIG SERRAINO MAGGIPINTO :: MILANO 2012 :: NORMA E TECNICA NELLA GESTIONE E VALORIZZAZIONE DELLE INFORMAZIONI AZIENDALI

Similar a CSIG SERRAINO MAGGIPINTO :: MILANO 2012 :: NORMA E TECNICA NELLA GESTIONE E VALORIZZAZIONE DELLE INFORMAZIONI AZIENDALI (20)

CSIG SERRAINO MAGGIPINTO :: MILANO 2012 :: NORMA E TECNICA NELLA GESTIONE E VALORIZZAZIONE DELLE INFORMAZIONI AZIENDALI