Quali leggi ?

Da qualche anno anche in Italia sono in vigore delle leggi pertinenti alcuni aspetti della sicurezza informatica. La legge principale, in tale contesto, è il decreto legge 675/96 "Tutela delle persone e di altri soggetti rispetto ai trattamenti di dati personali" del 31 dicembre 1996.

Il regolamento attuativo di tale legge è stato pubblicato sulla gazzetta ufficiale in data 28 luglio 1999: il D.P.R. 318/99, "Regolamento recante le norme per l'individuazione delle misure minime di sicurezza per il trattamento dei dati personali, a norma dell'art.15, comma 2 della legge 675/96". Il D.P.R. 318/99 deve essere applicato entro la data del 28 marzo 2000, salvo che per i soggetti che hanno usufruito della proroga fino al 31 dicembre 2000 (tali possibilità è regolamentata dalla legge 325/00).

Il regolamento attuativo determina le norme minime di sicurezza che devono essere garantite in una struttura informatica e i soggetti incaricati alla loro applicazione. Le norme sono differenziate a seconda che la struttura informatica abbia o meno una certa topologia di rete --- ovvero che gli archivi contenenti dati personali siano o meno accessibili da altri calcolatori.

Che fare ?

Rispettare le leggi, ovviamente. Come ? Purtroppo, in verità anche a causa della mutevolezza del panorama sul quale la legge è chiamata ad agire, non vi sono se non alcune norme che la legge impone ad un sistema informatico che sia utilizzato allo scopo di trattare dati personali per fini non esclusivamente personali.

Alcune precisazioni sono d'obbligo: la prima è che la legge, per sua imprecisione, permette di avere sistemi informatici che siano nominalmente rispondenti alle normative di legge ma effettivamente insicuri, ossia soggetti ad un uso improprio da parte di personale non autorizzato. La seconda precisazione, duale della precedente, è che è altresì possibile costruire invece strutture sicure (per lo meno secondo standard di qualità internazionalmente riconosciuti) e mancare di soddisfare la legge. E` vero però che in quest'ultimo caso, il problema sarebbe facilmente risolubile, essendo una questione, essenzialmente, di mancanza di definizione esplicita di ruoli e compiti che la struttura sicura già per sua natura prevede (livelli di accesso definiti per parole chiave, responsabilità degli addetti alla manutenzione, eccetera)

La terza precisazione, più importante, forse, per lo meno per le implicazioni metodologiche, è che non è possibile pensare che il problema della sicurezza di una struttura informatica sia diretto (unicamente) dalla legislazione. Tale considerazione porta quindi TigerTeam a definire un processo operativo che considera l'aspetto legale come uno degli aspetti (per quanto importante) da soddisfare per minimizzare il rischio di una struttura, e non l'unico parametro contro il quale misurarsi.

La risposta di TigerTeam

La nostra risposta è un insieme di servizi offerti da un gruppo esperto nel campo della sicurezza e coadiuvato da professionisti dell'ambito legale. La nostra risposta è un processo operativo che sottende una metodologia integrata dove l'aspetto legale è considerato nel contesto più ampio del security management.

Tra i nostri servizi vi sono i servizi di analisi dei rischi e di disegno di policy di sicurezza, tra le quali si annovera anche il documento programmatico sulla sicurezza, così come lo studio dello stato di sicurezza di una rete informatica o l'istallazione di firewall.

E` nostra profonda convinzione che l'unico approccio giusto al problema della sicurezza informatica (si veda la sezione sulla filosofia del gruppo o sulla sicurezza) sia l'approccio multidisciplinare, ove le questioni sono affrontate sia dal punto di vista tecnico del problema informatico, sia dal punto vista legale dell'ambito normativo: uno solo dei due approcci, senza l'altro, rischia di non essere sufficiente.