L’Ordine degli Ingegneri di Roma è fatto un bel progetto editoriale che ha portato ad una nuova rivista trimestrale dell’Ordine IORoma. Il Direttore Editoriale è il Consigliere dell’Ordine Dott. Ing. Francesco Marinuzzi. Il primo numero è disponibile in formato elettronico qui. Come Commissione “Sicurezza Informatica” dell’Ordine abbiamo scritto un articolo dal titolo “Sicurezza delle informazioni nell’era del digitale” l’articolo lo trovate a pag. 28 della rivista. Ho avuto l’onore di scriverlo insieme alla collega Ing. Giovanna Garritano. L’articolo ha un taglio volutamente divulgativo e non tecnico visto il target prettamente non del settore informatico e telecomunicazioni.
Non voglio qui riportare una sintesi dell’articolo che, se volete, potete leggere integralmente sulla rivista oltre agli altri articoli presenti anch’essi molto interessanti. Voglio riportare un po’ il concetto di fondo che ci ha ispirati nella redazione dell’articolo. Il concetto di fondo che abbiamo voluto provare a trasmettere è stato quello di essere noi stessi attori principali della sicurezza e non aspettarsi che la sicurezza cada dall’alto. Siamo noi stessi il primo e più importante tassello della sicurezza ed è opportuno che ci poniamo delle domande; questo diventa ancora più importante se abbiamo da spendere un budget limitato. Il porci delle domande ci aiuta ad indirizzare in modo corretto le nostre risorse, soprattutto se sono limitate. Mi è capitato più di una volta di sentire delle “castronerie” da persone anche con una certa cultura tecnica.
L’approccio che suggerisco, ma non sono solo io a dirlo ma comunità di esperti internazionali, è un approccio dall’alto basato sulla famiglia di norme ISO/IEC 27000; un approccio di questo tipo aiuta a fare azioni coerenti fra di loro con una visibilità a tutto tondo dell’organizzazione. Ovviamente l’approccio va opportunamente tarato in funzione della realtà dell’organizzazione in cui si opera, se si è una media o grande azienda sarà necessario un approccio più formale con un’analisi dei rischi strutturata e articolata, politiche, processi e procedure. Nel caso di realtà dimensionalmente più ridotte, come potrebbe essere uno studio professionale associato, l’approccio sarà meno formale e strutturato così come l’analisi dei rischi più snella ma con il medesimo approccio.
Mi sono imbattuto recentemente in un articolo (link) che parla specificatamente delle clausole non lette quando ci si iscrive a Facebook, da delle informazioni interessanti. L’articolo analizza dei punti interessanti del contratto che si accetta con l’iscrizione e riporta alcuni punti interessanti. Onestamente non l’avevo letto anche io quando mi sono iscritto (interessante il dato che stimano 76 giorni lavorati per poterlo leggere integralmente) ma con il semplice buon senso e sapendo cosa è Facebook e cosa persegue (è una società privata ora anche quotata) mi aspettavo quasi tutte quelle clausole.