Rivista 231 Rivista 231
     HOME          CHI SIAMO     HANNO COLLABORATO    SHOPPING 231      COME ABBONARSI
Username: Password:
Lun, 27 Mag 2019
LE RUBRICHE


GLI INTERVENTI
ANNO 2019
ANNO 2018
ANNO 2017
ANNO 2016
ANNO 2015
ANNO 2014
ANNO 2013
ANNO 2012
ANNO 2011
ANNO 2010
ANNO 2009
ANNO 2008
ANNO 2007
ANNO 2006
ANNO 2005


LE NOTIZIE


LA SICUREZZA INFORMATICA, UN ASSET AZIENDALE STRATEGICO - di Giuseppe Vaciago e Marco Tullio Giordano, R&P Legal



1. Introduzione

La sicurezza delle infrastrutture informatiche, dei sistemi e dei dati in essi contenuti è diventata, da qualche anno a questa parte, un asset strategico nella programmazione aziendale. Nei server, siano essi interni all'azienda, ma anche – come si avrà modo di approfondire nel prosieguo della trattazione - sempre più dislocati presso fornitori terzi in giurisdizioni diverse da quella nazionale, oggi sono custodite o transitano informazioni di importanza vitale. Al di là dei sempre più frequenti casi di furto di know-how, ogni singolo flusso informativo aziendale, come ad esempio quello rivolto all'Organismo di Vigilanza, viaggia ormai quotidianamente attraverso canali digitali.
L'attenzione per la sicurezza dei sistemi e dei dati aziendali non può più essere considerata un investimento marginale per il perseguimento dei fini societari, del quale gli amministratori possono dimenticarsi fino al momento di prenderlo in considerazione durante la redazione del bilancio per valutare eventuali tagli di costi. Gli effetti pregiudizievoli di incidenti o attacchi informatici, oramai, possono essere in grado di mettere in pericolo non soltanto la continuità aziendale, o business continuity, ma la sopravvivenza stessa dell'azienda: potrebbe essere sufficiente un singolo episodio critico a generare notevoli conseguenze dannose, non soltanto di tipo finanziario, ma anche reputazionale, legale e per finire sanzionatorio. È proprio per questo che la sicurezza informatica deve diventare una priorità per le funzioni apicali (CEO e CFO ), che devono dialogare in maniera collaborativa con funzioni specializzate quali i CSO ed i CISO . Una tutela che, almeno in via preventiva, passa necessariamente attraverso l'attuazione di politiche di gestione e di sicurezza che siano chiare ed approfondite, accompagnate da una serie di procedure interne di analisi, controllo e investigazione che cerchino non soltanto di soddisfare gli standard minimi, ma anche di anticipare e prevenire il manifestarsi di incidenti informatici, se non veri e propri attacchi, provenienti non solo dall'esterno, ma anche dall'interno dell'azienda .
Sul piano della compliance aziendale, i punti di riferimento normativi sono il combinato disposto del D.Lgs. 196/2003 e del D.Lgs. 231/2001. Tuttavia, il difficile rapporto a due velocità che contraddistingue la relazione tra progresso tecnologico e adattamento normativo non garantisce un'effettiva garanzia di sicurezza dei sistemi informatici, sulla sola base dell'osservanza formale di prescrizioni previste dal legislatore ben 12 anni orsono, o sull'adozione di protocolli atti a prevenire i reati informatici che anche nella recente formulazione – avvenuta con la Legge n. 48/2008 di ratifica della Convenzione di Budapest sul cybercrime – riguardano soprattutto ipotesi dove è piuttosto difficile ipotizzare un interesse e vantaggio della società.
Al fine di rispettare a livello sostanziale le normative sopracitate, diventa necessario un vero e proprio cambio di mentalità che indirizzi i vertici aziendali al raggiungimento, in tema di sicurezza informatica, di standard qualitativi posti da enti regolatori privati, solitamente accreditati a livello comunitario e internazionale , nonché una conseguente maggiore attenzione nella predisposizione dei modelli di gestione organizzazione e controllo ai sensi del d.lgs. 231/01, in quanto il dato digitale è oramai divenuto uno strumento fondamentale per la commissione non solo dei reati informatici, ma di quasi tutti i reati presupposto previsti dal citato decreto.


2. La digitalizzazione dei flussi documentali in azienda

Nel 1904, Thorstein Veblen affermava che "le imprese si basano principalmente sui loro beni immateriali" . A distanza di quasi un secolo, Russel Parr ha correttamente ribadito che "l'orientamento ai beni intangibili costituisce una prospettiva essenziale che deve essere adottata dalla direzione aziendale nei processi di gestione, organizzazione e controllo" . Partendo da queste premesse che hanno radici culturali e scientifiche molto lontane, la crescita e la rapidità del processo di informatizzazione aziendale ha aumentato la necessità di proteggere i beni immateriali che, per loro stessa natura, potranno quasi sempre essere convertiti in dati digitali.
La diffusione delle tecnologie fondate sul paradigma di Internet ha favorito la rideterminazione dei confini organizzativi dell'impresa, sempre più aperta e connessa con altri soggetti e sistemi informatici, siano essi i clienti, i fornitori, la pubblica amministrazione. La facilità di propagazione del dato digitale, inoltre, ha generato una sorta di bulimia informativa, tale per cui l'invio di allegati non sempre indispensabili è una prassi oramai consolidata, fisiologicamente assente nell'"era della carta"; lo stesso dicasi per il numero di soggetti che solitamente vengono messi in copia conoscenza in una comunicazione elettronica. In questo contesto, l'adozione di efficaci politiche di sicurezza informatica ha rilevanza cruciale, ma non è compito facile, in ragione soprattutto dei continui cambiamenti delle tecnologie e dell'elevato impegno operativo, organizzativo e finanziario richiesto a tutti i livelli della struttura aziendale .
Il patrimonio informativo in gioco, del resto, non attiene esclusivamente agli eventuali dati informatici di proprietà dell'ente e diversamente aggredibili da concorrenti, cybercriminali, dipendenti infedeli.....

 

Il seguito è riservato agli Abbonati

Scelga l'abbonamento più adatto alle Sue esigenze