Nell’aprile 2010, l’Autorità per la protezione dei dati personali ha definito il Provvedimento in materia di videosorveglianza pubblicato nella Gazzetta Ufficiale n. 99 del 29 aprile 2010, in sostituzione al precedente provvedimento del 29 aprile 2004.

Il Garante dei dati personali ha ritenuto necessario intervenire poichè:

- l’incremento massiccio dei sistemi di videosorveglianza quale forma di difesa passiva, controllo e deterrenza di fenomeni criminosi e vandalici, ha visto pervenire all’Autorità ingenti quantità di quesiti, segnalazioni, reclami e richieste di verifica;
- tra i numerosi interventi legislativi in materia, l’attribuzione a sindaci e comuni di specifiche competenze in materia di sicurezza urbana hanno incentivato l’utilizzo di telecamere.

In estrema sintesi, il Provvedimento puntualizza tempi, metodi e strumenti di conservazione delle informazioni e informative da rendersi agli interessati, secondo le finalità di acquisizione, con un distinguo di maggior rilievo tra i soggetti che impiegano la videosorveglianza, siano essi pubblici o privati.

Inoltre, dato il grado di evoluzione degli strumenti di acquisizione ed elaborazione di immagini, fisse o in movimento, in particolar modo per quelli con funzionalità di riconoscimento biometrico (in particolare i c.d. sistemi intelligenti), il Garante dispone che debbano essere da lui preventivamente sottoposti a verifica.

A mio avviso era indispensabile una maggiore diversificazione delle misure che facessero riferimento ai diversi soggetti con specifiche finalità di controllo (ad es. banche, ospedali, soggetti privati, eco-piazzole, ecc.). Tuttavia, al momento sono forse ancora troppo interpretabili e poco nitide le distinzioni tra la videosorveglianza per finalità di sicurezza urbana, con obbligo di informativa, e quelle di tutela della sicurezza pubblica, prevenzione o accertamento di reati e tutela delle persone e delle proprietà, prive invece degli obblighi di informativa e di consenso.

A tal proposito ricordo che in Italia, ai primi posti nel mondo per numerosità, sono installati circa 130.000 dispositivi per l’acquisizione di immagini.

Il Provvedimento è consultabile all’indirizzo:
http://www.garanteprivacy.it/garante/doc.jsp?ID=1712680

Con riferimento alla recente pubblicazione della ISO IEC 31000, nel 2009 è stato emesso lo standard ISO IEC 31010 - Risk Management - Risk Assessment Techniques"

La ISO/IEC 31010:2009 è lo sforzo di ricondurre ad un massimo comun denominatore le tecniche di risk assessment utilizzate in contesti diversi (sicurezza delle informazioni, sicurezza degli impianti, sicurezza delle persone, ecc.). Trattasi a mio avviso dello standard più coerente con contesti che si stanno ritrovando (obbligati da regolamentazione di settore e/o requisiti cogenti) a dover valutare numerosi elementi di rischio e necessitano di metriche comuni per la determinazione dell'esposizione complessiva.

L'esempio più calzante è quello del settore assicurativo dove con il Regolamento Solvency II (direttiva europea 'principle based' recepita dall'organo ISVAP) l'impresa si trova ora a dover gestire un numero considerevole di rischi, spesso anche di natura operativa.

Lo standard presenta più di 30 tecniche di risk assessment: ce ne sono di utilizzabili in tutte le fasi del risk assessment o solo in alcune e ci sono tecniche utilizzabili in tutti i contesti (per esempio il "brainstorming") o solo in uno specifico (per esempio l'HACCP).

Raccolti parecchi consensi in tutto il mondo, lo standard ISO IEC 27001 vanta qualche centinaio di aziende certificate in Europa e diverse migliaia in oriente, in particolar modo in Giappone.

Sulla scia infatti delle esperienze significative del sol levante, la famiglia 27000 propone una serie molto articolata di estensioni capaci di rispondere a diverse e specifiche esigenze. Vediamo come si compone oggi la famiglia 27000. (NB: onde evitare l'utilizzo di "arbitrarie" definizioni in lingua italiana, la serie è nominata con il titolo originale in lingua inglese).


ISO/IEC 27000
Information technology - Security techniques - Information security management systems - Fundamentals and vocabulary

ISO/IEC 27001
Information technology - Security techniques - Specification for an Information Security Management System

ISO/IEC 27002
Information technology - Security techniques - Code of Practice for Information Security Management

ISO/IEC 27003
Information technology - Security techniques - Information security management system implementation guidance

ISO/IEC 27004
Information technology - Security techniques - Information security management — Measurement

ISO/IEC 27005
Information technology - Security techniques - Information security risk management

ISO/IEC 27006
Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems

ISO/IEC 27007
Information technology - Security techniques - Guidelines for Information Security Management Systems auditing

ISO/IEC 27008
Information technology - Security techniques - Guidance for auditors on ISMS controls

ISO/IEC 27010
Information technology - Security techniques - Information security management for inter-sector communications

ISO/IEC 27011
Information technology - Security techniques - Information security management guidelines for telecommunications organizations based on ISO/IEC 27002

ISO/IEC 27013
IT Security - Security techniques - Guideline on the integrated implementation of ISO/IEC 20000-1 and ISO/IEC 27001

ISO/IEC 27014
Information technology - Security techniques - Information security governance framework

ISO/IEC 27015
Information technology - Security techniques - Information security management systems guidelines for financial and insurance sectors

ISO/IEC 27031
Information technology - Security techniques - Guidelines for ICT Readiness for Business Continuity

ISO/IEC 27032
Information technology - Security techniques - Guidelines for cybersecurity (soggetto a modificazioni)

ISO/IEC 27033
Information technology - Security techniques - Network security

ISO/IEC 27034
Information technology - Security techniques - Application security (soggetto a modificazioni)

ISO/IEC 27035
Information technology - Security techniques - Security incident management

ISO/IEC 27036
IT Security - Security techniques - Guidelines for security of outsourcing

ISO/IEC 27037
IT Security - Security techniques - Guidelines for identification, collection and/or acquisition and preservation of digital evidence

ISO 27799
Health informatics - Information security management in health using ISO/IEC 27002

ISO/IEC 27011-27019
Sector-specific ISMS implementation guidelines


Che si può dire ?!?

Sicuramente che la famiglia 27000 è uno dei pochi standard ad aver visto una così articolata disponibilità di linee guida e modelli di gestione (seppur stia diventando una logica seguita anche da altri standard). Che è bene attendersi ancora larghi consensi dal mercato in quanto è a pieno titolo lo standard internazionale di riferimento in materia di Sistemi di Gestione della Sicurezza delle Informazioni. Come dice Schneier, 'la sicurezza non è uno stato, bensì un processo in continua evoluzione', la crescita della famiglia 27000 ne è l'esempio più calzante.

Per chi non ne fosse ancora informato, verso la fine del mese di giugno 2009 (il 25 per la precisione) come atteso dati i rumors da tempo in circolazione, il Garante per la Protezione dei Dati Personali ha effettuato un aggiornamento sulle disposizioni in materia di Amministratore di Sistema ed ha differito il termine per l’adeguamento al 15 dicembre 2009.

Vicini a questa data di fine anno, vi è stata una grande attesa generale, confidando in un ulteriore differimento del provvedimento in questione. Ma poi non è stato così.

Infatti, in data 10 dicembre 2009 poco prima della scadenza prevista, il Garante ha voluto solo fare alcune precisazioni in materia, dando comunque per scontato che fosse intesa l’applicazione del provvedimento entro il giorno 15 dello stesso mese.

Per i pochi che ancora ne fossero a digiuno, ricordo che adeguarsi al provvedimento per gli 'Amministratori di Sistema' ha un impatto significativo sull’operatività, un notevole impiego di risorse e spesso la modificazione di alcuni processi di gestione dell’IT. Per questi motivi molte imprese, soprattutto quelle con comparti IT di una certa complessità, avevano segnalato le difficoltà incontrate nel percorso di adeguamento ed il Garante ha voluto raccogliere e considerare tali criticità.

Il Garante, infatti, aveva chiesto una consultazione pubblica dalla quale sono emerse una serie di considerazioni che hanno permesso la redazione di una FAQ (Frequently Asked Questions) dove vengono fatte alcune specificazioni e meglio definiti gli elementi cui attenersi.

Tra gli aggiornamenti apportati al provvedimento, uno tra i più "graditi" è relativo all’elenco degli Amministratori di Sistema ora non più da integrarsi nel Documento Programmatico sulla Sicurezza. L’originaria prescrizione infatti aveva suscitato un po’ di opposizione data la variabilità di questi elenchi.

Sono state inoltre prodotte importanti chiarificazioni in ambito "Amministrazione di applicazioni", "database", "completezza e inalterabilità dei log files", ecc. Complessivamente 24 domande a cui il Garante ha dato seguito con altrettante risposte, a mio avviso purtroppo non tutte utili a fugare ogni dubbio.

Per concludere, cosa abbiamo fatto ? Possiamo dire di essere conformi ? Stiamo valutando l’idoneità professionale e la bontà dell'operato degli Amministratori di Sistema ? Stiamo raccogliendo e archiviando i LOG files nel rispetto della Legge 300 ?

Le Frequently Asked Question del Garante sul provvedimento:
http://www.garanteprivacy.it/garante/doc.jsp?ID=1577499#FAQ

Le modifiche al provvedimento sono visionabili all’indirizzo:
http://www.garanteprivacy.it/garante/doc.jsp?ID=1626595

La continua estensione della norma operata dal legislatore e i numerosi fatti di carattere giurisprudenziale pone la Responsabilità amministrativa degli enti – D.Lgs. 231/01 tra le normative più significative degli ultimi anni. Un argomento al quale va data sicuramente la dovuta attenzione.

Il Sole 24 Ore ha recentemente pubblicato un articolo che pone l’accento su vari aspetti della normativa e in particolare segnala che 'sono piщ di 100 i reati che fanno scattare le sanzioni alle imprese'. Inoltre, con i prossimi aggiornamenti, in particolare come recepimento della legge sulla sicurezza, saranno inclusi nel D.Lgs. 231/01 anche i reati su diritto d’autore, frodi in commercio e contraffazione di marchi, uscendo così dal focus iniziale che vedeva la norma principalmente orientata alle frodi di natura patrimoniale verso la Pubblica Amministrazione.

Di seguito, allego un articolo di Lorenzo Gennari apparso sul portale www.pubblicaamministrazione.net che pone l’attenzione in particolare sulla pirateria del software:

"La notizia dell’approvazione del 'Decreto Sviluppo' è un segnale molto positivo che le istituzioni ci mandano, nel senso dell’attenzione alla tutela della proprietà intellettuale", ha commentato cosм Luca Marinelli, Presidente di Business Software Alliance in Italia, la votazione del Parlamento in merito al cosidetto "Decreto Sviluppo" che, sempre a detta di Marinelli, si rivelerà prezioso nell’aiutare le aziende a tutelare meglio la propria creatività da chi intende avvalersene illegalmente.

All'interno del Ddl è infatti previsto un importante strumento legislativo di contrasto alla pirateria del software poichè viene ampliata la responsabilità penale amministrativa dell’ente, regolata dal decreto legislativo n. 231 del 2001, anche ai reati a tutela del diritto d’autore previsti agli articoli 171bis e 171ter della legge n. 633 del 1941.

D’ora in avanti dunque l'ente potrà essere condannato - oltre che in sede civile con le sanzioni del risarcimento del danno e dell'inibitoria - anche in sede penale amministrativa, con sanzioni pecuniarie che possono arrivare a circa 775.000 euro, e con sanzioni interdittive (ad esempio la sospensione dell’autorizzazione o il divieto di pubblicizzare beni o servizi fino ad un anno).

"Si tratta di un’importante innovazione dal punto di vista legislativo per il nostro Paese", ha dichiarato Simona Lavagnini, consigliere legale di BSA in Italia. "Infatti, stabilendo la responsabilità penale amministrativa anche degli enti, renderà improrogabile l’adozione da parte delle aziende di solide policy interne per evitare che vengano commessi illeciti contro la proprietà intellettuale mediante i PC aziendali".

Saranno pertanto ritenuti responsabili anche coloro i quali abbiano omesso di adottare le necessarie policy finalizzate ad evitare la commissione del reato.