155 / 166
NOVEMBRE-DICEMBRE 2017
AUTOMAZIONE OGGI 402
155
Regole sull’autorizzazione all’accesso, remoto e locale, ai
servizi informatici
È estremamente importante che il personale autorizzato all’accesso disponga di uten-
ze personali. La condivisione di più utenze, oltre che mettere a repentaglio l’organizza-
zione stessa del lavoro e il corretto inserimento di informazioni e dati sensibili, rischia
di creare fenomeni di confusione non indifferenti.
È fondamentale che ogni utente disponga di credenziali proprie, che possa accede-
re solo alle informazioni e ai sistemi di cui necessita e che siano di sua competenza,
e che a ogni utenza sia assegnata una password propria di un grado di complessità
adeguato. Quando si lavora con dati estremamente sensibili o di notevole rilevanza
economica, un rimedio utile può essere quello dell’autenticazione a due fattori, os-
sia aggiungere un ulteriore controllo al semplice inserimento della password al login,
come l’autenticazione con altre apparecchiature quali cellulari e Token USB.
In questo modo, anche nel caso in cui la password venisse smarrita e altri ne venisse-
ro a conoscenza, l’accesso sarebbe comunque limitato grazie al sistema della doppia
conferma.
Inventario dei sistemi,
dispositivi, software, servizi
e applicazioni informatiche
in uso entro il perimetro
aziendale
Riguarda qualsiasi tipo di attrezzatura
informatica. Non bisogna limitarsi ai soli
dispositivi fisici, cioè all’hardware, ma è
necessario stilare un inventario anche dei
programmi, cioè i software, e di tutte le ap-
plicazioni e i sistemi in uso.
Come accennato nei precedenti numeri
della guida, infatti, gran parte delle mi-
nacce informatiche derivano da un utilizzo
confuso dei computer aziendali. È molto
frequente che i terminali siano usati sia
Avv. Cristiano Cominotto – Dott. Francesco Curtarelli
ALP Assistenza Legale Premium
per scopi attinenti al lavoro sia per scopi
personali da parte del personale addetto.
Una breve pausa su Facebook o l’invio di
una mail personale da parte di un impiega-
to può sembrare una questione di scarsa
rilevanza se rapportata all’intera giornata
lavorativa.
Le minacce tuttavia possono derivare dal
download di software non autorizzati,
accesso a banche dati non autorizzate o
posta elettronica personale, applicazioni
online e molto altro che possono causare
un accesso di terze parti indesiderate all’in-
terno del network aziendale. Una buona
policy interna aziendale sull’utilizzo dei
terminali è essenziale.
Identificazione e rispetto delle leggi e dei regolamenti con
rilevanza in tema di cyber-security che risultino applicabili
per l’azienda
La mia azienda soddisfa tutti i requisiti in termini di compliance alla normativa nazionale,
comunitaria e di settore nel quale opera? Il punto di partenza è sicuramente l’art. 31 del Co-
dice in materia di protezione dei dati personali, che dispone come i dati personali oggetto
di trattamento debbano essere “custoditi e controllati, anche in relazione alle conoscenze
acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche
del trattamento, inmodo da ridurre al minimo, mediante l’adozione di idonee e preventive
misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di
accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della
raccolta”. Queste misure costituiscono sicuramente una buona base di partenza verso un
percorso virtuoso per piccole e medie imprese per l’adeguamento dei propri sistemi infor-
matici, ma non finiscono certamente qui. È inoltre fondamentale che venga individuato un
responsabile per il coordinamento dell’attività di gestione e protezione delle informazioni
e dei sistemi informatici, che tutti i dispositivi siano dotati di software di protezione (antivi-
rus, antimalware ecc.) regolarmente aggiornato, aspetto spesso gravemente ignorato, che
il personale sia adeguatamente sensibilizzato e formato sui rischi di cyber-security e che ci
siano delle procedure prestabilite in caso di incidente e di disaster recovery.