SICUREZZA INFORMATICA E ATTIVITÀ NOTARILE: IL MANUALE DELLA

SICUREZZA INFORMATICA E ATTIVITÀ NOTARILE: IL MANUALE DELLA
SICUREZZA.

di Valerio Auriemma

Come abbiamo visto nella precedente relazione le norme ci indicano la via da seguire e rappresentano un buon punto di partenza.

La legge notarile è un sistema valido di archiviazione per la custodia e la conservazione del documento autentico e per la sua consultazione e fruizione nel tempo.

La legge, inoltre, prevede un vero e proprio piano di continuità del servizio notarile con norme che permettono la ricostruzione degli atti originali, la trasmissione degli stessi agli uffici ed altro, questo molto prima che si cominciasse a parlare nel mondo dell’informatica di backup, disaster recovery e business continuity.

Ma tutto ciò è sufficiente? Come possiamo sostenere la costante evoluzione tecnologica?

Matura nella società l’esigenza di affrontare il problema della sicurezza delle informazioni in maniera organica e sistematica, anche utilizzando gli strumenti che gli standard internazionali mettono a disposizione.

E', dunque, necessario riorganizzare e coordinare i documenti e le procedure già esistenti ed utilizzate nello studio notarile. I comportamenti e le regole devono adeguarsi e rispettare le nuove norme di legge.

Così come nella società civile, anche nei nostri studi cresce costantemente il bisogno di “sicurezza” delle informazioni.

L’obiettivo principale che ci possiamo porre è quello di realizzare un sistema di gestione della sicurezza dell’informazione nello studio professionale, al fine di rendere l’attività svolta più sicura, più efficace, ed al fine di adeguare i comportamenti e le regole alle norme di legge.

Ulteriore obiettivo, ma di non minore importanza, è quello di creare nei nostri studi un ambiente favorevole allo sviluppo tecnico e tecnologico: si tratta di affrontare il problema della sicurezza dell’informazione non solo dal punto di vista tecnico, ma soprattutto da un punto di vista organizzativo e culturale.

Dagli standard internazionali per la sicurezza possiamo mutuare un modello di sistema ben collaudato e conosciuto: quello basato sull’approccio per “processi”.

Il “processo” può essere definito come un'attività in cui si utilizzano risorse per compiere operazioni su dati, o meglio come un insieme di attività correlate o interagenti che trasformano elementi in entrata in elementi in uscita.

Per potere ottenere un valido sistema di gestione della sicurezza devono essere coinvolte tutte le procedure dello studio notarile. Non possiamo pensare di applicare i principi della sicurezza solo ad alcuni aspetti della nostra attività, non possiamo creare compartimenti stagni.

L'identificazione, la comprensione e la gestione dei processi che si svolgono all’interno ed all’esterno dello studio notarile, e che in qualche modo lo coinvolgono, costituiscono gli ingredienti essenziali per la costruzione di un buon sistema di gestione della sicurezza.

Tale approccio consente al notaio di esercitare un controllo in piena consapevolezza delle attività dello studio, anche di quelle che non sono da lui direttamente eseguite.

Al fine di sviluppare il sistema di gestione della sicurezza possiamo identificare, secondo un diffuso schema organizzativo, quattro momenti fondamentali all’interno di un ciclo ripetitivo:

- la pianificazione, in cui si definisce una politica di sicurezza, e si individuano gli obiettivi da raggiungere ed i processi per la gestione dei rischi;

- l'utilizzo, che consiste nel mettere in opera la politica di sicurezza, i processi e le procedure;

- la verifica del sistema, ossia un controllo e monitoraggio delle procedure e la gestione degli errori; - il miglioramento, fase in cui correggere e migliorare il sistema sulla base delle verifiche e dei risultati ottenuti.

In tal modo si innesca un ciclo virtuoso in cui, terminata l’ultima fase, si riparte dalla prima. Questo ciclo è essenziale in tema di sicurezza, infatti, mai come in questo campo i problemi e le novità sono all’ordine del giorno; occorre dunque uno strumento flessibile ed in continuo perfezionamento.

Ma cosa è la “politica di sicurezza”? E’ in sostanza una dichiarazione di impegno, che proviene dal titolare (nel nostro caso il notaio), interessato a seguire le norme essenziali della sicurezza dell’informazione. Ad esempio, una politica di sicurezza da adottare, sottoscrivere e comunicare a tutti collaboratori dello studio potrebbe essere la seguente:

“L'attività notarile si basa e costruisce sulla gestione dei dati e delle informazioni.

Le informazioni sono un bene dello studio ed hanno un valore intrinseco: quello di consentire la sopravvivenza stessa dello studio.

Le informazioni vanno protette da pericoli che possono compromettere la normale continuazione dell'attività.

La sicurezza delle informazioni vuole assicurarne:

· la riservatezza;

· l'integrità;

· la disponibilità;

· l'autenticità.

Il notaio ed il personale dello studio s'impegnano a soddisfare i requisiti e a migliorare continuamente l'efficacia del sistema di gestione della sicurezza.

Il notaio si impegna a comunicare e far comprendere la politica della sicurezza all’interno dello studio notarile ed a riesaminarla periodicamente per garantirne l’idoneità.”.

Esaminiamo ora il contenuto del manuale della sicurezza predisposto dal gruppo di lavoro che, su incarico del Consiglio Nazionale, si è occupato di tali problematiche, ricordando che questo strumento va inteso come un contenitore da riempire, un punto di partenza da cui iniziare e da adattare alle esigenze di ogni studio, che possono essere le più varie.

Per iniziare non si può prescindere da un attento esame ed un'approfondita analisi della situazione esistente nello studio. Occorre dunque predisporre un inventario della struttura informatica dello studio utilizzando, come aiuto, il questionario allegato “A” al manuale.

Terminato l’inventario è opportuna la classificazione delle informazioni. Qui ci vengono in aiuto le tabelle 1.1 ed 1.2 del manuale, in cui è stata fatta una generale classificazione dei dati trattati all’interno di uno studio notarile, con una suddivisione spesso già adottata all’interno degli studi, ed inoltre simile a quella prevista per gli studi di settore. Le varie colonne servono ad individuare gli interessati al trattamento, la natura dei dati trattati, la struttura di riferimento ed altre utili indicazioni di tipo organizzativo e tecnico.

Una volta individuati i trattamenti, le banche dati, gli strumenti informatici e le finalità, occorre individuare con precisione le persone preposte al trattamento, i compiti assegnati e le responsabilità. E’ possibile in questo caso seguire lo schema molto semplificato della tabella 2 del manuale, dove il principale soggetto interessato è lo studio notarile (con i relativi notaio, dipendenti, collaboratori, ecc.), ma in cui possono essere compresi il commercialista, il consulente del lavoro, le

società di assistenza o consulenza informatica, ed altri vari soggetti.

Il successivo passo, di importanza fondamentale, è l’analisi dei rischi. Questa attività è particolarmente complessa, e su di essa moltissima dottrina si è prolungata in dettagliate analisi. Tuttavia, considerate le dimensioni di uno studio notarile, è possibile seguire lo schema base elencato nella tabella 3 del manuale, al fine di individuare le categorie di rischi principali.

Alcuni rischi derivano dal comportamento degli operatori, come ad esempio la sottrazione di credenziali di autenticazione agli operatori, la carenza di consapevolezza (da cui l’importanza della formazione), le difficoltà di apprendimento, la disattenzione o l’incuria (il famoso post-it sul monitor), i comportamenti sleali, rancorosi o fraudolenti di un operatore (ad esempio nel caso di licenziamento o semplicemente per antipatia), l’errore materiale commesso da un operatore (quanto è frequente la cancellazione accidentale di file o di intere cartelle?).

Altri rischi dipendono da strumenti ed attrezzature, tra questi possiamo citare l’azione di virus informatici o di programmi suscettibili di recare danno (il cosiddetto malware), lo spamming (ossia quella quantità enorme di posta indesiderata avente ad oggetto le cose più disparate dal tentativo di vendita di qualche prodotto alle catene circolari) che ingolfa le nostre caselle di posta e fa perdere tempo, le tecniche di sabotaggio, il malfunzionamento delle macchine, l’indisponibilità o il degrado degli strumenti, gli accessi esterni non autorizzati, l’intercettazione di informazioni in rete.

Esistono poi gli eventi relativi al contesto, di solito meno frequenti ma forse più pericolosi tra cui gli accessi non autorizzati a locali ad accesso ristretto, la sottrazione di strumenti contenenti dati, gli eventi distruttivi, naturali o artificiali, dolosi o colposi, accidentali o dovuti ad incuria, il guasto ai sistemi complementari (impianto elettrico, climatizzazione, ecc.), gli errori umani nella gestione della sicurezza fisica.

Tutti questi rischi vanno contrastati adottando idonee misure di sicurezza, tra cui quelle obbligatorie previste dal codice per la protezione dei dati personali. E’ chiaro che l’adozione di ulteriori misure di sicurezza oltre quelle obbligatorie è più che opportuna, ma in molti casi dipende da un’attenta analisi dei rischi, dalla possibilità di prevedere eventi, dal costo per implementarle ed applicarle, e da tutta una serie di altri fattori. Dovremo quindi decidere caso per caso, tenendo presente che la chiave è sempre la consapevolezza della scelta: posso stabilire di non adottare una misura di sicurezza che mi protegga dal rischio di una calamità naturale (che sarebbe costosissima e servirebbe a contrastare un evento più che raro), ma probabilmente procederò a stipulare un contratto di assicurazione.

La tabella 4.1 del manuale indica degli esempi di compilazione relativi alle misure di sicurezza. E’ semplice il primo caso: al fine di contrastare il rischio di un accesso logico ai dati del mio computer utilizzerò un sistema di autenticazione informatica basato su credenziali di autenticazione univoche. Nel secondo esempio è indicato che, per contrastare il rischio di virus informatici nel sistema è installato un software antivirus con aggiornamento semestrale. Entrambe queste due misure di sicurezza rientrano tra quelle “minime” previste dal codice. Se volessimo aumentare il livello di sicurezza con una semplice operazione ed un costo molto basso imposteremo il software antivirus per l’aggiornamento automatico quotidiano. In questo caso abbiamo preso una misura minima e l’abbiamo modificata in modo da rafforzarla. Possiamo comunque immaginare anche misure di sicurezza diverse da quelle “minime” come ad esempio un sofisticato sistema di allarme per la protezione della stanza in cui si trova il server o un cane da guardia per la protezione della stanza del notaio ... solo l’analisi dei rischi e lo studio di misure idonee, in relazione alle esigenze specifiche, potranno stabilire il corretto livello di sicurezza che ognuno vorrà adottare, sempre nel rispetto di quello minimo.

Ulteriori contenuti possono certamente essere previsti nel manuale e tra questi la formazione continua del notaio e del personale, il controllo dei trattamenti affidati all'esterno (sia con sistemi di verifica a campione che con vincoli contrattuali), la gestione dei rapporti con i fornitori, un eventuale piano di continuità del servizio e così via.

Dobbiamo fare uno sforzo, in conclusione, per riorganizzare le misure utilizzate nei nostri studi, al fine di renderle coerenti ed efficienti; dobbiamo introdurre nuove procedure e misure laddove siamo carenti.

Se riusciremo a creare la giusta sensibilità verso la sicurezza, a predisporre cioè un orientamento alla sicurezza, allora potremo lavorare in un “ambiente sicuro”, un ambiente che sarà favorevole allo sviluppo tecnico e tecnologico dei nostri studi.

La sicurezza, non si dirà mai abbastanza, non è un prodotto ma un processo. Non potremo comprarla in fretta aderendo alle svariate offerte di pacchetti “tutto compreso”. Potremo di certo perseguirla investendo un po’ di tempo e denaro nel modo giusto (ad esempio in formazione).

Un’ultima considerazione: da tempo vedo la sicurezza come un obiettivo importante per la nostra categoria anche per ragioni esterne, una carta da giocare nei confronti dello Stato che ci dà la pubblica funzione, e dei soggetti con cui veniamo quotidianamente in contatto, sia come singoli notai che come notariato; la sicurezza dell’informazione è qualcosa che può contribuire ad aumentare quello che tutti rappresentiamo all’esterno: la “fiducia”.