Da quando il Garante per la Privacy si è messo a fare sul serio non c'è più pace per il mondo della Sicurezza Informatica. Troppo lavoro e troppe opportunità in un momento così palesemente critico per l'economia mondiale. I provvedimenti del 17 gennaio 2008 sul trattamento dei dati di traffico e del 27 novembre 2008 sugli amministratori di sistema, si sono infatti abbattuti funesti su tutte le aziende italiane richiedendo sforzi e investimenti notevoli che hanno richiesto un impegno non indifferente della comunità, compreso qualche sforzo legale in più per capire cosa effettivamente andava fatto e in quali tempi.Devo dire che sto seguendo con molta attenzione il tema, in particolare la rivoluzione del provvedimento del 27 novembre che riguarda tutti i professionisti, i collaboratori, gli amici, i parenti e chi più ne ha più ne metta che, per volontà o necessità, si trovano ad amministrare un sistema che tratti dati personali e sensibili.
L'uomo della strada ovviamente potrebbe rispondere con un sano "ecchissene", se non fosse che, forse, potrebbe essere anche lui oggetto di una responsabilizzazione importante proprio a causa di questo provvedimento. Di chi parliamo infatti?
La normativa è chiara: l'amministratore di sistema è la "figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali".
In pratica chiunque amministri un sistema informatico o un'applicazione informatica rientra nel perimetro del provvedimento. Quindi non solo i tecnici informatici, ma anche tutti coloro che, attraverso un qualsiasi programma di gestione, possono intervenire o modificare i dati contenuti senza avere la qualifica di operatore di sistema.
Il perimetro come si capisce è molto ampio, talmente ampio da arrivare ad aberrazioni come il sottoscritto, che si trova a gestire il computer del padre e di qualche altro parente che trova qualche difficoltà con il mezzo.
Ovviamente stiamo esagerando, nessuno farà controlli a tappeto su chi gestisce i computer dei propri familiari, ma si capisce che il problema è molto delicato perchè presume che questi amministratori siano riconosciuti come entità aziendali equilibrate e competenti, al punto da avere in se' anche la responsabilità effettiva del ruolo con controlli periodici anche sull'operato e sulla conformità delle azioni svolte con le proprie mansioni.
Fin qui sembrerebbe che non ci sia nulla di nuovo sotto l'albero, d'altronde per la maggior parte di noi è naturale dare l'amministrazione dei propri dati a chi "se ne intende". Ma la verità è completamente diversa, complice un mercato compulsivo e arrivista, l'assenza di controlli o meccanismi di valutazione oggettivi e, a volte, anche un po' di leggerezza o incompetenza.
Gli amministratori di sistema sono spesso ragazzi di buona volontà che si trovano in un mare di liquame tra server che non funzionano o amministratori delegati isterici. Vivono alla giornata a volte improvvisandosi certificati DBA, UNIX, MS, PCP, CCP, TPC, ecc. ecc. perchè le aziende vivono più di un'anima commerciale che tecnica, e le certificazioni e il personale qualificato costano. E se la situazione standard è il tipico "triplo passaggio" in cui la tariffa finale è già di per se' ridicola, si immagini cosa possono permettersi all'inizio della catena le piccole aziende o i professionisti anonimi che vivono sotto immensi ombrelli commerciali.
Cosa accadrà?
Ricordiamoci che siamo in Italia, il paese dell'alternativa, il luogo sacro delle seconde possibilità. Delle due l'una: un repulisti generale, che porterà ad una rivoluzione nel mercato delle consulenze e dei professionisti internalizzati, magari valorizzando finalmente questi ruoli così bistrattati, normalizzando tariffe e stipendi e investendo in certificazioni e formazione, quindi a tutto vantaggio di chi l'informatica la conosce vuole conoscerla per bene.
Oppure non se ne farà nulla. O almeno si farà, ma con quel pizzico di tolleranza che ormai ci contraddistingue a livello internazionale, mettendo qualche vincolo in più o richiedendo qualche auto-certificazione che poi, forse, qualcuno verificherà.
Mentre qualcuno penserà a come identificare gli amministratori di sistema e a ripulirli da quell'aria da smanettoni o ragazzotti alle prime armi, le aziende hanno però capito subito cosa è necessario fare: spendere per installare prodotti informatici.
Perchè il provvedimento richiede il tracciamento degli accessi informatici fatti dagli amministratori, quindi è necessario raccoglierli da qualche parte e serve un sistema adeguato per farlo. E i requisiti tecnici sono molto stringenti, quindi non tutte le soluzioni sono implementabili. Ed essendo i tempi molto stretti l'unica alternativa è quella di guardare al mercato, a soluzioni già commercializzate e, magari, con qualche blasonato cliente alle spalle, normalmente americano.
E' proprio il caso di dirlo: la solita, vecchia storia.
Nessun commento:
Posta un commento