www.confindustriaixi.it

IMPRESE X INNOVAZIONE

La sicurezza dei dati nelle PMIConoscerla, gestirla e ottimizzarla

IN

NO

VA

ZI

ON

ED

IG

IT

AL

E

Questa guida è stata realizzata grazie al contributo di Hewlett Packard Italiana.

Le guide di questa collana sono supervisionate da un gruppo di esperti di imprese e associazioni del sistema Confindustria, partner del Progetto IxI: Between Spa, Eds Italia, Federcomin, Gruppo Spee, Ibm Italia, Idc Italia, Microsoft, Telecom Italia.

Suggerimenti per migliorare l’utilità di queste guide e per indicare altri argomenti da approfondire sono più che benvenuti:toolkit@confindustria.it

IN

NO

VA

ZI

ON

ED

IG

IT

AL

E

PROTEGGERE E DIFENDERE I MIEI DATI

Il rischio è il punto di partenza di ogni con-siderazione sulla sicurezza o, almeno, do-vrebbe esserlo, anche perchè è un concet-to assolutamente radicato in un’impresa.La sicurezza informatica fornisce ai mana-ger strumenti di gestione del rischio di per-dita e distruzione dei dati. Nonostante ciò,la complessità delle tecnologie rende i ma-nager spesso incapaci di comprendere qua-li siano le reali minacce e, quindi, di valu-tare correttamente quali asset aziendali sia-no in pericolo, nonchè quanto sia grandetale pericolo. Inoltre, le nuove tecnologieche si possono introdurre in azienda nel-l’ambito della gestione del rischio comeelementi abilitanti della sicurezza possonoessere sfruttate anche per estendere ed otti-mizzare i processi di business.Solo considerando tutti gli aspetti della si-curezza e, quindi, i rischi e le opportunitàche un’azienda deve fronteggiare, è possi-

bile valutare correttamente quali soluzionisono indispensabili, quali utili e quali inu-tili. In ogni caso, è buona norma di busi-ness misurare il più accuratamente possibi-le il ROI della sicurezza, come di ogni al-tra spesa, assumendo che si tratti di inve-stimenti e non di meri costi.Ogni azienda deve, dunque, valutare le pro-prie esigenze in termini di sicurezza, identi-ficando le aree di interesse e gli ambiti neiquali sarà opportuno adottare determinatistrumenti. È necessario studiare le infrastrut-ture utilizzate, le applicazioni ed i processiaziendali, al fine di comprendere quali in-vestimenti conviene effettuare.Data l’importanza della materia, anche unanorma di legge ha introdotto l’obbligatorietàper tutte le aziende sia pubbliche che privatedi redazione del Documento Programmaticosulla Sicurezza (DPS), al fine di migliorare ilcontrollo dei dati personali sensibili ed assi-curare un’adeguata protezione a tutte le ban-che dati di cui l’azienda si serve nella condu-zione delle proprie attività.

IN

NO

VA

ZI

ON

ED

IG

IT

AL

E

1

LA SICUREZZA DEI DATI NELLE PMIConoscerla, gestirla e ottimizzarla

l’azienda. Tuttavia, spesso si tratta solo didisattenzioni o di abusi senza particolarisecondi fini le cui conseguenze sono prin-cipalmente relative alla perdita di produtti-vità.Inoltre, anche sugli attacchi esterni occor-re fare dei distinguo, in quanto una cosaè il tentativo di intrusione successivamen-te bloccato ed un’altra è il successo di undenial of service, capace di mettere fuoriuso un server per molte ore, fino addirittu-ra arrivare a bloccare il servizio di un pro-vider, con conseguenze economiche ed’immagine gravissime.I rischi legati alla mancata protezione pos-sono essere di diverso tipo (Figura 2).

Chiaramente alcuni eventi sono meno fre-quenti ma hanno un impatto in termini dibusiness operation e perdite finanziariemolto alto, altri eventi, che causano l’in-terruzione del business, invece, sono piùfrequenti ma con un livello inferiore d’im-patto.

Le conseguenze di un downtime causatoda tali eventi sono varie:• perdita di clienti;• perdita di opportunità;• perdita produttiva;• lavoro improduttivo;• costi di ripristino;• penali;• vertenze;• cattiva pubblicità;• perdita di valore azionario.

Occorrerà, pertanto, calcolare il valore diogni evento e stimare le perdite che potreb-bero derivare dalla sua indisponibilità. Sele perdite legate alla riservatezza, all’inte-

grità o alla disponibilitàdei dati possono esserequantificabili in denaro,la componente di intan-gibilità della stessa perdi-ta è più difficilmente mi-surabile. Si pensi, adesempio, alla fiducia deiclienti: si configura comeuno dei principali obiet-tivi quando si affronta ilproblema della sicurezzae rappresenta un fattore

importante per la valutazione delle spesenecessarie. Si potrà parlare profusamentedi intangibilità della perdita, ma rimarrà ilfatto che per alcune tipologie d’aziendal’affidabilità si misura oltre che sulla solidi-tà finanziaria anche sulla sicurezza tra-smessa e percepita dalla propria clientela.

IN

NO

VA

ZI

ON

ED

IG

IT

AL

E

LA SICUREZZA DEI DATI NELLE PMI

3

Per valutare correttamente quali siano leproprie esigenze e quali siano le dimensio-ni del rischio, è utile comprendere e cono-scere le minacce alla sicurezza (Figura 1).

Concentrandoci sulle cause d’indisponibi-lità non pianificata di dati e di sistemi, no-tiamo subito che fattori legati agli erroriumani e agli applicativi sono molto più ri-levanti di quelli che naturalmente verreb-bero in mente quando si parla di caused’indisponibilità (ad esempio, disastri natu-rali, incendi, ecc..).Anche le minacce provenienti da Internetsono riconosciute come pericolosa fonte diattacchi dei sistemi informativi, ma va an-che ricordato che nessuna azienda può dir-si completamente al sicuro, ma può rende-re sicuri i propri sistemi quel tanto che ba-sta a scoraggiare almeno l’ hacker “casua-le”, quello relativamente meno preparato

che agisce per divertimento, impiegando itool che abbastanza facilmente si trovanosulla rete. In un rapporto risalente al 2002,ma ancora molto attuale, CSI (Computer Se-

curity Institute) e FBI affermano che il 90%delle aziende intervistate hanno rilevato vio-lazioni alla loro sicurezza negli ultimi dodi-ci mesi. L’80% di queste ammette perdite fi-nanziarie conseguenti a tali violazioni. È interessante osservare come una tenden-za iniziata qualche anno fa negli Usa si siaaffermata così rapidamente anche in Italiacon un aumento degli attacchi provenientida Internet che hanno superato quelli pro-venienti dall’interno. D’altro canto, però,emerge che alcune delle violazioni internecostituiscono una minaccia potenzialmen-te più grave, in quanto sono azioni mirateche, se portate a termine con successo,causano la perdita di informazioni vitali per

IN

NO

VA

ZI

ON

ED

IG

IT

AL

E

2

FIGURA 1 - PRINCIPALI CAUSE DEGLI EVENTI DI INDISPONIBILITÀ DEL SISTEMA INFORMATICO

Fonte: Gartner Group, December 2002FIGURA 2 - LA NATURA DEL RISCHIO

NON PREVISTI

Errori degli operatori Errori degli applicativi

Impianti ambiente

Applicativi e databaseBatch application processing

Backup recoveryHardware, network, sistemi operativi, software

ALTO

Impa

tto pe

r inc

idente

Frequenza relativaBASSO

BASSA ALTA

Fattori ambientali, disastri ad hardware e sistemi operativi

40%

20%

40%

65%

10%

13% 10%

2%

PIANIFICATI

Disastri naturali - incendi, terremoti, eccDisastri umani - terrorismo, danni intenzionali

Security breach - hacker

Network failure

Downtime pianificati

Denial of service

Application failure

Attacchi di virusSoftware failure

Hardware failurePower failure

trollo dei costi per il calcolo del ROI; sicu-ramente chi fornisce un servizio di questotipo sarà più accorto nel non tralasciare al-cuni costi “nascosti” che noi comunemen-te non considereremmo come il tempo de-dicato da ciascun addetto alla pulizia dellamail a causa dello spam.

Le conseguenze di un downtime varianoanche in relazione al mercato di riferimen-to in cui le aziende operano.Vediamo adesso un esempio di stima delrischio e delle conseguenze effettuata suun’ azienda di medie dimensioni operantenel settore manufatturiero (Figura 4).

Tale analisi è stata condotta utilizzando untool che permette di calcolare il cosiddettoBID (Business Impact of Downtime), cioèl’impatto che l’interruzione del sistema hasul business.Il tool Business Impact of Downtime (BID)permette di quantificare il costo di un’ora

di downtimenon pianifica-to (Figura 5).Il tool BID as-

sume che un downtime non pianificato adun servizio critico per il business avrà co-me conseguenze:• perdita immediata di fatturato;• diminuzione della customer satisfaction;• perdita di produttività;• diminuzione del valore delle azioni.

IN

NO

VA

ZI

ON

ED

IG

IT

AL

E

LA SICUREZZA DEI DATI NELLE PMI

5

Secondo il parere degli esperti, il tempoche un’azienda impiega per riabilitarsi dauna perdita di dati catastrofica è diretta-mente proporzionale alla probabilità chequell’azienda ha di uscire dal mercato. Secondo la stima di IDC (Figura 3), ogni uten-te spreca circa 10 minuti al giorno per ripuli-re la propria casella dallo spam. Moltiplican-do questo tempo per il costo giornaliero a per-sona per il numero di addetti si deduce aquanto ammonterebbe il costo del mancatoinvestimento in antispam. Ad esempio, un’a-zienda con 100 dipendenti potrebbe rispar-

miare 82.000 dollari all’anno se ogni utentenon dovesse sprecare 10 minuti al giorno nel-la cancellazione dello spam ricevuto.Attualmente, nonostante la quantità di mi-nacce sia notevolmente cresciuta, anche leopzioni di protezione disponibili diventa-no molto potenti e sofisticate. Appare, per-tanto, opportuno effettuare un assessmentsullo stato dei propri sistemi di difesa perevitare di ritrovarsi vittima di spiacevoli ecostosi danni all’integrità del proprio patri-monio di dati. A tale proposito si rivela uti-le l’utilizzo di tool capaci di stimare il li-

vello di rischio cuiun’azienda è esposta.Inoltre si può valutarela possibilità di avvaler-si di un service providerin outsourcing che siaspecializzato nel con-

IN

NO

VA

ZI

ON

ED

IG

IT

AL

E

4

FIGURA 3 - UTILIZZATORI DI E-MAIL

Tempo impiegato per cancellazione posta indesiderata (per user) 10 Minuti

Media annuale di (costo) risparmio possible per l’azienda 82.000 $

Fonte, IDC Spam Study 2004. Basato su un’azienda con 100 utenti di posta elettronica. Considerando il solo costo di produttività oraria.

FIGURA 4 - ESEMPIO DI AZIENDA DEL SETTORE MANUFATTURIERO CON 160 DIPENDENTI

Dati finanziariOrganizzazione/DipartimentoFatturato euro 19.064.829Costi operativi euro 18.488.819Utili euro 576.011

DipendentiNumero dipendenti 160Costo dei dipendenti euro 9.069.347Costo medio per dipendente euro 56.683

GESTIONE DELLA SICUREZZA ITEFFICIENTE ED EFFICACE

È provato che è impossibile proteggereun’organizzazione al 100%, ma l’ap-plicazione di alcune semplici misure(Figura 6) aiuta a salvaguardare in modo

ragionevole i dati di business, le appli-cazioni software, i processi e, insiemead esse, la reputazione dell’azienda. Laprima regola è formulare una procedu-ra di sicurezza adatta all’azienda; la se-conda è implementare efficacemente laprocedura mediante un programmacompleto per la gestione della sicurez-za, facilmente modificabile e adattabileper proteggere l’azienda dall’insorgeredi nuove minacce.

Definire una procedura di sicurezzaUna procedura di sicurezza definisce il conte-sto (il framework) per un programma comple-to di prevenzione, identificazione e neutraliz-zazione delle minacce adatto all’azienda.Tale contesto deve coprire gli aspetti relativialla sicurezza logica e fisica, alla privacy/ri-servatezza e alla conformità normativa checoinvolgono l’organizzazione. Il contesto de-ve anche definire i ruoli e le responsabilitàdi amministratori, utenti e service provider eprevedere un componente regolamentareche stabilisce i comportamenti contrari allaprocedura e le azioni disciplinari che l’azien-da intraprenderà in caso di violazioni.

Di seguito sono elencati le cinque fasi cheè necessario intraprendere per implemen-tare una procedura di sicurezza efficace:1. Condurre un esame approfondito di tut-

ta la rete e di tutte le risorse IT a essa col-legate (workstation, applicazioni, dati edatabase, sistemi e server, dispositivi sto-rage, periferiche e strumenti di servizio),

IN

NO

VA

ZI

ON

ED

IG

IT

AL

E

LA SICUREZZA DEI DATI NELLE PMI

7

Il tool BID è basato su un modello chequantifica l’impatto di tutti questi fattori.Il calcolo che presentiamo si basa su:• dati di bilancio; • dati specifici del cliente;• dati di Benchmark sulla base di statisti-

che per industry e per segmento di mer-cato.

In base alle informazioni in input, il BID

produce reports sul costototale del Downtime perun’azienda specifica.Un piano di protezione bencongegnato può costituire lapolizza assicurativa di cui siha bisogno per proteggere ivostri preziosi dati.

Riportiamo di seguito alcu-ne informazioni essenzialiche possono esservi d’aiu-to ad implementare un pia-no finalizzato a manteneresana e salva l’azienda.

IN

NO

VA

ZI

ON

ED

IG

IT

AL

E

6

CCONTROLLARE il livello di sicurezza esistenteCONFORMARSI alle normativeCOSTRUIRE un’infrastruttura sicuraCONTROLLARE gli accessi alle risorseCONTRASTARE le minacceCHIEDERE aiutoCONTENERE i rischi di sicurezza

FIGURA 6 - SETTE “C” PER UNA GESTIONEEFFICIENTE ED EFFICACE DELLA SICUREZZA IT

FIGURA 5 - COSTI TOTALI DI PERDITA DI UN’ORA DI DATI AZIENDALI

Funzione aziendale impattata Valorizzazione economica dellaperditaSupply chain euro 8.433

Vendite euro 11.674

Distribuzione euro 5.511

Intranet euro 5.627

Internet euro 3.244

Brand euro 3.180

Costi Finanziari euro 3.170

Customer service euro 5.444

Mancata Fatturazione euro 3.737

Costo totale del downtime euro 50.019

ESEMPIO Fermo delle linee di produzione e perdita delle relative informazioni per un’ora diattività produttiva. La perdita di ordini di clienti già registrati comporta costi di recupero e reinserimentodegli ordini. Perdita degli ordini dei distributori.Costi di recupero delle informazioni del portale interno.Costi derivanti dall’indisponibilità del portale aziendale.Perdita di fiducia da parte dei clienti e danni alla reputazione aziendale.Costi di riparazione delle macchine e recupero dati.Costi di personale extra per risolvere eventuali problemi causati ai clienti.Costi di re imputazione e recupero delle fatture già emesse e mancata fatturazione.

oltre che di qualunque altro sistema in-dipendente in uso nell’azienda.

2. Documentare il ruolo di ognuna di que-ste risorse informative, evidenziandoquelle critiche per la sopravvivenza del-l’azienda, senza dimenticare i processidi business da esse utilizzati e supporta-ti né gli utenti che ne fanno uso. È ne-cessario inoltre documentare le risorsefisiche che proteggono queste risorse in-formative, come porte di sicurezza,computer room protette, sistemi di bac-kup on-site e off-site, ecc.

3. Analizzare singolarmente e complessi-vamente le reti e le risorse documentateal fine di identificare i rischi e le vulne-rabilità potenziali. Tra i rischi più comu-ni figurano accessi non autorizzati, dif-fusioni di informazioni riservate, perditeo danneggiamenti di dati, malfunziona-

guamento della procedura ai cambia-menti introdotti nell’azienda e nell’am-biente business.

Implementare la procedura di sicurezzastabilitaSviluppare una procedura di sicurezza èpiuttosto semplice, farla funzionare è benpiù complesso. Grazie ai moderni tool perla gestione dell’informazione, tuttavia,l’amministrazione proattiva della sicurezzaIT oggi è molto più facile e lineare. Adesempio, è possibile utilizzare le informa-zioni di auditing per definire le abitudinid’uso con l’obiettivo di evidenziare le vul-nerabilità, rilevare e bloccare le intrusioni;filtrare i contenuti, neutralizzare i worm e ivirus, e automatizzare gli aggiornamenti el’implementazione delle patch softwareevitando di sprecare tempo prezioso.È importante sottolineare come la protezio-ne dei dati si articoli su due aspetti fonda-mentali: definire misure di sicurezza ade-guate ed effettuare regolarmente il backupdei dati. Secondo una recente indaginecondotta da “Quocirca”, negli ultimi dodi-ci mesi, il 50% delle PMI non ha verificatola propria capacità di effettuare il recoverydei dati dai backup esistenti. Questo datoindica che al verificarsi di eventuale perdi-ta di dati e contemporanea indisponibilitàdei backup i problemi per le aziende sareb-bero enormi.

Per salvaguardare più efficacemente i datiè opportuno: proteggere l’accesso ai dati

sia a livello fisico che mediante meccani-smi di autenticazione e/o autorizzazione.Creare quotidianamente copie di backupdei dati e conservarle in un sito diverso.Automatizzare il backup dei desktop effet-tuando a livello centrale la copia dei daticontenuti non soltanto sui server, ma anchesu laptop e personal computer. Molti drivelocali contengono grandi quantità di datipreziosi dei quali non viene effettuato ilbackup altrove, con il pericolo che vadanoirrimediabilmente perduti in caso di mal-funzionamento del computer su cui si tro-vano.Tenere presente che tutti i dati di cui vieneeffettuato il backup a livello centrale devo-no essere copiati, tipicamente su un serverseparato situato altrove, a scopo di archi-viazione e backup. Verificare regolarmentetutti i sistemi di backup (almeno due volte

LA SICUREZZA DEI DATI NELLE PMI

9

menti operativi, cadute di corrente e ral-lentamenti causati da virus.

4. Valutare i rischi e le vulnerabilità identi-ficate rispetto all’importanza delle risor-se vulnerabili. In questo modo è possi-bile stabilire quanto tempo e denaro in-vestire per proteggere ciascuna risorsa.

5. Assegnare la priorità alle varie minac-ce sulla base delle valutazioni del ri-schio e utilizzare queste priorità persviluppare una procedura comprensivadi regole, procedure e tool di protezio-ne oltre che per documentare le misu-re disciplinari e di altro genere da in-traprendere in caso di violazioni dellaprocedura stabilita.

Tra i vari aspetti, la procedura di sicurezzadovrebbe contemplare:A) L’uso appropriato dei sistemi di posta

elettronica e di instant messaging dell’a-zienda.

B) Misure appropriate per proteggere i datioperativi (ad esempio, informazioni re-lative a dipendenti, clienti e contabilità)e le altre informazioni sensibili.

C) Procedure per rispondere a minacce al-la sicurezza, tentativi di intrusione, per-dite di dati e malfunzionamenti di reteo di sistema. L’utilizzo e la cura di pro-tocolli e sistemi di autenticazione (username e password).

D) Infine, per mantenere aggiornata la pro-cedura di sicurezza, è opportuno inclu-dere una funzione built-in diauditing/revisione atta a facilitare l’ade-

8

IN

NO

VA

ZI

ON

ED

IG

IT

AL

EI

NN

OV

AZ

IO

NE

DI

GI

TA

LE

frastruttura può scalare in modo da sod-disfare le esigenze aziendali in continuaevoluzione?

Il primo passo nella pianificazione della vo-stra soluzione per la protezione dei dati ècapire di che tipo di ambiente IT disponete.

Ambienti DASIl DAS (Direct Attached Storage) è il piùsemplice ambiente di backup e ripristino e,in genere, consiste di un’unità nastro colle-gata direttamente al server che protegge. Leaziende che dispongono di un ambienteDAS in genere:• necessitano di backup solo giornalieri o

settimanali;• dispongono di meno di cinque server in

rete;• necessitano di un solo sistema operativo;• non necessitano di operazioni business-

critical on line.

Ambienti LANIl backup basato su LAN (Local Area Network)viene spesso utilizzato dalle aziende che ese-guono processi continui con più server eworkstation. I dispositivi di backup di storagesono collegati alla rete aziendale e gestiti cen-tralmente da una sola console mediante unsolo server di backup, per una notevole ridu-zione dei costi hardware e del tempo dedica-to alla gestione. Le aziende che dispongonodi backup basato su LAN in genere:• necessitano di operazioni business-criti-

cal continue;• necessitano di backup giornalieri o ad

ogni ora;• dispongono di più di cinque server in rete;• eseguono sistemi operativi multipli;• hanno bisogno di automatizzare i proces-

si di backup;• non sono in grado di prevedere la cresci-

ta del volume dei dati.

Ambienti SANLe aziende che dispongono di una SAN (Stora-ge Area Network) hanno caratteristiche simili aquelle che dispongono di una LAN. Inoltre:• hanno una rete complessa e di grandi dimen-

sioni, che necessita del 100% di uptime;• probabilmente dispongono anche di uno

staff IT dedicato, i loro dati subisconouna crescita esponenziale e hanno la ne-cessità di ripristino immediato.

Un sistema SAN offre backup sofisticatoche fornisce:• elevati livelli di scalabilità per capacità

di dati e prestazioni;

IN

NO

VA

ZI

ON

ED

IG

IT

AL

E

LA SICUREZZA DEI DATI NELLE PMI

11

all’anno) per accertarne il regolare funzio-namento.Installare gruppi elettrici di continuità perevitare perdite e danneggiamenti dei datiprovocati da cadute di corrente. Implemen-tare sistemi data storage ad alta disponibi-lità tolleranti ai guasti nel caso in cui le at-tività dell’azienda dipendano dall’accessocostante ai dati.Fare il backup dei dati è l’attività più impor-tante per garantire la business continuity.

BACKUP, UNA GARANZIA DI BUSINESS CONTINUITY

Dicono che per ogni problema esiste sem-pre una soluzione. Infatti, esiste un sistemainfallibile che chiunque può adottare perproteggere i propri dati. È sufficiente farneil backup! Ovviamente, questa importanteattività può essere eseguita facilmente e aun costo irrisorio dal semplice utente pri-vato, ma quando si parla di aziende occor-re stabilire un vero e proprio piano di busi-ness continuity.

Anche le aziende possono avvalersi diun’ampia gamma di potenti programmi dibackup e ripristino facilmente reperibili incommercio. In parole povere, questi soft-ware risiedono in un server autonomo chescatta una serie di “istantanee” delle infor-mazioni che desiderate proteggere, ad in-tervalli regolari impostati da voi stessi. Ese-guendo il backup dei dati, non scongiuratecompletamente il rischio di perderli, ma ri-

ducete enormemente il rischio e pratica-mente vi garantite la possibilità di soprav-vivere a un evento catastrofico.

È essenziale scegliere una soluzione per laprotezione dei dati adatta alle vostre esigen-ze e in grado di risolvere problemi quali:• il collegamento di un’unità nastro a cia-

scun server causa una duplicazione di ri-sorse che potrebbe essere razionalizzatadiversamente;

• la distribuzione del backup in molti siticomplica notevolmente la pianificazionedella gestione e del disaster-recovery;

• la rete aziendale ha dimensioni sufficien-ti a gestire il volume di traffico prodottoquando vengono effettuati i backup? L’a-zienda è in grado di gestire le finestre dibackup in modo da lasciare libera la retedurante le ore di lavoro?

• I server dedicati per il backup offrono l’u-tilizzo migliore delle vostre risorse? L’in-

IN

NO

VA

ZI

ON

ED

IG

IT

AL

E

10

LE TESTIMONIANZE DELLE IMPRESE

Nata in Italia nel 1960, Tenax è oggi una del-le più importanti realtà al mondo per la pro-duzione di reti in plastica e geosintetici. Que-sto genere di prodotti ha molteplici campi diapplicazione: si considerino, ad esempio, lerecinzioni utilizzate in agricoltura o nel giar-dinaggio, le reti da imballaggio o per uso edi-le, le reti più tecniche impiegate nell’industriao nell’ingegneria civile. Tenax ha perciò svi-luppato un catalogo di oltre 3.000 referenzeed è cresciuta nel tempo fino a diventare ungruppo internazionale con un fatturato annuodi circa 120 milioni di euro e un organico diquasi 800 persone. In Italia l’azienda è pre-sente con tre sedi (il quartier generale di Viga-nò, in provincia di Lecco, e due unità produt-tive a Rieti ed Eboli), ha un fatturato annuo di45 milioni di euro e circa 250 dipendenti.

Innovazione tecnologica continuaOperando in un settore altamente tecnologico,Tenax ha sempre dedicato grande attenzionee risorse alla ricerca, alla sperimentazione, al-le collaborazioni scientifiche e alle sinergiecon affermati istituti universitari. Fin dagli an-ni Sessanta, l’azienda ha perseguito la strada diuna continua innovazione tecnologica e hacontribuito alla definizione di nuovi standardnei processi di estrusione tradizionalmente im-piegati.La scelta di sviluppare al proprio interno tuttele innovazioni di prodotto e di processo ha difatto caratterizzato la storia dell’azienda,

IN

NO

VA

ZI

ON

ED

IG

IT

AL

E

LA SICUREZZA DEI DATI NELLE PMI

13

• una rete di backup dedicata che consen-ta alla LAN di offrire tempi di risposta piùrapidi agli utenti della rete;

• l’opportunità di utilizzare storage assisti-to per il ripristino immediato;

• procedure di ripristino semplificate conbackup diretto dai server applicativi.

Per ovvi motivi, i dati di backup devono es-sere archiviati in un luogo diverso dai serverche intendete proteggere. Non esiste una so-luzione semplice e veloce per gestire in ma-niera completa la sicurezza IT. Tuttavia, svi-luppando una procedura e un programmadi gestione della sicurezza adeguati, modifi-cabili rapidamente in modo da fornire pro-tezione contro le nuove minacce, un’azien-da può disporre di strumenti efficaci per pro-teggere i dati business, le applicazioni soft-ware, le attività e, aspetto ancor più impor-tante, la business continuity e la propria re-putazione. Molti degli inconvenienti riscontrati dalle pic-cole aziende sono riconducibili a forze ester-ne: il ristagno dell’economia, una calamità na-turale, un dipendente di vitale importanza chedecide di licenziarsi. È dunque logico che leaziende in grado di sopravvivere in tempi dicongiuntura sfavorevole siano quelle che ri-ducono al minimo i rischi, adottando delleprecauzioni essenziali. Una delle prime pre-cauzioni è la protezione dei dati aziendali piùimportanti.Tutti questi suggerimenti concorrono alla re-dazione del Documento Programmatico sullaSicurezza (DPS).

IN

NO

VA

ZI

ON

ED

IG

IT

AL

E

12

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA

Cosa è il DPSÈ l'unico documento in grado di attestarel'adeguamento della struttura alla normativa sullatutela dei dati personali (Dgls n. 196/2003). Redattoentro il 31 marzo di ogni anno, il DPS è un manualedi pianificazione della sicurezza dei dati in azienda:descrive come si tutelano i dati personali didipendenti, collaboratori, clienti, utenti, fornitori ecc.in ogni fase e ad ogni livello (fisico, logico,organizzativo) e come si tuteleranno in futuro(programmazione, implementazione misure, verifiche,analisi dei risultati ecc.). In ogni caso si tratta di unconsistente piano di gestione della sicurezza,disponibilità ed integrità dei dati, avente data certa aprova formale dell'adeguamento sostenuto. Il numerodelle pagine di un manuale medio è di 150 pagine.Manuali inconsistenti e improvvisati di 10-15 pagine,non solo sono carta straccia e delle inutili perdite ditempo e soldi, ma non servono a niente ai finidell'adeguamento e della garanzia in caso di controlli.

Scopo del DPSDescrivere la situazione attuale (analisi dei rischi,distribuzione dei compiti, misure approntate, distribuzionedelle responsabilità ecc.) ed il percorso di adeguamentoprescelto dalla struttura per adeguarsi alla normativaprivacy.

Tempi di stesura del DPSCertamente non ci si mette a norma in un giorno,come si legge su certi siti... il documentoprogrammatico richiede una attenta valutazione dellasituazione aziendale e dei trattamenti effettuati. Perquesto motivo i tempi di stesura del DPS variano datre settimane a due mesi.

PrecisazioniIl documento deve avere data certa e deve essereaggiornato annualmente. Il testo unico impone come dataper la redazione e l'aggiornamento il 31 marzo di ognianno. Si consiglia di non aspettare l'ultimo mese utile per lamessa in regola della vostra struttura, perché potrebbe nonbastare.

Una copia del DPS deve essere custodita presso la sede peressere consultabile e deve essere esibita in caso di controlli. Una documentazione in linea con la norma BS7779 e lelinee guida ISO 17799:2005 permette di costruire emantenere nel tempo i processi che determinano edefiniscono ruoli, responsabilità e procedure conformi agliobiettivi del Sistema di Gestione per la Sicurezza delleInformazioni.

Il titolare del trattamento deve dare conto nella relazioneaccompagnatoria del bilancio aziendale annualedell'avvenuta redazione/aggiornamento del DPS.

Fondata nel 1913 da Francesco Rigamonti, l’a-zienda inizia la propria attività in un laborato-rio artigianale situato nel centro storico di Son-drio.La bresaola riscuote in breve tempo notevoliapprezzamenti, soprattutto fra i turisti che vi-sitano la Valtellina per curarsi grazie all’ariasalubre di montagna.La struttura cresce in modo costante neglianni e vengono aperte altre due unità pro-duttive a Poggiridenti e Mazzo di Valtellina,fino a raggiungere una superficie complessi-va di 27.000 metri quadrati. Il boom dellaproduzione arriva negli anni Novanta, quan-do viene riconosciuto il valore nutrizionaledella bresaola e la sua possibilità di utilizzoin diete e regimi alimentari a basso conte-nuto calorico ed elevato apporto proteico.Rigamonti conta oggi 300 dipendenti e van-ta un fatturato annuo di quasi 100 milioni dieuro.

La tecnologia come elemento di vantaggio competitivoLa crescita di Rigamonti è stata accompagna-ta da un’infrastruttura informatica che, evol-vendo nel tempo, ha sempre garantito un ade-guato supporto al business dell’azienda. Ini-zialmente basata su sistemi proprietari, versola metà degli anni Novanta l’architettura IT èstata rinnovata per implementare un ambien-te client/server in grado di sostenere il softwa-re gestionale allora in uso.“Alla fine degli anni Novanta ci siamo resi

conto che la nostra infrastruttura IT non erapiù sufficiente, soprattutto dal punto di vistadella capacità di elaborazione. L’introduzionedell’euro e l’esigenza di adeguare il sistemainformativo ci hanno convinto a compiere unintervento radicale di trasformazione, ancheper aprirci alla posta elettronica e al Web”, ri-corda Paolo Mazza, direttore amministrativodi Rigamonti. Il nuovo gestionale, rivolto prin-cipalmente alla funzione contabile-ammini-strativa, ha portato con sé la necessità di im-plementare una soluzione server basata su tec-nologie standard. In questa fase, il principalevantaggio della tecnologia è stata la possibili-tà di snellire alcune procedure interne edesterne, tra cui ad esempio la gestione dei con-tratti con la GDO.Sono questi gli anni in cui la crescita del-l’azienda è più rapida e diventa indispen-sabile aggiungere un modulo software perla gestione della produzione, aumentare ilnumero delle postazioni di lavoro e poten-ziare la rete LAN che collega i tre stabili-menti produttivi, così da avere a disposi-zione un’infrastruttura IT ad alte prestazio-ni ed elevata affidabilità.

“Dovendo massimizzare la qualità dei proces-si interni, abbiamo dovuto risolvere due pro-blemi fondamentali, ovvero garantire la trac-ciabilità di ogni prodotto e dei suoi compo-nenti, e assicurare il collegamento in temporeale tra le diverse sedi”, spiega Wilson Cor-radi, responsabile IT di Rigamonti. “Ogni ope-raio utilizza infatti un lettore di barcode peridentificare le unità prodotte e lavorarle in mo-

IN

NO

VA

ZI

ON

ED

IG

IT

AL

E

LA SICUREZZA DEI DATI NELLE PMI

15

creando un vantaggio competitivo rispetto aiconcorrenti.La funzione IT di Tenax è oggi composta dasette professionisti, che si occupano di tutti gliaspetti legati alla tecnologia informatica: dallosviluppo dell’ERP alla gestione degli applicati-vi, dai servizi Web all’assistenza help desk. Fi-no a quattro anni fa l’infrastruttura era basatasu una quindicina di server ma, non essendostata definita una chiara suddivisione dei pro-cessi, i sistemi risultavano nel complesso po-co efficienti e molto onerosi in termini di ma-nutenzione.L’esigenza di mantenere elevato il livello diqualità offerto ai clienti ed essere vincenti dalpunto di vista del time-to-market ha convintoTenax a riprogettare l’architettura IT per ren-derla più affidabile e sicura. Affidabilità ed efficienza sono senza dubbio ivantaggi principali della nuova infrastruttura diTenax. “Abbiamo a disposizione delle funzio-nalità completamente nuove, come la possibi-lità di accedere al server di posta da remoto.Possiamo così ricevere ed inviare e-mail anchequando siamo fuori ufficio, utilizzando dispo-sitivi come notebook e palmari”, precisa l’ing.Rigamonti. “Anche la gestione del server proxyè migliorata in modo significativo e oggi pos-siamo controllare l’utilizzo di Internet attraversoun’attività più puntuale di reportistica”.

Proteggere il business migliorando la sicurezza dei sistemi ITAnticipando l’entrata in vigore del dgls. n.196/2003 relativo al Documento Program-matico sulla Sicurezza (DPS), Tenax ha svi-luppato una soluzione di backup che assi-cura la massima protezione delle informa-zioni e dei messaggi e-mail. Questa solu-zione permette di recuperare i dati degliutenti fino al mese precedente, giorno pergiorno. Il backup viene infatti eseguito quo-tidianamente e, per i servizi più critici, ad-dirittura ogni quattro ore.È stato inoltre necessario innalzare il livello disicurezza del server di posta, che rappresen-tava il punto potenzialmente più vulnerabiledell’intera infrastruttura. Il sistema è stato in-nanzitutto protetto grazie ad una soluzione an-tivirus e antispam, poi si è proceduto a sepa-rare il server mail privato e pubblico.“Questa particolare configurazione ci tutelaanche in caso di accesso da remoto alla postaelettronica”, precisa l’ing. Rigamonti. “La si-curezza dei dati e l’integrità delle informazio-ni è del resto una delle nostre priorità, per cuiabbiamo cercato di proteggerci da ogni mi-naccia che possa derivare da virus, spam, hac-ker e tentativi di accesso non autorizzato allanostra rete”.Considerando i buoni risultati raggiunti fino-ra, Tenax continuerà ad investire in questa di-rezione anche nel prossimo futuro.“Il ruolo dell’IT in Tenax sta cambiando per-ché oggi la tecnologia rappresenta la base del-la maggior parte dei nostri processi”, conclu-de Amanzio Rigamonti.

IN

NO

VA

ZI

ON

ED

IG

IT

AL

E

14

do conforme ai livelli qualitativi definiti, adesempio nella fase del bilanciamento degliaromi. La connessione continua al sistema in-formativo centrale consente di trasmettere in-formazioni e ricevere istruzioni sui vari pas-saggi di lavorazione, per cui è necessario ope-rare in tempo reale per minimizzare i tempidi inattività”. Con il supporto di rivenditorispecializzati in queste soluzioni, Rigamonti haquindi ridisegnato la propria infrastruttura ITper migliorare l’affidabilità e la sicurezza com-plessiva dei sistemi, che devono essere sem-pre disponibili e garantire la continuità deiprocessi aziendali. L’architettura proposta hasostanzialmente eliminato i fermo macchina,assicurando i massimi livelli di efficienza edefficacia. Tutti questi sistemi sono stati instal-lati nella sede centrale di Montagna in Valtel-lina, dove risiede il data center di Rigamonti.L’esigenza di conservare dati e informazioniin modo sicuro è stata risolta con una soluzio-ne di backup innovativa. Questi sistemi sonostati collocati in una palazzina secondaria del-la sede di Montagna, così da essere disponi-bili anche in caso di incendio o eventi straor-dinari. Un altro vantaggio della nuova archi-tettura è la separazione della capacità di ela-borazione dei server dalla capacità di archi-

viazione dei dati storage, tutto ciò grazie allarealizzazione di una Storage Area Network.Ciò consente a Rigamonti di potenziare all’oc-correnza solo una delle due parti; i sistemi so-no infatti indipendenti fra loro, tutti caratteriz-zati da ottimi livelli di flessibilità e scalabilità.“Nonostante sia aumentata la complessità del-la nostra infrastruttura, siamo riusciti ad otti-mizzare i costi di gestione e non è stato ne-cessario aumentare il personale IT interno.Possiamo però garantire prestazioni decisa-mente superiori agli utenti e alla rete nel suocomplesso”, aggiunge Paolo Mazza.Anche il parco PC è stato progressivamenterinnovato negli ultimi anni: “Avere un’archi-tettura monomarca e interamente basata sutecnologie standard riduce al minimo i pro-blemi di compatibilità e ci permette di sfrutta-re meglio le sinergie tra i vari dispositivi”, pro-segue Wilson Corradi.Nell’ottica di garantire la continuità delle atti-vità aziendali e la massima disponibilità deisistemi informatici, Rigamonti ha affidato adun operatore esterno anche la gestione del ser-vizio di assistenza tecnica affinché, in caso diguasto ad uno dei server, l’operatività sia ri-pristinata entro quattro ore. “L’obiettivo diquest’anno è consolidare la nuova infrastrut-tura e completare il progetto in tutti i suoi det-tagli”, conclude Paolo Mazza. “Per noi l’in-formatica non è un costo, ma un’opportunitàper gestire meglio le varie attività di Rigamon-ti e continuare ad offrire ai clienti il massimolivello di qualità. Oggi il nostro successo è le-gato anche alla disponibilità di tecnologieavanzate ed affidabili”.

16

IN

NO

VA

ZI

ON

ED

IG

IT

AL

E