Finalmente un testo che tratta di sicurezza informatica con un taglio differente dal consueto e che si rivolge non ai soliti addetti, ma a coloro che non sono del mestiere e hanno solo un’infarinatura di queste problematiche e devono per loro ventura identificare i beni materiali e immateriali da proteggere, individuare pragmaticamente le minacce che possono colpire quei beni, provvedere ad adeguate protezioni affinché le stesse rimangano lontane il più possibile dalla loro struttura e, giacché le risorse sono un’entità non infinita, gestire quantomeno il rischio residuo.
Semplice forse dirlo ma assolutamente non banale da realizzare se non si ha a fianco una guida che possa essere un buon compagno di banco.
Il libro ha a mio avviso la grande capacità di aprire un’ampia finestra anche sulle norme di comportamento che devono rappresentare il vademecum delle persone che con l’informatica e la sicurezza, devono convivere, sia in veste di addetti operativi del settore o che di utilizzatori finali.
Ho trovato molto apprezzabili i casi di studio riportati che offrono una visione grandangolare su alcuni esempi positivi di realtà aziendali di medio-piccole dimensioni in cui la sicurezza ha ricevuto un’accettabile attenzione. Casi emblematici in quanto in quel tipo di aziende di norma difficilmente opera un addetto con adeguate conoscenze/sensibilità della materia, ma soprattutto molto spesso l’imprenditore/titolare è poco incline a investire in sicurezza informatica se non costretto dalle norme di legge (ricordiamo che alcune hanno anche risvolti penali), per cui sovente confida nel sostanziale supporto del santo patrono locale. Il messaggio che ne diviene è che anche in situazioni in cui sovente non si fa nulla per la sicurezza è possibile invece fare passi sostanziali affidandosi a un corretto approccio.
L’ultimo capitolo del libro riguarda le norme di legge sulla sicurezza, che in Italia in anni recenti ha ricevuto grande attenzione da parte delle Istituzioni Aver estratto gli articoli maggiormente pertinenti l’ho trovato meritorio soprattutto per l’approccio didattico volto ad avvicinare al dettame anche le persone che normalmente sono restie ad avventurarsi nel mondo leguleio.
Chiude il tutto un pregevole allegato di schede operative per inventariare i beni, i documenti, le misure adottabili…
Un particolare che mi piace sottolineare è che tranne alcuni termini ormai di uso corrente e un solitario DMZ, brilla l’assenza del puro informatichese e anche dell’inglese tipo-prezzemolo, così gradito a tanti autori in quasi spregio dei bellissimi equivalenti nella nostra lingua.
Una considerazione finale su alcuni spunti che oserei definire piccole perle – Giancarlo insiste tra le altre sulla necessità della formazione a tutti i livelli e sulle verifiche periodiche – due dei più importanti segreti per ottenere e mantenere un buon livello di sicurezza.
Giancarlo Butti
(LA BS7799), (LA ISO IEC 27001), CRISC, ISM
Master di II livello in Gestione aziendale e Sviluppo Organizzativo presso il MIP-Politecnico di Milano.
Si occupa di ICT, organizzazione e normativa dai primi anni 80 ricoprendo diversi ruoli: analista di organizzazione, security manager ed auditor presso gruppi bancari.
Consulente in ambito documentale, sicurezza, privacy… presso aziende di diversi settori e dimensioni.
Ha all’attivo oltre 600 articoli su 20 diverse testate (è stato per anni membro del Comitato tecnico della rivista iged.it) e 17 fra libri e white paper, alcuni dei quali utilizzati come testi universitari; tiene corsi e seminari, è docente presso ITER e ABI Formazione in ambito privacy, audit ICT e audit normativo.
Fra le pubblicazioni attinenti all’ambito documentale: Lavorare con gli ipertesti ‘91, Guida al document management ‘97, Discorso sulla multimedialità ‘98, Guida al workflow ‘99, Internet in azienda ‘00, Il protocollo informatico per la pubblica amministrazione ‘03, Protocollo informatico a norme AIPA – Guida alle soluzioni basate sulla tecnologia Microsoft ‘03, Portali per la pubblica amministrazione ‘04, Intranet per la pubblica amministrazione ‘04, L’informazione a portata di mano. Sempre. Ovunque ‘12.
È socio e proboviro di AIEA (www.aiea.it) e socio del CLUSIT (www.clusit.it).
Partecipa ai gruppi di lavoro di ABI LAB sulla Business Continuity, di ISACA-AIEA su Privacy EU ed è membro del Comitato degli esperti per l’innovazione di OMAT360.