I costi non economici della sicurezza

Quanto costa non avere i sistemi informatici al sicuro? Economicamente molto: perdite di dati di clienti, sanzioni, risarcimenti danni e altri guai facilmente immaginabili. Ma non sono i soli costi da affrontare, ce ne sono altri ben più gravi e incidenti a lunga scadenza. Anzitutto la perdita di credibilità: chi vorrà più fare acquisti sul nostro e-commerce se i dati che vi ripongono sono stati violati in passato? Le voci corrono e i forum e la reputazione sono territori, insieme ai social network, difficili da presidiare e capacissimi di divulgare notizie (sopratutto sgradevoli) in tempi rapidi. Ma anche la fiducia dei fornitori può venire meno poiché se non abbiamo cura di tutelare i dati che ci vengono forniti, come possiamo garantire che listini, condizioni di favore o altro non vengano diffusi e possano rappresentare un danno anche per loro? La sicurezza dei dati ha certamente dei costi, un risk assessment ha ovviamente dei costi notevoli ma di gran lunga inferiori a quelli determinati in sede legale, commerciale e di marketing che generebbe la sua non adozione. Ovviamente tutto deve essere curato e tutelato secondo misura, ma anche la più piccola impresa deve fare delle piccole/grandi operazioni periodiche di autotutela che, se non paragonabili alle imposizioni previste per sistemi complessi, hanno la loro ragion d'essere:

• cambiare le password di accesso ai computer almeno una volta ogni tre mesi
• cambiare le password di accesso al sito aziendale almeno una volta al mese
• fare il backup periodico, almeno una volta alla settimana, dei contenuti degli hard disk dei computer
• fare il backup mensile del sito internet
• modificare ogni mese la password della casella di posta elettronica
• aggiornare regolarmente sistema operativo, antivirus e firewall
• imporre delle procedure scritte da sottoporre ai dipendenti per evitare incidenti imprevedibili

Un'azienda funziona bene quando, oltre a saper giocare con capacità e oculatezza sui mercati, oltre a saper acquistare, gestire il patrimonio e trattare con imprese e istituzioni, manifesta attenzione e pone sotto tutela il proprio patrimonio indispensabile: il database dei clienti.
Qualunque sia la sua dimensione.

La gabbia del sé nella Rete

Intenret come un'immensa Agorà, un luogo di scambio di informazioni, di confronto di idee e concetti, di divulgazione e formazione; Internet perno di un'evoluzione sociale inarrestabile e, anzi, più rapida e travolgente, la Rete come aggregatore di forze, volontà e ideali e, al centro di questo immenso hub, i social network.
Una visione forte, pervasiva, entusiasmante, impegnativa, capace di cambiare i significati delle cose in tempo reale, di fornire una svolta epocale grazie al confronto, come il concetto di "democrazia digitale" dove le decisioni vengono demandate al "popolo della rete" tentando un'improbabile osmosi fra i centri di potere rappresentativi ai singoli individui capaci di esprimere il loro parere attraverso il Web (ad esempio il Movimento Cinque Stelle ha adottato Internet come luogo del confronto interno e della pressione esterna, anche se in questo post non entra il giudizio politico, qui si parla del "come" e non del "cosa").

Tutto vero?

A giudicare dall'esperimento, eseguito dal redattore di Wired Mat Hanon, e riportato dal giornale online Dailystorm.it (cui questo post fa riferimento), le cose non starebbero proprio così.
Infatti, dai risultati emersi si manifersterebbe l'ipotesi teorizzata da Cass Sunstain circa il cosiddetto comportamento Daily me, una sorta di tendenza dell'utente di un social network di rimanere confinato in una sorta di "gabbia ideologica" in cui accetta solo contenuti che sostengono le sue opinioni, come meglio spiegato nell'articolo di Dailystorm che consiglio vivamente di leggere con attenzione.

Si tratta di un esperimento e quindi non ha la pretesa di "sancire il verbo" dei comportamenti sociologici di Facebook e simili. Anzi, lo scopo era semmai di analizzare il comportamento degli algoritmi del Social Network. Stefana Broadbent, nel suo libro "Internet, lavoro, vita privata" (Ed. Il Mulino), riporta a pagina 22 i risultati, condotti nel 2009 dal Facebook Data Team, da cui emerge che il numero di interazioni costanti dei navigatori è estrmamente limitato:

Il risultato è che ciascun utente, in media, ha 120 amici ma comunica attivamente con meno del 10 percento di essi.

Dunque si potrebbe affermare che la Rete non ha la capacità di sostenere gli enunciati con cui ho aperto questo post. O perlomeno, se lo fa, non è attraverso i social network.
Del resto è comprensibile. Cosa cerchiamo quando entriamo in un social network? Anzitutto le persone care, gli amici, i parenti, taluni (non tutti) colleghi di lavoro, e solo dopo, in base a quello che abbiamo trovato, allarghiamo la nostra rete sociale a persone che non conosciamo ma che in qualche modo la pensano come noi o ci fanno stare a nostro agio condividendo idee, interessi e gusti analoghi ai nostri.

L'esperimento mette in risalto il lato commerciale di Facebook, che del resto è un'impresa e ha come scopo finale quello di produrre profitti. Però, a mio avviso, contribuisce anche a spiegare quella sorta di solitudine e chiusura di molti soggetti che sovente esprimono opinioni in maniera violenta e intollerante. Si comprende meglio anche come e perché nascano e si diffondano bufale insensate e disiformazione.

I social network (come Internet) sono invenzioni fatte dall'uomo per l'uomo e inevitabilmente ne riproducono debolezze, limiti e virtù poiché sono strumenti, il cui uso è, ancora una volta, demandato al buon senso di ciascuno di noi più che ad un aglido algoritmo.

Il nuovo Regolamento Europeo sulla Privacy: un treno perduto. Per ora.

Sembra ormai improbabile che il nuovo regolamento sulla protezione dei dati personali, che dovrebbe sostituire le varie leggi sulla Privacy nei Paesi aderenti all'UE (da noi il D.lgs. 196/03), sarà varato quest'anno. Ormai le elezioni europee sono alle porte e le campagne elettorali hanno la precedenza su tutto.
Se ne parlerà dopo l'insediamento della nuova commissione che riprenderà in esame il lavoro svolto, dunque ci attendono tempi lunghi.
Siamo di fronte al solito problema atavico del Vecchio Continente: le gelosie dei vari Paesi membri, le lobby e la lentezza (spesso voluta) decisionale, creano una zavorra insostenibile nella competizione globale. Infatti, fra i vantaggi ventilati dai relatori del nuovo Regolamento, vi era la convenienza dei navigatori a rivolgersi, per i loro acquisti, a siti internet di e-commerce europei anziché di altri continenti (USA in primis) meno garantisti circa la protezione dei dati personali.
Ma non solo, l'istituzione del Privacy Officer, quale figura obbligatoria per imprese di determinate dimensioni e caratteristiche nonché Enti pubblici e privati, rappresentava una notevole riduzione del rischio di sanzioni da parte delle Authority in quanto si tratta di una figura di tipo dirigenziale e autonoma, dunque garante dell'applicazione delle norme con la necessaria competenza.
È auspicabile, e anche probabile, che il futuro regolamento prenda le mosse dalla bozza attuale che, probabilmente verrà emendata in meglio (si spera), ma è fin troppo evidente che, ancora una volta, si è giunti in ritardo alla stazione e il treno, anche questa volta, è partito.

Tipologia dei dati nella privacy

Continuando il percorso avviato ieri sulla Privacy (pronunciata "pràivasi" in americano e "prìvasi" in inglese), oggi affrontiamo un tema delicato che spesso è oggetto di confusione: la tipologia dei dati definiti dal codice (art. 4 DL. 196/03) e la gestione del cosiddetto benefondi.
I dati sono classificati in tre categorie:

• Dati personali
• Dati sensibili
• Dati giudiziari

I dati personali sono le informazioni relative alle persone fisiche, alle persone giuridiche, ad enti e associazioni, sia direttamente che indirettamente e quindi, come recita la lettera b dell'art. 4, ivi compreso il numero di identificazione personale. Dunque tutto quello che permette di risalire ad una persona, ditta ecc. (nome e cognome, indirizzo, ragione sociale, indirizzo di posta elettronica ecc.).
Il codice distingue anche i dati identificativi (lettera c) che sono i dati personali attraverso i quali giungiamo all'identificazione diretta dell'interessato (persona fisica o giuridica, ente o associazione di cui si trattano i dati).
I dati sensibili sono invece quelli più delicati e si distinguono in informazioni che permettono di risalire a:

• scelte religiose, filosofiche o di altro genere
• opinioni politiche
• adesione a partiti o a sindacati
• vita sessuale
• stato di salute

Data la delicatezza delle implicazioni dei dati sensibili, si comprende come il legislatore abbia posto paletti più restrittivi riguardo a questi ultimi ed in particolare nella gestione del consenso (di cui parleremo in seguito) che, anticipiamo qui, secondo l'art. 23, comma 4 è obbligatorio quando appunto tratta i dati sensibili.

I dati giudiziari sono invece quei dati personali relativi a informazioni riguardanti il casellario giudiziale (meglio conosciuto come fedina penale), lo stato di indagato o imputato, e tutte le informazioni relative a sanzioni amministrative e carichi pendenti. Anche qui la loro delicatezza impone che vengano equiparati, come trattamento, ai dati sensibili.

Ma andiamo oltre.

Spesso un imprenditore riceve un assegno da un cliente a fronte di una fornitura. In caso di dubbi sulla sua copertura egli telefona alla banca per richiedere il cosiddetto benefondi, in altre parole per sapere se quell'assegno è scoperto o meno. Talvolta la banca si rifiuta di fornire tale informazione sollevando questioni di privacy che c'entrano fino ad un certo punto.

A tal proposito il Garante della Privacy con la delibera del 25 ottobre 2007 e ancor prima, nel 1998, con il parere del 30 novembre 1998, afferma che "La legge n. 675/1996 in materia di dati personali non ha introdotto alcun divieto nei confronti del "benefondi"" e, nelle linee guida della delibera del 25 ottobre 2007 n.1457247, specifica all'art. 3.5 "La prassi del benefondi, tuttavia, deve trovare corretta attuazione: le informazioni devono essere fornite ai soli soggetti legittimati all'incasso o alla negoziazione dell'assegno, anziché a terzi non autorizzati; inoltre, le informazioni fornite dalla banca devono essere esatte, aggiornate e non eccedenti rispetto allo scopo per il quale il benefondi è utilizzato, che è relativo alla semplice informazione dell'esistenza o meno sul conto corrente del cliente della banca trattaria dei fondi necessari al pagamento dell'assegno".

Siti internet e privacy

La privacy è un insieme di regole che completano il dettato Costituzionale sui diritti dell'individuo che in Italia è giunto a compimento negli anni novanta come molti altri Paesi europei (Belgio dal 1992, Grecia, dal 1997, Polonia dal 1997, Portogallo dal 1998, Svizzera dal 1992, Spagna dal 1999, Gran Bretagna dal 1998 e dopo la Francia (1978) e l'Irlanda dal (1988) e prima di Germania (2001) e Lussemburgo (2002).
[fonte: http://www.privacy.it/linkpriv1.html]

La Privacy in Rete è sempre più richiesta, soprattutto dai navigatori adulti, e quindi maggiormente consapevoli; maggiore è il volume di informazioni che circolano in Internet, maggiori sono i rischi e le vulnerabilità che possono manifestarsi e che bisogna prevenire e mitigare.

Per questo, a partire da oggi ne parleremo costantemente come parte integrante di questo blog.

Fra i concetti che sempre più frequentemente ci si trova a discutere con i clienti vi è quello di TRATTAMENTO DEI DATI. Se ne parla tanto ma i confini sono sempre poco definiti; il Codice della Privacy è chiaro a questo proposito, i trattamenti dei dati (art. 4, comma 1, lettera D), consistono in:

• Raccolta
• Registrazione
• Organizzazione
• Conservazione
• Consultazione
• Elaborazione
• Modificazione
• Selezione
• Estrazione
• Raffronto
• Utilizzo
• Interconnessione
• Blocco
• Comunicazione
• Diffusione
• Cancellazione
• Distruzione

anche quando i dati non sono registrati nelle banche dati, cioè questi trattamenti possono essere non solo elettronici ma anche cartacei.

Sicurezza nella mente

Quando si parla di sicurezza informatica, la prima cosa che passa per la testa è l'antivirus poi, nell'ordine, il firewall, i virus, gli spyware ed infine i siti porno. I primi rappresentano il contatto diretto fra computer e virus, i secondi sono gli oggetti incriminati e i terzi sono quelli che genericamente si considerano la "fonte".

Sui virus e le loro caratteristiche, molto si è scritto e altrettanto si scriverà, gli antivirus sono oggi i software più diffusi e i siti porno sono un arcipelago immenso e così variegato che è molto difficile distinguere il "pulito" dal "pericoloso".

In buona sostanza i virus sono programmi in grado, una volta installati nei computer "vittime", di danneggiare, spiare, controllare e utilizzare dati, informazioni e strumenti che incontrano.
I virus ben fatti sono quelli che non si fanno notare, non rallentano la macchina, non generano comportamenti anomali e non danno motivo evidente di preoccupazione. Quelli "stupidi" o fatti da incompetenti, al contrario, si fanno beccare perché fanno danni (anche gravi) e il loro utilizzo, da parte di chi li ha creati, è strettamente ludico (o idiota, fate voi). Qui si apre un'annosa questione: chi fa i virus? Chi dice che li facciano i produttori di antivirus per fare lucro (poco probabile), chi dice che li fanno ragazzini svogliati e chi, infine, pensa che siano opera della criminalità organizzata.
Spesso si fa confusione fra Hacker e Kracker, sono due figure differenti, i primi "bucano" i sistemi per dimostrarne la vulnerabilità o per motivi più o meno nobili ma comunque ideologici; i secondi per trarre dei profitti o arrecare danni intenzionali per conto proprio o per conto terzi (loschi e/o comunque privi di scrupoli).

Ma cosa fa un virus? Può fare molte cose: può aprire il computer a malintenzionati perché lo possano usare per portare attacchi informatici nascondendosi dietro il nostro pc, può inviare posta elettronica (spam, cioè e-mail spazzatura spedita a tutto il mondo) con il nostro indirizzo di posta elettronica, sia ai nominativi che trova nel nostro pc sia a tutti gli indirizzi che possiede già per suo conto, può rovistare nelle nostre cartelle per trovare file, fotografie e informazioni da rivendere, da mercanteggiare o, nei casi peggiori, per ricattarci. Può anche cercare le nostre password per accedere ai nostri conti correnti, alle nostre carte di credito. Un virus può fare di tutto, dipende da come lo si è programmato. Fra i più diffusi ci sono i "keylogger": software che sono in grado di registrare tutto ciò che si digita sulla tastiera e di inviarlo (a nostra insaputa) a delinquenti che li usano per catturare password e username che gli permettono di fare le cose dette poc'anzi. Contro i keylogger la soluzione migliore è ricorrere alla tastiera virtuale (si trova in Windows nella cartella "Accessori/Accesso facilitato" o accessibilità in Windows) che, utilizzata quando si digitano le password, ci permette di non farle "rilevare" cliccando sui tasti a video anziché pigiando i tasti veri sulla tastiera fisica. Alcuni antivirus ne incorporano già una nei browser (i programmi per navigare in Rete come Internet Explorer, Chrome, Firefox ecc.).

La difesa è di tre livelli: software, hardware e... mentale.
Il livello software è quello degli antivirus, antispyware, firewall, il livello hardware sono i router o i computer che contengono strumenti di controllo posti fra la Rete e le macchine locali.

Il livello più importante è quello "mentale": l'atteggiamento che adotta chi deve usare il computer. E' inutile avere una password sicura e complicatissima se poi la si scrive su un post-it che si appiccica sul bordo del monitor o si trascrive su una rubrica che si lascia incustodita sulla scrivania del proprio computer in un ufficio ove lavorano anche altre persone. E' inutile adottare strumenti di sicurezza sofisticati se poi diciamo in pubblico le nostre password (anche quelle della posta elettronica).

Una dei più gravi e sottovalutati gesti di maleducazione è dire davanti a diverse persone una propria password, sia di posta elettronica che di qualsiasi altra applicazione, "perché -si pensa- tanto non c'è nulla di segreto o compromettente nella mia posta", oppure "Tanto è un'applicazione banale che non uso quasi mai...". Quello che non si considera è che se, attraverso quelle credenziali d'accesso, viene commesso un reato informatico (e si risale al titolare della password e username), si è tenuti a fornire all'Autorità Giudiziaria il nominativo di tutti coloro che erano potenzialmente a conoscenza di quei dati. Quindi si creano problemi a persone del tutto ignare e magari amiche che, dopo questa leggerezza, lo saranno un po' meno.

In definitiva la sicurezza è una questione di atteggiamento, di cura e attenzione per sé stessi, per le cose proprie e per le persone che lavorano con noi o con cui entriamo in contatto a vario titolo ogni giorno nel corso della nostra vita.

La pubblicità su misura: rischi e opportunità

Quando scriviamo una e-mail, quando esprimiamo delle opinioni su un social network, quando cerchiamo qualcosa attraverso un motore di ricerca, quando visitiamo un sito internet, quando insomma navighiamo, tutto quello che facciamo, scriviamo, cerchiamo e vediamo viene tracciato in forma anonima e aggregata. In altre parole i nostri dati di navigazione, le nostre caratteristiche, i nostri interessi vengono associati a quelli di tanti altri navigatori con le stesse caratteristiche. In questo modo, attraverso le parole chiave delle nostre e-mail, delle nostre ricerche, delle pagine che visitiamo, ci appare la pubblicità che maggiormente sarà vicina alla nostra personalità, ai nostri gusti, alle nostre esigenze.

Questo è un bene o un male? Per gli ottimisti è un bene perché la pubblicità così è meno fastidiosa, mirata e utile sulle specifiche esigenze del navigatore e più efficace e meno dispersiva per l’inserzionista. I detrattori invece sono preoccupati per la violazione della privacy e per i potenziali pericoli derivanti dall’azione di un “Grande Fratello” di orwelliana memoria.

Dal punto di vista commerciale questa evoluzione è sicuramente positiva, sia per i navigatori che ricevono l’informazione che gli serve (che senso avrebbe far vedere a un uomo la pubblicità di assorbenti femminili? O a una donna la pubblicità dei rasoi da barba?), sia per gli inserzionisti che dispongono di dati più attendibili in grado di aumentare significativamente il valore del ROI (Return On Investment). Attraverso gli strumenti di controllo che i principali social network e motori di ricerca, mettono a disposizione, chiunque operi delle strategie di crescita commerciale attraverso il web marketing e il social media marketing, ha maggiori possibilità di crescita e sviluppo.

Sul fronte della privacy, tali metodologie aprono scenari inquietanti se non ci saranno regole, il più universali possibili, sulla tutela dai dati personali. In questo senso il nuovo RegolamentoEuropeo in procinto di essere votato, rappresenterà un significativo vantaggio sia per le imprese che per i cittadini.

Ma la vera partita per le imprese si gioca sul terreno dei contenuti. Un sistema che “legge” quello che scriviamo, leggiamo e visitiamo finisce inevitabilmente per selezionare e favorire i siti che posseggono i contenuti qualitativamente migliori, ben strutturati e ben organizzati. Non solo ma anche i contenuti aggiornati di frequente e con interrelazioni continue fra i siti aziendali, i social network e il mondo dei blog.

Per questo è un errore concentrarsi sulla “fabbricazione” tecnica del sito internet, esso infatti è anzitutto un fatto mediatico e solo dopo un fatto tecnico. Prima dobbiamo sapere cosa dire, come dirlo, perché, quando e a chi, e solo dopo possiamo pensare a come strutturare tutto questo in un progetto internet. Solo quando abbiamo una strategia da seguire possiamo puntare a dei risultati. Altrimenti è meglio aspettare.

Si perdono più clienti con un sito internet mal fatto che senza di esso.