Dicembre 2003
Vol.IV, no. 6, Dicembre 2003
Gestione delle emergenze IT
e continuità di affari
Pubblicato per conto del
CEPIS da
Novática. Versione italiana a cura di Tecnoteca in collaborazione con l'
ALSI, con i dovuti permessi degli editori di Upgrade
Guest Editor: Roberto Moya-Quiles e Stefano Zanero
Numero completo:[
Abstract HTML in Inglese] - [
PDF in Inglese: 53 pagine; 681 KB]
Singoli articoli
Copertina
PDF in Inglese: 272 KB di
Antonio Crespo Foix, © ATI 2003
È necessario Acrobat Reader per visualizzare i file PDF
--------------------------------------------------------------------------------
Gli articoli interamente tradotti in italiano sono facilmente individuabili grazie alla bandiera
--------------------------------------------------------------------------------
EDITORIAL. UPGRADE, the European Informatics Journal of CEPIS.
[PDF in inglese: 1 pagina, 165 KB]
Jouko Ruissalo, Presidente del CEPIS
Riassunto italiano: Editoriale: UPGRADE, la rivista europea di Informatica del CEPIS.
Il neo-Presidente del CEPIS descrive i più recenti risultati raggiunti
da UPGRADE, riafferma l'appoggio del CEPIS alla rivista europea, e
trasmette a tutti i lettori i suoi più calorosi auguri per un fruttuoso
2004.
PRESENTATION. IT Contingency Plans: More than Technology.
[vedi traduzione in italiano in calce] [PDF in inglese: 3 pagine, 156 KB]
Roberto Moya-Quiles e Stefano Zanero - Guest Editor
Riassunto italiano: Presentazione: Gestione delle emergenze IT: più che una questione tecnologica.
. I guest editor presentano il numero, spiegando che cosa sono e cosa
significano i piani di emergenza per le Tecnologie dell'Informazione
(Information Technologies Continengcy Plans), non solo al livello
tecnologico ma anche e soprattutto per le implicazioni in termini di
continuità di affari, considerato che i calcolatori e le reti sono
sempre più importanti nelle normali attività e nei futuri sviluppi
della nostra Società dell'Informazione nel suo complesso.
Empirical Study of the Evolution of Computer Security and Auditing in Spanish Companies [PDF in inglese: 6 pagine, 174 KB]
Francisco-José Martínez-López, Paula Luna-Huertas, Francisco J. Martínez-López e Luis Martínez-López
Riassunto italiano: Uno studio empirico dell'evoluzione della Sicurezza Informatica e dell'Auditing nelle aziende spagnole.
In questo articolo presentiamo una serie di statistiche con la quale
puntiamo ad ottenere una migliore comprensione della vera situazione
delle aziende spagnole riguardo a questioni come Sicurezza informatica
ed Auditing IT, nella speranza che questi dati servano come una
referenza utile per un futuro lavoro di approfondimento. Lo scopo
principale di questo lavoro è ottenere dati statisticamente
significativi con cui lavorare, in quanto finora vi sono stati pochi
studi in grado di sostenere i nostri dati empirici. Abbiamo condotto la
nostra ricerca in due periodi, 1992 e 2002 per vedere come le variabili
analizzate si sono evolute. Ha collaborato un totale di 851 aziende,
divise in diversi gruppi.
Information Systems Auditing of Business Continuity Plans [PDF in inglese: 5 pagine, 197 KB]
Questo articolo è disponibile in italiano, con traduzione a cura dell' autore:
Agatino Grillo
Riassunto italiano: Auditing dei Sistemi Informativi dei piani di Business Continuity
Il Business continuity management è una responsabilità del top
management. L'audit del BCP diventa così un elemento fondamentale dell'
IT Governance in quanto rappresenta un assessment indipendente i cui
risultati possono essere condivisi e comunicati anche al di fuori dei
sistemi IT, ad esempio agli stakeholder, alle autorità di controllo o
ai business-partner. Per le istituzioni finanziarie, in particolare, l'
auditing dei piani di BC un obbligo normativo. È necessario adottare
allora una metodologia di BCP ben strutturata e verificabile.
L'articolo introduce le problematiche generali dell'Information Systems
Auditing (ISA) e presenta l'approccio di audit al BCP basato su COBIT,
un framework generale sviluppato da ISACA (Information Systems Audit
and Control Association).
Business Continuity Controls in ISO 17799 and COBIT [PDF in inglese: 7 pagine, 178 KB]
José-Fernando Carvajal-Vión e Miguel García- Menéndez
Riassunto italiano: Le verifiche della continuità di affari in ISO 17799 ed in COBIT
In questo articolo si descrive e si confronta l'insieme delle verifiche
incluse nei due codici pratici di maggiore importanza sulla sicurezza
informatica a livello mondiale, necessarie a gettare le basi per le
politiche di sicurezza richieste dalla continuità di affari. Infatti,
la Sezione undici del Codice di Pratica per la Gestione della Sicurezza
delle Informazioni, lo standard ISO/IEC 17799, tratta gli aspetti
riferiti alla continuità di affari; similmente, la struttura COBIT
(Control Objectives for Information and Related Technology) per
l'Auditing dei Sistemi Informativi stabilisce le necessità di
un'organizzazione per realizzare i suoi obiettivi di affari.
Implementation of a Contingency Plan Audit [PDF in inglese: 2 pagine, 158 KB]
Marina Touriño-Troitiño
Riassunto italiano: Implementazione dell'Auditing di un piano di emergenza
L'auditing di sistemi e tecnologie dell'informazione implica, fra le
altre attività, lo stabilire il piano di emergenza come area specifica
di auditing. Tuttavia, dobbiamo tenere conto che, secondo gli standard
ISACA (Information Systems Audit and Control Association), gli aspetti
relativi alle emergenze ed alla continuità di affari dovrebbero essere
affrontati in molte altre aree. E' anche importante distinguere fra le
‘buone pratiche di gestione’ per i sistemi informativi e le tecnologie
richieste dai manager di ogni azienda, e le ‘buone pratiche’
applicabili alle prestazioni di un audit su queste pratiche.
Public Initiatives in Europe and the USA to Protect against Contingencies in Information Infrastructures [PDF in inglese: 4 pagine, 163 KB]
Miguel García-Menéndez e José Fernando-Carvajal Vión
Riassunto italiano: Iniziative pubbliche in Europa e negli Stati Uniti per la gestione delle emergenze nelle infrastrutture dell'informazione
Oggi, la protezione dei beni informativi di una organizzazione e la
relativa tecnologia è senza dubbio fondamentale per i suoi obiettivi di
affari. Nel caso di un governo e degli altri enti pubblici, per i quali
l'adozione di una strategia di protezione adatta garantisce anche un
migliore servizio ai cittadini, questo è di particolare importanza. A
febbraio 2003, il Governo Federale degli Stati Uniti e la Commissione
della UE hanno fatto un passo avanti notevole, rilasciando ciascuno
un'iniziativa puntata ad assicurare la sicurezza di reti
interdipendenti e di infrastrutture di tecnologia dell'informazione: La
Strategia Nazionale per la Sicurezza del Ciberspazio e la proposta per
una Rete europea ed un'Agenzia della Sicurezza delle Informazioni
(ENISA), rispettivamente.
Business Continuity and IT Contingency Planning in the Mobile Telephony Industry [PDF in inglese: 2 pagine, 151 KB]
Miguel-Andrés Santisteban-García
Riassunto italiano: Gestione delle emergenze IT e continuità di affari nell'industria della telefonia mobile.
Di recente i nuovi operatori mobili si stanno sforzando di acquisire
quote di mercato ed espandere le loro reti in termini di capacità e
copertura. Questa crescita rapida era essenziale per provare a
mantenere la capitalizzazione di mercato senza precedenti delle società
coinvolte, che era sproporzionata alla redditività del prodotto. La
crescita rapida dell' industria delle telecomunicazioni ha significato
che processi non strettamente focalizzati sul cliente, in particolare
quelli relativi alla protezione della rete ed alla disponibilità, sono
stati trascurati. Questo articolo fa una rassegna dei piani di
continuità d'affari nel settore degli operatori di telefonia mobile.
ICT Contingency Plans and Regulatory Legislation of e-Commerce and Data Protection [PDF in inglese: 7 pagine, 184 KB]
Paloma Llaneza-González
Riassunto italiano: Piani di emergenza per l'ICT e legislazione sul commercio elettronico e sulla protezione dei dati.
Oltre ad adempiere a tutti i necessari parametri tecnologici e standard
tecnici, un piano di emergenza per le Tecnologie dell'Informazione e
della Comunicazione (ICT) deve anche rispettare tutti i requisiti
legali e le regolamentazioni applicabili. Avendo in mente che requisiti
simili esistono negli Stati membri dell'Unione Europea, in questo
articolo esaminiamo alcuni di questi requisiti, specificatamente gli
obblighi imposti alle aziende spagnole da due atti legislativi spagnoli
e relativi regolamenti: l'Atto dei Servizi della Società
dell'Informazione (una trasposizione in Legge spagnola delle Direttive
Europee 2000/31/EC, 98/27/EC e 2002/58/EC) e l'Atto della Protezione
dei Dati Personali (trasposizione della Direttiva 95/46/EC).
Information Technologies and Privacy Protection in Europe. [PDF in inglese: 3 pagine, 157 KB]
Questo articolo è disponibile in italiano, con traduzione a cura degli autori:
David D'Agostini e Antonio Piva
Riassunto italiano: L'utilizzo delle tecnologie e la tutela della privacy in Europa.
La tutela della privacy si è sviluppata in parallelo con l'evoluzione
tecnologica. Le direttive del Parlamento Europeo e del Consiglio
95/46/CE sul trattamento dei dati personali e 2002/58/CE sulle
comunicazioni elettroniche, tutelano i dati personali da qualunque tipo
di trattamento, con particolare attenzione per i rischi derivanti
dall'automazione e dall'uso, a fini commerciali, delle reti telematiche
come strumenti d'invasione della sfera personale dell'individuo. Il
presente articolo fa il punto della situazione sul recepimento della
prima direttiva e si sofferma sul problema dell'invio di comunicazioni
commerciali indesiderate (spamming), illustrando le nuove soluzioni
normative dettate sul tema al fine di arginare un fenomeno che può
produrre effetti negativi anche sul piano economico.
Legal Analysis of a Case of Cross-border Cyber-crime [PDF in inglese: 10 pagine, 197 KB]
Questo articolo è disponibile in italiano, con traduzione a cura dell'autrice:
Nadina Foggetti
Riassunto italiano: Analisi legale di un caso di criminalità informatica transnazionale.
La criminalità informatica trascende i confini dei singoli stati e le
condotte criminose compiute attraverso internet comportano dei problemi
ingenti in relazione al diritto applicabile. Il diritto non è sempre
pronto a far fronte alle esigenze della globalizzazione del mercato e
della stessa criminalità. Nel caso di specie l'attacker ha compiuto un
accesso illegittimo a sistema informatico di pubblico interesse in
svizzera ai danni di utenti italiani. L'attacco è stato realizzato
attraverso una scalata di privilegi, da utente normale ad utente root.
In seguito l'attacker ha installato sul sistema violato un rootkit per
copiare le password degli utenti che si allocavano dal e sul sistema
violato. Il sistema era di pubblico interesse per i dati ivi contenuti
e perché permetteva di gestire degli esperimenti di grande interesse
generale. Sul sistema era attivo un sistema di posta elettronica per
gli utenti registrati. Sulla base della normativa italiana risultano
applicabili l'art. 615-ter del CP italiano - accesso illegittimo a
sistema informatico - con l'aggravante di cui al terzo comma; l'art.
617-quinques - Installazione di apparecchiature dirette ad intercettare
ed interrompere una comunicazione; l'art. 615-quater CP - detenzione
abusiva di codici d'accesso. Risulta inoltre applicabile l'art. 35
della legge 675/96 che sanzione il trattamento illegittimo dei dati
personali contenuti nel sistema. Tuttavia, in seguito all'analisi dei
presupposti relativi all'applicazione della legge penale italiana nello
spazio il fatto non ricade nella giurisdizione italiana. Il principio
della difesa non risulta applicabile, poiché non risultano integrati
tutti i requisiti richiesti dalla norma, il principio di territorialità
non risulta applicabile in quanto in Italia non è avvenuto neppure un
tentativo punibile Risulta applicabile la legge penale Svizzera. Dopo
l'analisi della normativa svizzera risulta applicabile solo l'art.
143-bis del CP svizzero, non essendosi verificato il requisito della
sottrazione di dati che risulta essenziale ai fini della
configurabilità del reato di cui all'art. 143-CP svizzero. La risposta
europea al problema dei computer crimes non risulta adeguata in
relazione all'eccessivo ricorso alla sanzione penale. Tutti gli sforzi
di armonizzazione della normativa europea vertono sulla sanzione
penale. Risulta indispensabile trovare una risposta alternativa ed
adeguata al fenomeno della criminalità trasnazionale.
The European Network and Information Security Agency (ENISA) – Boosting Security and Confidence [PDF in inglese: 2 pagine, 150 KB]
Erkki Liikanen
Riassunto italiano: L'Agenzia Europea per la Sicurezza delle Informazioni e delle Reti (ENISA) – Aumentare sicurezza e confidenza.
In questo articolo, l'autore, membro della Commissione Europea,
responsabile per Impresa e Società dell'Informazione, sottolinea l'alta
importanza che hanno ed avranno sempre più reti e sistemi di
informazioni, in pressocché ogni aspetto della nostra società, e come
sia perciò decisivo assicurare la loro sicurezza e continuità. L'autore
spiega anche il ruolo che giocherà in questo ambito l' Agenzia europea
per la Sicurezza delle Informazioni e delle Reti (ENISA) recentemente
creata.
--------------------------------------------------------------------------------
I GUEST EDITOR
Roberto Moya-Quiles è un Dottore in Fisica, specializzato in
Scienza Computazionale, ed è anche laureato in Computer Science e
auditor del CISA (Certified Information Systems Auditor). Ha 34 anni di
esperienza in una varietà di ruoli manageriali nel campo dei Sistemi
Informativi (gestione IT, consulenza, formazione, sicurezza e
controllo, auditing, applicazioni informatiche, ecc.) nelle più
importanti aziende hardware e software e di forniture energetiche. E'
relatore a seminari e dibattiti sulla Sicurezza della Tecnologia
dell'Informazione in istituzioni private ed in università pubbliche. E'
membro del Sub-comitato di ISO/IEC SC 27 (Tecniche di sicurezza per la
Tecnologia dell'Informazione) e coordina il Gruppo di Interesse sulla
sicurezza IT (GISI, & lt;http://www.ati.es/gt/security/>) della
associazione spagnola del CEPIS ATI (
Asociación de Técnicos de Informática). <rmoya AT dimasoft PUNTO es>
Stefano Zanero si è laureato "cum laude" in Ingegneria
Informatica presso il Dipartimento di Elettronica ed Informazione del
Politecnico di Milano, con una tesi sullo sviluppo di un Intrusion
Detection System basato su algoritmi di apprendimento, ed è attualmente
Dottorando di Ricerca presso lo stesso dipartimento. Tra i suoi
interessi di ricerca attuali figurano inoltre le prestazioni dei
sistemi di sicurezza e le tecniche di clustering. Ha partecipato come
relatore a numerosi convegni nazionali ed internazionali. È socio dello
IEEE (Institute of Electrical and Electronics Engineers) e della ACM
(Association for Computing Machinery), oltre che dell'associazione
italiana per la sicurezza CLUSIT. Cura inoltre, per ComputerWorld
Italia, la rubrica "Diario di un Security Manager", recentemente
insignita del premio giornalistico "Cisco Web Award 2003". È inoltre
socio e responsabile tecnico di Secure Network S.r.l., una società di
consulenza, formazione e servizi alle imprese in tema di sicurezza
dell'informazione. <zanero AT elet PUNTO polimi PUNTO it>
(Indirizzi e-mail presentati in modo da evitare lo spam)
--------------------------------------------------------------------------------
IL TEAM EDITORIALE DI UPGRADE
- Chief Editor:Rafael Fernandez Calvo, Madrid (Spagna) <rfcalvo at ati dot es>
- Editor:
a. François Louis Nicolet, Zürich (Svizzera) <nicolet at acm dot org>
b. Roberto Carniel, Udine (Italia) <rcarniel at dgt dot uniud dot it>
--------------------------------------------------------------------------------
CURATORE DELL'EDIZIONE ITALIANA
Roberto Carniel. Laureato in Scienze dell'Informazione e Laureato
Specialistico in Informatica presso l'Università di Udine, Dottore di
Ricerca in Matematica Computazionale e Informatica Matematica presso
l'Università di Padova, nonché Ingegnere dell'Informazione presso
l'Ordine degli Ingegneri di Udine. È membro fondatore dell'
ALSI,
l'Associazione nazionale Laureati in Scienze dell'informazione ed
Informatica, di cui è il rappresentante nel
CEPIS. Collabora con il
portale Tecnoteca dalla sua creazione. E' attualmente Ricercatore di
Geofisica Applicata presso l'Università degli Studi di Udine e
Segretario del Working Group di Sismologia Vulcanica della European
Seismological Commission. Nella sua ricerca predilige l'utilizzo di
strumenti Free Software.
--------------------------------------------------------------------------------
Pianificazione delle emergenze ICT: Oltre la tecnologia.
Roberto Moya-Quiles e Stefano Zanero - Guest Editor; Traduzione a cura di Stefano Zanero
1 Introduzione
Pianificare opportune procedure di risposta per le emergenze ICT è
divenuta una delle preoccupazioni trasversali per tutte le
organizzazioni, in particolare per quelle di medie e grandi dimensioni,
le quali basano sempre di più i propri processi di business sui sistemi
informativi e sulla tecnologia. Per questo i piani di emergenza, un
tempo erroneamente considerati come responsabilità dei soli
dipartimenti informatici (per negligenza, oppure per ignoranza da parte
del management delle imprese), si sono evoluti o si stanno evolvendo
per diventare parte integrante di un piano di Business Recovery e
Business Continuity di più ampio respiro.
Pur nella cornice di questa evoluzione, gli obiettivi fondamentali dei
piani di emergenza sono rimasti immutati. Partendo da una valutazione
accurata dei rischi specifici a cui i sistemi sono soggetti, essi
devono garantire una risposta in tempi certi ad un ampio ventaglio di
possibili incidenti, esaminare la tolleranza alla perdita di dati e al
degrado delle prestazioni del sistema, garantire l’integrità dei
processi (in particolare delle transazioni e delle informazioni) nel
caso di interruzioni o incidenti, e la sincronizzazione e la
replicazione dei dati. Essi devono inoltre tenere in considerazione i
costi per l’implementazione e la manutenzione del piano. I contratti di
SLA (Service Level Agreement) con garanzie di livello di servizio per i
centri di backup, e la scelta di garantire la continuità di servizio
mediante outsourcing di infrastruttura e telecomunicazioni sono altri
aspetti di crescente importanza.
Tuttavia, i molti e profondi cambiamenti nelle tecnologie disponibili
hanno progressivamente reso questi piani più complessi da implementare,
a causa della necessità di tenere in considerazione un numero crescente
di dettagli relative alle configurazioni e all’architettura delle
applicazioni. Inoltre, leggi e regolamenti tecnici imposti a vari
livelli complicano ulteriormente il quadro. Oltre alle esigenze di
legge, vi sono requisiti trasversali dello specifico settore a cui si
fa riferimento, per esempio nel campo finanziario hanno rilevanza le
decisioni di organismi regolatori quali la Bank for International
Settlements (
http://www.bis.org/) di Basilea, e la Federal Reserve
americana
http://www.federalreserve.gov/).
2 Tre possibili scenari
Tre degli scenari più tipicamente contemplati sono i seguenti:
1. Il centro EDP crea un doppio backup dei dati, uno locale e uno
remoto. La copia remota viene trasferita in un centro dati ausiliario e
appropriatamente sicuro (ad esempio geograficamente distante dal sito
primario). Questo tipo di centro dati, in generale, sarà condiviso,
ovvero gestito in outsourcing, per ragioni di costo. Il punto
fondamentale su cui andrà imperniato in questo caso il contratto
(Service Level Agreement) con il service provider è che sia garantito
il ripristino delle copie di backup e la ripartenza delle applicazioni
e dei servizi nel centro in outsourcing entro tempi certi. Questo
scenario è tipicamente adottato in centri in cui gran parte
dell’elaborazione di dati è di tipo batch.
2. Un’evoluzione dello scenario precedente prevede di aggiungere una
connessione permanente tra sito primario e secondario, (tramite linee
ISDN, linee dedicate, VLANs, o sempre più frequentemente VPN su
Internet o reti MPLS), consentendo un aggiornamento costante dei dati e
consentendo tempi di reazione molto più rapidi, adatti per servizi di
comunicazione e online. Ovviamente questa evoluzione ha i suoi riflessi
sulle tipologie di SLA che possono venire applicate.
3. Un’ulteriore evoluzione dello scenario prevede l’uso di tecnologie
di storage avanzate, basate sull’interconnessione diretta (per esempio
in fibra ottica) tra centro primario e secondario. Questo scenario
sicuramente consente di rispondere in modo efficace e quasi
inavvertibile per gli utenti a disastri su grandi centri di
elaborazione dati che offrono servizi web interattivi e transazionali.
Tuttavia, le limitazioni di distanza imposte dall’uso di tecnologia
studiata per sistemi locali e non distribuiti geograficamente possono
creare un rischio, in quanto centro primario e secondario potrebbero
essere coinvolti da uno stesso disastro naturale
L’argomento che affrontiamo in questo numero di Upgrade è vastamente
trattato, e i tragici eventi dell’11 settembre del 2001 hanno senza
dubbio stimolato ulteriore dibattito sul tema. Sono anche disponibili
informazioni su come strutturare un piano di emergenza, e alcuni esempi
di piani di varie organizzazioni. Per le organizzazioni, tuttavia, le
sorgenti principali per questo tipo di informazioni restano gli
implementatori di sistemi informatici, e le società di consulenza. È da
notare che anche la legislazione sta progressivamente imponendo misure
di salvaguardia (si veda per esempio il nuovo Testo Unico sulla
protezione dei dati:
www.garanteprivacy.it).
Per creare e implementare un piano, la scelta delle tecnologie e delle
soluzioni da adottare dipende innanzitutto ovviamente dai tipi di
servizi disponibili sul luogo: infatti, anche se ci piace pensare di
vivere in un mondo "globalizzato", i tipi di servizi disponibili, il
loro costo e la loro qualità è notevolmente differente da zona a zona.
Il piano deve contemplare un livello di dettaglio che va da apparenti
minuzie (come ad esempio "chi ha le chiavi dell’armadietto che contiene
le copie di backup", "come gestire il cambio delle password sulle
macchine in produzione durante e dopo le fasi di test o gli interventi
di consulenti esterni", ecc., ecc.) ad argomenti molto più pesanti e
complessi (per esempio, chi ha la responsabilità di gestire ed
aggiornare il piano, chi ha la responsabilità di dichiarare
un’emergenza o di attivare una esercitazione).
La complessità inerente in questo tipo di pianificazione ci conduce
inevitabilmente alla necessità del testing. Un vecchio adagio ammonisce
che, se il vostro piano non è mai stato provato, non avete nessun
piano. D’altro canto, una prova è costosa (anche solo in termini di
tempo perso), quindi bisogna avere criteri consistenti per stabilire
quando effettuarne una: ad esempio, sarebbe consigliabile che il piano
venga aggiornato e poi provato ogni volta che l’architettura o la
configurazione delle applicazioni e dei sistemi viene modificata. Dalla
nostra esperienza in questo campo, inoltre, una prova periodica, ad
esempio annuale, del piano di emergenza, lo rende più accetto allo
staff e lo integra nella cultura aziendale. Sperimentando il piano in
funzione, i vari manager e gli sviluppatori dei sistemi IT inizieranno
a tenere in considerazione la possibilità dei disastri e l’esigenza
della pianificazione anche nelle fasi progettuali di loro competenza.
Per contro, come sanno tutti i professionisti del campo della
sicurezza, qualsiasi cambiamento nelle operazioni di tutti i giorni
incontra delle forti resistenze, ed è per questo motivo che si tende
naturalmente a cercare di effettuare i test con il minimo
sconvolgimento necessario. Infine, va tenuto presente che anche un test
molto rigoroso non può in nessun caso essere totalmente realistico, in
quanto simulare effettivamente un disastro comporterebbe
un’interruzione difficilmente giustificabile nei processi
dell’organizzazione. Per questo, molto spesso, le applicazioni verranno
provate separatamente; verranno scelti momenti come il week-end o le
ore notturne; verranno isolati i segmenti di rete interessati al test
per impedire problemi, eccetera. Possiamo dire quindi che il test del
piano di emergenza ha una natura asintotica: ci consente di migliorare,
ma non potremo mai dire di avere completato tutti i test possibili.
3 I contenuti di questa monografia
Considerando tutto quanto sopra, abbiamo chiesto a vari esperti europei
(spagnoli ed italiani in particolare) di esporci il loro punto di
vista, su un insieme trasversale di alcuni tra i più importanti aspetti
di questa materia, incluse le implicazioni legali.
Nell’articolo "
Empirical Study of the Evolution of Computer Security
and Auditing in the Spanish Companies",
Francisco-José Martínez-López,
Paula Luna-Huertas, Francisco J. Martínez-López, e Luis Martínez-López
espongono i risultati di una ricerca condotta su un campione di medie e
grandi industrie spagnole, i cui risultati tuttavia sono in gran parte
applicabili anche oltre i confini della loro nazione
Agatino Grillo, nel suo articolo "
Auditing of Information Systems and
Business Continuity Plans", descrive, facendo particolare riferimento
al settore finanziario di cui è esperto, i piani di continuità come
requisito non soltanto di affari, in quanto la continuità è
fondamentale per il business, ma anche di tipo legale.
L’articolo "
Business Continuity Controls in ISO 17799 and COBIT" di
José-Fernando Carvajal-Vión e Miguel García- Menéndez contiene un
dettagliato confronto tra i due principali standard a livello mondiale
per l’implementazione di sistemi di sicurezza informatica,
focalizzandosi in particolare sui controlli relativi ai piani di
business continuity.
"
Implementation of a Contingency Plan" è il contributo di
Marina
Touriño-Troitiño, nel quale viene delineata la necessità dell’auditing
dei piani di emergenza ICT, considerando la crescente rilevanza che la
continuità dei sistemi ha assunto per le imprese
L’articolo "
Public Initiatives from the USA and Europe to Protect
against Contingencies in Information Infrastructures", di
Miguel
García-Menéndez e José Fernando-Carvajal Vión, mostra quanta importanza
diano le istituzioni pubbliche alla continuità di servizio delle
proprie infrastrutture telematiche, che sono di vitale importanza per
la vita economica e sociale dei paesi più sviluppati. L’articolo prende
in considerazione i più importanti provvedimenti europei e statunitensi
a riguardo.
"
Business Continuity and Mobile Telephony Operators", di
Miguel-Andrés
Santisteban-García, esamina I piani di Business Continuity
nell’industria della comunicazione cellulare, nella quale a causa della
rapidissima crescita spesso tutti i processi non centrati sugli utenti
(e in particolare la protezione e la disponibilità delle reti) sono
spesso stati colpevolmente trascurati.
Paloma Llaneza-González, nell’articolo "
ICT Contingency Plans and
Regulatory Legislation of e-Commerce and Data Protection"”, ci illustra
come un piano di emergenza ICT debba necessariamente tenere in
considerazione i requisiti legali in vigore, ed analizza gli standard
spagnoli (che sono molto simili a quelli di tutte le nazioni d’Europa,
visto che si basano su un insieme comune di Direttive Europee).
Nell’articolo "
Information Technology and the Protection of Privacy in
Europe",
David D'Agostini e Antonio Piva ci offrono il loro punto di
vista sulla Direttiva Europea 95/46/EC sulla protezione dei dati
personali, con particolare enfasi sul contrasto allo spamming, un
fenomeno che si sta trasformando in una vera minaccia per il corretto
funzionamento di Internet
"
Legal Analysis of a Case of Cross-border Cyber-crime" è un articolo di
Nadina Foggetti, in cui l’autrice esamina con grande dettaglio come la
divergenza tra le legislazioni sulle intrusioni informatiche possa
aprire delle sgradevoli scappatoie per i criminali.
La monografia è conclusa da un articolo di
Erkki Liikanen, membro della
Commissione Europea, responsabile per l’Industria e per la Società
dell’Informazione; nell’articolo, intitolato "
The European Network and
Information Security Agency (ENISA) – Boosting Security and
Confidence", si sottolinea come la sicurezza e la continuità delle
risorse ICT debbano essere protette e garantite, in quanto fondamentali
per la nostra odierna società dell’informazione.
In conclusione, vorremmo ringraziare tutti gli autori per la loro
preziosissima collaborazione: speriamo che il loro lavoro, ed il lavoro
degli editor di UPGRADE e di NOVATICA, sarà di interesse per tutti i
lettori di queste riviste.
--------------------------------------------------------------------------------
COPYRIGHT
- Copyright © CEPIS 2003. Versione Italiana: © ALSI e Tecnoteca 2003. Tutti i diritti riservati.
- Il riassunto e la citazione degli articoli inclusi in UPGRADE sono
permessi con i dovuti crediti alla fonte. Per copie, ristampe, o
ripubblicazioni, scrivete agli editor della rivista o a Tecnoteca per
la versione italiana.
- L'utilizzo non autorizzato di pagine, o loro parti, da parte di persone
non autorizzate esplicitamente da UPGRADE è espressamente proibito e
potrà essere perseguito per legge.
-------------------------------------------------------------------------------
Ritorna all'elenco delle pubblicazioni
Sito web aziendale
Segnala questa pagina a qualcuno
Stampa questa pagina