Dicembre 2003
Vol.IV, no. 6, Dicembre 2003
Gestione delle emergenze IT
e continuità di affari
Pubblicato per conto del CEPIS da Novática. Versione italiana a cura di Tecnoteca in collaborazione con l' ALSI, con i dovuti permessi degli editori di Upgrade
Guest Editor: Roberto Moya-Quiles e Stefano Zanero
Numero completo:[Abstract HTML in Inglese] - [PDF in Inglese: 53 pagine; 681 KB]
Singoli articoli
Copertina PDF in Inglese: 272 KB di Antonio Crespo Foix, © ATI 2003
È necessario Acrobat Reader per visualizzare i file PDF
--------------------------------------------------------------------------------
Gli articoli interamente tradotti in italiano sono facilmente individuabili grazie alla bandiera
--------------------------------------------------------------------------------
EDITORIAL. UPGRADE, the European Informatics Journal of CEPIS.
[PDF in inglese: 1 pagina, 165 KB]
Jouko Ruissalo, Presidente del CEPIS
Riassunto italiano: Editoriale: UPGRADE, la rivista europea di Informatica del CEPIS. Il neo-Presidente del CEPIS descrive i più recenti risultati raggiunti da UPGRADE, riafferma l'appoggio del CEPIS alla rivista europea, e trasmette a tutti i lettori i suoi più calorosi auguri per un fruttuoso 2004.
PRESENTATION. IT Contingency Plans: More than Technology.
[vedi traduzione in italiano in calce] [PDF in inglese: 3 pagine, 156 KB]
Roberto Moya-Quiles e Stefano Zanero - Guest Editor
Riassunto italiano: Presentazione: Gestione delle emergenze IT: più che una questione tecnologica. . I guest editor presentano il numero, spiegando che cosa sono e cosa significano i piani di emergenza per le Tecnologie dell'Informazione (Information Technologies Continengcy Plans), non solo al livello tecnologico ma anche e soprattutto per le implicazioni in termini di continuità di affari, considerato che i calcolatori e le reti sono sempre più importanti nelle normali attività e nei futuri sviluppi della nostra Società dell'Informazione nel suo complesso.
Empirical Study of the Evolution of Computer Security and Auditing in Spanish Companies [PDF in inglese: 6 pagine, 174 KB]
Francisco-José Martínez-López, Paula Luna-Huertas, Francisco J. Martínez-López e Luis Martínez-López
Riassunto italiano: Uno studio empirico dell'evoluzione della Sicurezza Informatica e dell'Auditing nelle aziende spagnole. In questo articolo presentiamo una serie di statistiche con la quale puntiamo ad ottenere una migliore comprensione della vera situazione delle aziende spagnole riguardo a questioni come Sicurezza informatica ed Auditing IT, nella speranza che questi dati servano come una referenza utile per un futuro lavoro di approfondimento. Lo scopo principale di questo lavoro è ottenere dati statisticamente significativi con cui lavorare, in quanto finora vi sono stati pochi studi in grado di sostenere i nostri dati empirici. Abbiamo condotto la nostra ricerca in due periodi, 1992 e 2002 per vedere come le variabili analizzate si sono evolute. Ha collaborato un totale di 851 aziende, divise in diversi gruppi.
Information Systems Auditing of Business Continuity Plans [PDF in inglese: 5 pagine, 197 KB]
Questo articolo è disponibile in italiano, con traduzione a cura dell' autore:
Agatino Grillo
Riassunto italiano: Auditing dei Sistemi Informativi dei piani di Business Continuity Il Business continuity management è una responsabilità del top management. L'audit del BCP diventa così un elemento fondamentale dell' IT Governance in quanto rappresenta un assessment indipendente i cui risultati possono essere condivisi e comunicati anche al di fuori dei sistemi IT, ad esempio agli stakeholder, alle autorità di controllo o ai business-partner. Per le istituzioni finanziarie, in particolare, l' auditing dei piani di BC un obbligo normativo. È necessario adottare allora una metodologia di BCP ben strutturata e verificabile. L'articolo introduce le problematiche generali dell'Information Systems Auditing (ISA) e presenta l'approccio di audit al BCP basato su COBIT, un framework generale sviluppato da ISACA (Information Systems Audit and Control Association).
Business Continuity Controls in ISO 17799 and COBIT [PDF in inglese: 7 pagine, 178 KB]
José-Fernando Carvajal-Vión e Miguel García- Menéndez
Riassunto italiano: Le verifiche della continuità di affari in ISO 17799 ed in COBIT In questo articolo si descrive e si confronta l'insieme delle verifiche incluse nei due codici pratici di maggiore importanza sulla sicurezza informatica a livello mondiale, necessarie a gettare le basi per le politiche di sicurezza richieste dalla continuità di affari. Infatti, la Sezione undici del Codice di Pratica per la Gestione della Sicurezza delle Informazioni, lo standard ISO/IEC 17799, tratta gli aspetti riferiti alla continuità di affari; similmente, la struttura COBIT (Control Objectives for Information and Related Technology) per l'Auditing dei Sistemi Informativi stabilisce le necessità di un'organizzazione per realizzare i suoi obiettivi di affari.
Implementation of a Contingency Plan Audit [PDF in inglese: 2 pagine, 158 KB]
Marina Touriño-Troitiño
Riassunto italiano: Implementazione dell'Auditing di un piano di emergenza L'auditing di sistemi e tecnologie dell'informazione implica, fra le altre attività, lo stabilire il piano di emergenza come area specifica di auditing. Tuttavia, dobbiamo tenere conto che, secondo gli standard ISACA (Information Systems Audit and Control Association), gli aspetti relativi alle emergenze ed alla continuità di affari dovrebbero essere affrontati in molte altre aree. E' anche importante distinguere fra le ‘buone pratiche di gestione’ per i sistemi informativi e le tecnologie richieste dai manager di ogni azienda, e le ‘buone pratiche’ applicabili alle prestazioni di un audit su queste pratiche.
Public Initiatives in Europe and the USA to Protect against Contingencies in Information Infrastructures [PDF in inglese: 4 pagine, 163 KB]
Miguel García-Menéndez e José Fernando-Carvajal Vión
Riassunto italiano: Iniziative pubbliche in Europa e negli Stati Uniti per la gestione delle emergenze nelle infrastrutture dell'informazione Oggi, la protezione dei beni informativi di una organizzazione e la relativa tecnologia è senza dubbio fondamentale per i suoi obiettivi di affari. Nel caso di un governo e degli altri enti pubblici, per i quali l'adozione di una strategia di protezione adatta garantisce anche un migliore servizio ai cittadini, questo è di particolare importanza. A febbraio 2003, il Governo Federale degli Stati Uniti e la Commissione della UE hanno fatto un passo avanti notevole, rilasciando ciascuno un'iniziativa puntata ad assicurare la sicurezza di reti interdipendenti e di infrastrutture di tecnologia dell'informazione: La Strategia Nazionale per la Sicurezza del Ciberspazio e la proposta per una Rete europea ed un'Agenzia della Sicurezza delle Informazioni (ENISA), rispettivamente.
Business Continuity and IT Contingency Planning in the Mobile Telephony Industry [PDF in inglese: 2 pagine, 151 KB]
Miguel-Andrés Santisteban-García
Riassunto italiano: Gestione delle emergenze IT e continuità di affari nell'industria della telefonia mobile. Di recente i nuovi operatori mobili si stanno sforzando di acquisire quote di mercato ed espandere le loro reti in termini di capacità e copertura. Questa crescita rapida era essenziale per provare a mantenere la capitalizzazione di mercato senza precedenti delle società coinvolte, che era sproporzionata alla redditività del prodotto. La crescita rapida dell' industria delle telecomunicazioni ha significato che processi non strettamente focalizzati sul cliente, in particolare quelli relativi alla protezione della rete ed alla disponibilità, sono stati trascurati. Questo articolo fa una rassegna dei piani di continuità d'affari nel settore degli operatori di telefonia mobile.
ICT Contingency Plans and Regulatory Legislation of e-Commerce and Data Protection [PDF in inglese: 7 pagine, 184 KB]
Paloma Llaneza-González
Riassunto italiano: Piani di emergenza per l'ICT e legislazione sul commercio elettronico e sulla protezione dei dati. Oltre ad adempiere a tutti i necessari parametri tecnologici e standard tecnici, un piano di emergenza per le Tecnologie dell'Informazione e della Comunicazione (ICT) deve anche rispettare tutti i requisiti legali e le regolamentazioni applicabili. Avendo in mente che requisiti simili esistono negli Stati membri dell'Unione Europea, in questo articolo esaminiamo alcuni di questi requisiti, specificatamente gli obblighi imposti alle aziende spagnole da due atti legislativi spagnoli e relativi regolamenti: l'Atto dei Servizi della Società dell'Informazione (una trasposizione in Legge spagnola delle Direttive Europee 2000/31/EC, 98/27/EC e 2002/58/EC) e l'Atto della Protezione dei Dati Personali (trasposizione della Direttiva 95/46/EC).
Information Technologies and Privacy Protection in Europe. [PDF in inglese: 3 pagine, 157 KB]
Questo articolo è disponibile in italiano, con traduzione a cura degli autori:
David D'Agostini e Antonio Piva
Riassunto italiano: L'utilizzo delle tecnologie e la tutela della privacy in Europa. La tutela della privacy si è sviluppata in parallelo con l'evoluzione tecnologica. Le direttive del Parlamento Europeo e del Consiglio 95/46/CE sul trattamento dei dati personali e 2002/58/CE sulle comunicazioni elettroniche, tutelano i dati personali da qualunque tipo di trattamento, con particolare attenzione per i rischi derivanti dall'automazione e dall'uso, a fini commerciali, delle reti telematiche come strumenti d'invasione della sfera personale dell'individuo. Il presente articolo fa il punto della situazione sul recepimento della prima direttiva e si sofferma sul problema dell'invio di comunicazioni commerciali indesiderate (spamming), illustrando le nuove soluzioni normative dettate sul tema al fine di arginare un fenomeno che può produrre effetti negativi anche sul piano economico.
Legal Analysis of a Case of Cross-border Cyber-crime [PDF in inglese: 10 pagine, 197 KB]
Questo articolo è disponibile in italiano, con traduzione a cura dell'autrice:
Nadina Foggetti
Riassunto italiano: Analisi legale di un caso di criminalità informatica transnazionale. La criminalità informatica trascende i confini dei singoli stati e le condotte criminose compiute attraverso internet comportano dei problemi ingenti in relazione al diritto applicabile. Il diritto non è sempre pronto a far fronte alle esigenze della globalizzazione del mercato e della stessa criminalità. Nel caso di specie l'attacker ha compiuto un accesso illegittimo a sistema informatico di pubblico interesse in svizzera ai danni di utenti italiani. L'attacco è stato realizzato attraverso una scalata di privilegi, da utente normale ad utente root. In seguito l'attacker ha installato sul sistema violato un rootkit per copiare le password degli utenti che si allocavano dal e sul sistema violato. Il sistema era di pubblico interesse per i dati ivi contenuti e perché permetteva di gestire degli esperimenti di grande interesse generale. Sul sistema era attivo un sistema di posta elettronica per gli utenti registrati. Sulla base della normativa italiana risultano applicabili l'art. 615-ter del CP italiano - accesso illegittimo a sistema informatico - con l'aggravante di cui al terzo comma; l'art. 617-quinques - Installazione di apparecchiature dirette ad intercettare ed interrompere una comunicazione; l'art. 615-quater CP - detenzione abusiva di codici d'accesso. Risulta inoltre applicabile l'art. 35 della legge 675/96 che sanzione il trattamento illegittimo dei dati personali contenuti nel sistema. Tuttavia, in seguito all'analisi dei presupposti relativi all'applicazione della legge penale italiana nello spazio il fatto non ricade nella giurisdizione italiana. Il principio della difesa non risulta applicabile, poiché non risultano integrati tutti i requisiti richiesti dalla norma, il principio di territorialità non risulta applicabile in quanto in Italia non è avvenuto neppure un tentativo punibile Risulta applicabile la legge penale Svizzera. Dopo l'analisi della normativa svizzera risulta applicabile solo l'art. 143-bis del CP svizzero, non essendosi verificato il requisito della sottrazione di dati che risulta essenziale ai fini della configurabilità del reato di cui all'art. 143-CP svizzero. La risposta europea al problema dei computer crimes non risulta adeguata in relazione all'eccessivo ricorso alla sanzione penale. Tutti gli sforzi di armonizzazione della normativa europea vertono sulla sanzione penale. Risulta indispensabile trovare una risposta alternativa ed adeguata al fenomeno della criminalità trasnazionale.
The European Network and Information Security Agency (ENISA) – Boosting Security and Confidence [PDF in inglese: 2 pagine, 150 KB]
Erkki Liikanen
Riassunto italiano: L'Agenzia Europea per la Sicurezza delle Informazioni e delle Reti (ENISA) – Aumentare sicurezza e confidenza. In questo articolo, l'autore, membro della Commissione Europea, responsabile per Impresa e Società dell'Informazione, sottolinea l'alta importanza che hanno ed avranno sempre più reti e sistemi di informazioni, in pressocché ogni aspetto della nostra società, e come sia perciò decisivo assicurare la loro sicurezza e continuità. L'autore spiega anche il ruolo che giocherà in questo ambito l' Agenzia europea per la Sicurezza delle Informazioni e delle Reti (ENISA) recentemente creata.
--------------------------------------------------------------------------------
I GUEST EDITOR
Roberto Moya-Quiles è un Dottore in Fisica, specializzato in Scienza Computazionale, ed è anche laureato in Computer Science e auditor del CISA (Certified Information Systems Auditor). Ha 34 anni di esperienza in una varietà di ruoli manageriali nel campo dei Sistemi Informativi (gestione IT, consulenza, formazione, sicurezza e controllo, auditing, applicazioni informatiche, ecc.) nelle più importanti aziende hardware e software e di forniture energetiche. E' relatore a seminari e dibattiti sulla Sicurezza della Tecnologia dell'Informazione in istituzioni private ed in università pubbliche. E' membro del Sub-comitato di ISO/IEC SC 27 (Tecniche di sicurezza per la Tecnologia dell'Informazione) e coordina il Gruppo di Interesse sulla sicurezza IT (GISI, & lt;http://www.ati.es/gt/security/>) della associazione spagnola del CEPIS ATI (Asociación de Técnicos de Informática). <rmoya AT dimasoft PUNTO es>
Stefano Zanero si è laureato "cum laude" in Ingegneria Informatica presso il Dipartimento di Elettronica ed Informazione del Politecnico di Milano, con una tesi sullo sviluppo di un Intrusion Detection System basato su algoritmi di apprendimento, ed è attualmente Dottorando di Ricerca presso lo stesso dipartimento. Tra i suoi interessi di ricerca attuali figurano inoltre le prestazioni dei sistemi di sicurezza e le tecniche di clustering. Ha partecipato come relatore a numerosi convegni nazionali ed internazionali. È socio dello IEEE (Institute of Electrical and Electronics Engineers) e della ACM (Association for Computing Machinery), oltre che dell'associazione italiana per la sicurezza CLUSIT. Cura inoltre, per ComputerWorld Italia, la rubrica "Diario di un Security Manager", recentemente insignita del premio giornalistico "Cisco Web Award 2003". È inoltre socio e responsabile tecnico di Secure Network S.r.l., una società di consulenza, formazione e servizi alle imprese in tema di sicurezza dell'informazione. <zanero AT elet PUNTO polimi PUNTO it>
(Indirizzi e-mail presentati in modo da evitare lo spam)
--------------------------------------------------------------------------------
IL TEAM EDITORIALE DI UPGRADE
- Chief Editor:Rafael Fernandez Calvo, Madrid (Spagna) <rfcalvo at ati dot es>
- Editor:
a. François Louis Nicolet, Zürich (Svizzera) <nicolet at acm dot org>
b. Roberto Carniel, Udine (Italia) <rcarniel at dgt dot uniud dot it>
b. Roberto Carniel, Udine (Italia) <rcarniel at dgt dot uniud dot it>
--------------------------------------------------------------------------------
CURATORE DELL'EDIZIONE ITALIANA
Roberto Carniel. Laureato in Scienze dell'Informazione e Laureato Specialistico in Informatica presso l'Università di Udine, Dottore di Ricerca in Matematica Computazionale e Informatica Matematica presso l'Università di Padova, nonché Ingegnere dell'Informazione presso l'Ordine degli Ingegneri di Udine. È membro fondatore dell'ALSI, l'Associazione nazionale Laureati in Scienze dell'informazione ed Informatica, di cui è il rappresentante nel CEPIS. Collabora con il portale Tecnoteca dalla sua creazione. E' attualmente Ricercatore di Geofisica Applicata presso l'Università degli Studi di Udine e Segretario del Working Group di Sismologia Vulcanica della European Seismological Commission. Nella sua ricerca predilige l'utilizzo di strumenti Free Software.
--------------------------------------------------------------------------------
Pianificazione delle emergenze ICT: Oltre la tecnologia.
Roberto Moya-Quiles e Stefano Zanero - Guest Editor; Traduzione a cura di Stefano Zanero
1 Introduzione
Pianificare opportune procedure di risposta per le emergenze ICT è divenuta una delle preoccupazioni trasversali per tutte le organizzazioni, in particolare per quelle di medie e grandi dimensioni, le quali basano sempre di più i propri processi di business sui sistemi informativi e sulla tecnologia. Per questo i piani di emergenza, un tempo erroneamente considerati come responsabilità dei soli dipartimenti informatici (per negligenza, oppure per ignoranza da parte del management delle imprese), si sono evoluti o si stanno evolvendo per diventare parte integrante di un piano di Business Recovery e Business Continuity di più ampio respiro.
Pur nella cornice di questa evoluzione, gli obiettivi fondamentali dei piani di emergenza sono rimasti immutati. Partendo da una valutazione accurata dei rischi specifici a cui i sistemi sono soggetti, essi devono garantire una risposta in tempi certi ad un ampio ventaglio di possibili incidenti, esaminare la tolleranza alla perdita di dati e al degrado delle prestazioni del sistema, garantire l’integrità dei processi (in particolare delle transazioni e delle informazioni) nel caso di interruzioni o incidenti, e la sincronizzazione e la replicazione dei dati. Essi devono inoltre tenere in considerazione i costi per l’implementazione e la manutenzione del piano. I contratti di SLA (Service Level Agreement) con garanzie di livello di servizio per i centri di backup, e la scelta di garantire la continuità di servizio mediante outsourcing di infrastruttura e telecomunicazioni sono altri aspetti di crescente importanza.
Tuttavia, i molti e profondi cambiamenti nelle tecnologie disponibili hanno progressivamente reso questi piani più complessi da implementare, a causa della necessità di tenere in considerazione un numero crescente di dettagli relative alle configurazioni e all’architettura delle applicazioni. Inoltre, leggi e regolamenti tecnici imposti a vari livelli complicano ulteriormente il quadro. Oltre alle esigenze di legge, vi sono requisiti trasversali dello specifico settore a cui si fa riferimento, per esempio nel campo finanziario hanno rilevanza le decisioni di organismi regolatori quali la Bank for International Settlements (http://www.bis.org/) di Basilea, e la Federal Reserve americana http://www.federalreserve.gov/).
2 Tre possibili scenari
Tre degli scenari più tipicamente contemplati sono i seguenti:
1. Il centro EDP crea un doppio backup dei dati, uno locale e uno remoto. La copia remota viene trasferita in un centro dati ausiliario e appropriatamente sicuro (ad esempio geograficamente distante dal sito primario). Questo tipo di centro dati, in generale, sarà condiviso, ovvero gestito in outsourcing, per ragioni di costo. Il punto fondamentale su cui andrà imperniato in questo caso il contratto (Service Level Agreement) con il service provider è che sia garantito il ripristino delle copie di backup e la ripartenza delle applicazioni e dei servizi nel centro in outsourcing entro tempi certi. Questo scenario è tipicamente adottato in centri in cui gran parte dell’elaborazione di dati è di tipo batch.
2. Un’evoluzione dello scenario precedente prevede di aggiungere una connessione permanente tra sito primario e secondario, (tramite linee ISDN, linee dedicate, VLANs, o sempre più frequentemente VPN su Internet o reti MPLS), consentendo un aggiornamento costante dei dati e consentendo tempi di reazione molto più rapidi, adatti per servizi di comunicazione e online. Ovviamente questa evoluzione ha i suoi riflessi sulle tipologie di SLA che possono venire applicate.
3. Un’ulteriore evoluzione dello scenario prevede l’uso di tecnologie di storage avanzate, basate sull’interconnessione diretta (per esempio in fibra ottica) tra centro primario e secondario. Questo scenario sicuramente consente di rispondere in modo efficace e quasi inavvertibile per gli utenti a disastri su grandi centri di elaborazione dati che offrono servizi web interattivi e transazionali. Tuttavia, le limitazioni di distanza imposte dall’uso di tecnologia studiata per sistemi locali e non distribuiti geograficamente possono creare un rischio, in quanto centro primario e secondario potrebbero essere coinvolti da uno stesso disastro naturale
L’argomento che affrontiamo in questo numero di Upgrade è vastamente trattato, e i tragici eventi dell’11 settembre del 2001 hanno senza dubbio stimolato ulteriore dibattito sul tema. Sono anche disponibili informazioni su come strutturare un piano di emergenza, e alcuni esempi di piani di varie organizzazioni. Per le organizzazioni, tuttavia, le sorgenti principali per questo tipo di informazioni restano gli implementatori di sistemi informatici, e le società di consulenza. È da notare che anche la legislazione sta progressivamente imponendo misure di salvaguardia (si veda per esempio il nuovo Testo Unico sulla protezione dei dati: www.garanteprivacy.it).
Per creare e implementare un piano, la scelta delle tecnologie e delle soluzioni da adottare dipende innanzitutto ovviamente dai tipi di servizi disponibili sul luogo: infatti, anche se ci piace pensare di vivere in un mondo "globalizzato", i tipi di servizi disponibili, il loro costo e la loro qualità è notevolmente differente da zona a zona. Il piano deve contemplare un livello di dettaglio che va da apparenti minuzie (come ad esempio "chi ha le chiavi dell’armadietto che contiene le copie di backup", "come gestire il cambio delle password sulle macchine in produzione durante e dopo le fasi di test o gli interventi di consulenti esterni", ecc., ecc.) ad argomenti molto più pesanti e complessi (per esempio, chi ha la responsabilità di gestire ed aggiornare il piano, chi ha la responsabilità di dichiarare un’emergenza o di attivare una esercitazione).
La complessità inerente in questo tipo di pianificazione ci conduce inevitabilmente alla necessità del testing. Un vecchio adagio ammonisce che, se il vostro piano non è mai stato provato, non avete nessun piano. D’altro canto, una prova è costosa (anche solo in termini di tempo perso), quindi bisogna avere criteri consistenti per stabilire quando effettuarne una: ad esempio, sarebbe consigliabile che il piano venga aggiornato e poi provato ogni volta che l’architettura o la configurazione delle applicazioni e dei sistemi viene modificata. Dalla nostra esperienza in questo campo, inoltre, una prova periodica, ad esempio annuale, del piano di emergenza, lo rende più accetto allo staff e lo integra nella cultura aziendale. Sperimentando il piano in funzione, i vari manager e gli sviluppatori dei sistemi IT inizieranno a tenere in considerazione la possibilità dei disastri e l’esigenza della pianificazione anche nelle fasi progettuali di loro competenza.
Per contro, come sanno tutti i professionisti del campo della sicurezza, qualsiasi cambiamento nelle operazioni di tutti i giorni incontra delle forti resistenze, ed è per questo motivo che si tende naturalmente a cercare di effettuare i test con il minimo sconvolgimento necessario. Infine, va tenuto presente che anche un test molto rigoroso non può in nessun caso essere totalmente realistico, in quanto simulare effettivamente un disastro comporterebbe un’interruzione difficilmente giustificabile nei processi dell’organizzazione. Per questo, molto spesso, le applicazioni verranno provate separatamente; verranno scelti momenti come il week-end o le ore notturne; verranno isolati i segmenti di rete interessati al test per impedire problemi, eccetera. Possiamo dire quindi che il test del piano di emergenza ha una natura asintotica: ci consente di migliorare, ma non potremo mai dire di avere completato tutti i test possibili.
3 I contenuti di questa monografia
Considerando tutto quanto sopra, abbiamo chiesto a vari esperti europei (spagnoli ed italiani in particolare) di esporci il loro punto di vista, su un insieme trasversale di alcuni tra i più importanti aspetti di questa materia, incluse le implicazioni legali.
Nell’articolo "Empirical Study of the Evolution of Computer Security and Auditing in the Spanish Companies", Francisco-José Martínez-López, Paula Luna-Huertas, Francisco J. Martínez-López, e Luis Martínez-López espongono i risultati di una ricerca condotta su un campione di medie e grandi industrie spagnole, i cui risultati tuttavia sono in gran parte applicabili anche oltre i confini della loro nazione
Agatino Grillo, nel suo articolo "Auditing of Information Systems and Business Continuity Plans", descrive, facendo particolare riferimento al settore finanziario di cui è esperto, i piani di continuità come requisito non soltanto di affari, in quanto la continuità è fondamentale per il business, ma anche di tipo legale.
L’articolo "Business Continuity Controls in ISO 17799 and COBIT" di José-Fernando Carvajal-Vión e Miguel García- Menéndez contiene un dettagliato confronto tra i due principali standard a livello mondiale per l’implementazione di sistemi di sicurezza informatica, focalizzandosi in particolare sui controlli relativi ai piani di business continuity.
"Implementation of a Contingency Plan" è il contributo di Marina Touriño-Troitiño, nel quale viene delineata la necessità dell’auditing dei piani di emergenza ICT, considerando la crescente rilevanza che la continuità dei sistemi ha assunto per le imprese
L’articolo "Public Initiatives from the USA and Europe to Protect against Contingencies in Information Infrastructures", di Miguel García-Menéndez e José Fernando-Carvajal Vión, mostra quanta importanza diano le istituzioni pubbliche alla continuità di servizio delle proprie infrastrutture telematiche, che sono di vitale importanza per la vita economica e sociale dei paesi più sviluppati. L’articolo prende in considerazione i più importanti provvedimenti europei e statunitensi a riguardo.
"Business Continuity and Mobile Telephony Operators", di Miguel-Andrés Santisteban-García, esamina I piani di Business Continuity nell’industria della comunicazione cellulare, nella quale a causa della rapidissima crescita spesso tutti i processi non centrati sugli utenti (e in particolare la protezione e la disponibilità delle reti) sono spesso stati colpevolmente trascurati.
Paloma Llaneza-González, nell’articolo "ICT Contingency Plans and Regulatory Legislation of e-Commerce and Data Protection"”, ci illustra come un piano di emergenza ICT debba necessariamente tenere in considerazione i requisiti legali in vigore, ed analizza gli standard spagnoli (che sono molto simili a quelli di tutte le nazioni d’Europa, visto che si basano su un insieme comune di Direttive Europee).
Nell’articolo "Information Technology and the Protection of Privacy in Europe", David D'Agostini e Antonio Piva ci offrono il loro punto di vista sulla Direttiva Europea 95/46/EC sulla protezione dei dati personali, con particolare enfasi sul contrasto allo spamming, un fenomeno che si sta trasformando in una vera minaccia per il corretto funzionamento di Internet
"Legal Analysis of a Case of Cross-border Cyber-crime" è un articolo di Nadina Foggetti, in cui l’autrice esamina con grande dettaglio come la divergenza tra le legislazioni sulle intrusioni informatiche possa aprire delle sgradevoli scappatoie per i criminali.
La monografia è conclusa da un articolo di Erkki Liikanen, membro della Commissione Europea, responsabile per l’Industria e per la Società dell’Informazione; nell’articolo, intitolato "The European Network and Information Security Agency (ENISA) – Boosting Security and Confidence", si sottolinea come la sicurezza e la continuità delle risorse ICT debbano essere protette e garantite, in quanto fondamentali per la nostra odierna società dell’informazione.
In conclusione, vorremmo ringraziare tutti gli autori per la loro preziosissima collaborazione: speriamo che il loro lavoro, ed il lavoro degli editor di UPGRADE e di NOVATICA, sarà di interesse per tutti i lettori di queste riviste.
--------------------------------------------------------------------------------
COPYRIGHT
- Copyright © CEPIS 2003. Versione Italiana: © ALSI e Tecnoteca 2003. Tutti i diritti riservati.
- Il riassunto e la citazione degli articoli inclusi in UPGRADE sono
permessi con i dovuti crediti alla fonte. Per copie, ristampe, o
ripubblicazioni, scrivete agli editor della rivista o a Tecnoteca per
la versione italiana.
- L'utilizzo non autorizzato di pagine, o loro parti, da parte di persone non autorizzate esplicitamente da UPGRADE è espressamente proibito e potrà essere perseguito per legge.
-------------------------------------------------------------------------------
Ritorna all'elenco delle pubblicazioni