SISTEMI INFORMATICI: OCSE, PROMUOVERE UNA CULTURA DELLA SICUREZZA

Sui sistemi informatici e telematici l'OCSE chiede agli Stati di promuovere una cultura della sicurezza. L'organizzazione per la cooperazione e lo sviluppo economici ha pubblicato lo scorso 25 luglio una serie di raccomandazioni con le quali intende sensibilizzare Stati, governi, imprese e utenti rispetto alla necessità di fare della sicurezza delle reti informatiche e telematiche un obiettivo primario, attraverso la cooperazione e lo scambio di informazioni fra tutti i soggetti in causa. Queste raccomandazioni sostituiscono le precedenti, del 1992, per tenere conto degli sviluppi intercorsi nell'ultimo decennio (soprattutto per quanto riguarda Internet e reti wireless) e intendono fornire un quadro comune di riferimento al fine di promuovere una "cultura della sicurezza".

La parola-chiave del documento OCSE è "interconnettività". E' proprio l'aumento delle opportunità e modalità di interconnessione che comporta maggiori rischi e una più alta vulnerabilità per tutti quelli che l'OCSE definisce "partecipanti alla nuova società dell'informazione". Per questo è necessario sensibilizzare tutte le parti in causa rispetto all'esigenza di inserire la sicurezza fra i requisiti primari di ogni sistema informativo — a partire dalla sua progettazione. Il documento sottolinea a più riprese che i principi affermati valgono per l'intera struttura sociale: soltanto la partecipazione più ampia possibile delle singole componenti sociali può garantire l'efficacia di una politica mirante a garantire la sicurezza delle interconnessioni.

I nove principi indicati nella Raccomandazione elaborati con il concorso di rappresentanti italiani anche dell'Autorità Garante, non sono vincolanti (nel senso stretto del termine) per governi o imprese, né rappresentano l'unico approccio possibile — come viene ribadito nel Preambolo; tuttavia, essi rappresentano un'esortazione autorevole e impegnativa e riflettono chiaramente un orientamento condiviso da tutti i maggiori Paesi industrializzati (compresa l'Italia), che non potrà essere ignorato dai governi e dal mondo politico nel definire o modificare l'assetto normativo e regolamentare del settore. Importante è anche il fatto che i nove principi sono reciprocamente complementari, e quindi strettamente connessi; inoltre, nella Raccomandazione si indica chiaramente che qualunque strategia mirante a potenziare la sicurezza dei sistemi informatici e telematici dovrà essere in linea con i valori delle società democratiche — che comprendono la libera circolazione delle informazioni ed il rispetto della privacy dell'individuo (v. al riguardo le Linee-Guida OCSE in materia di privacy e flussi transfrontalieri di dati personali http://www.europa.eu.int/comm/internal_market/en/dataprot/inter/priv.htm).

Quali sono, dunque, i principi che l'OCSE raccomanda di applicare in materia di sicurezza?

- Conoscenza dei rischi e delle contromisure disponibili, anche rispetto ai danni eventualmente arrecabili a terzi.

- Assunzione delle rispettive responsabilità, in rapporto al ruolo e alle funzioni svolte, con particolare riguardo (per chi progetta e fornisce prodotti o servizi informatici e telematici) all'informazione tempestiva e aggiornata degli utenti.

- Rapidità nell'affrontare eventuali problemi, attraverso un approccio cooperativo fondato anche sulla condivisione di informazioni — se necessario fra Stati diversi.

- Rispetto per gli interessi legittimi dei terzi: la Raccomandazione parla di un "comportamento etico" da parte di tutti i soggetti in causa (governi, Stati, imprese)

- Rispetto per i valori riconosciuti dalle società democratiche: sicurezza non deve significare compressione della libertà di espressione, della circolazione delle informazioni, della riservatezza delle comunicazioni, della tutela della privacy.

- Analisi dei rischi, quale presupposto fondamentale per individuare pericoli e punti deboli.

- Considerazione primaria degli aspetti di sicurezza nella progettazione e realizzazione di sistemi informatici e telematici, attraverso soluzioni che siano proporzionate al valore delle informazioni contenute nella rete e/o nei sistemi del singolo organismo.

- Adozione di un approccio organico alla gestione della sicurezza, fondato sull'analisi dei rischi e su una visione dinamica che tenga conto di tutti i livelli di attività e di tutte le componenti delle singole operazioni.

- Valutazione periodica della sicurezza dei sistemi informatici e telematici, con attuazione delle modifiche necessarie.