lunedì 29 aprile 2013

Cassazione: non esiste un dovere di omertà aziendale

La sentenza n. 6501 del 14 marzo 2013 della sezione Lavoro della Cassazione
è interessante per due motivi: il primo riguarda il non dovere di omertà del
lavoratore, il secondo la legittimità di accuse anonime.

Se poi ho capito correttamente il caso, un lavoratore ha denunciato la
propria azienda all'Autorità e poi questo fatto è stato segnalato
all'azienda stessa da una lettera anonima. Il lavoratore è stato quindi
licenziato, ma poi ha fatto ricorso alla Cassazione basandosi su due punti:
il non dovere di omertà (per cui la Cassazione si è pronunciata a favore del
lavoratore) e sull'inutilizzabilità di denunce anonime (su cui la Cassazione
si è pronunciata a sfavore del lavoratore... al quale però bastava vincere
su uno solo dei punti).

Sul primo punto, la Cassazione si è pronunciata come segue: "Non costituisce
giusta causa o giustificato motivo di licenziamento di un dipendente l'aver
reso noto all'Autorità Giudiziaria fatti di potenziale rilevanza penale
accaduti presso l'azienda in cui lavora né l'averlo fatto senza averne
previamente informato i superiori gerarchici, sempre che non risulti il
carattere calunnioso della denuncia o dell'esposto". "Non costituisce giusta
causa o giustificato motivo di licenziamento l'aver il dipendente allegato
alla denuncia o all'esposto documenti aziendali". In altre parole: non
esiste un dovere di omertà del lavoratore.

Sul secondo punto la Cassazione ha scritto "nessuna norma di legge vieta che
l'esercizio del potere disciplinare possa essere sollecitato (non anche
provato, ovviamente) a seguito di scritti anonimi".

La notizia da Filodiritto:
-
http://www.filodiritto.com/cassazione-lavoro-no-al-licenziamento-del-dipende
nte-perche-rivela-allautorita-fatti-dellazienda-di-rilevanza-penale-non-esis
te-un-dovere-di-omerta/#.UX5gx8pWX3U
.

La sentenza sul sito della Cassazione:
-
http://www.cortedicassazione.it/Notizie/GiurisprudenzaCivile/SezioniSemplici
/SchedaNews.asp?ID=3219
.

giovedì 18 aprile 2013

La formazione sulla sicurezza è utile?

Bruce Schneier ha scritto un articolo dicendo che la formazione degli utenti
sulla sicurezza informatica non è generalmente utile:
-
http://www.darkreading.com/hacked-off/on-security-awareness-training/2401511
08
- https://www.schneier.com/blog/archives/2013/03/security_awaren_1.html

I motivi: gli utenti non trovano benefici a breve termine per seguire le
regole di sicurezza, è abbastanza raro avere problemi se non si seguono le
regole di sicurezza, per adottare comportamenti corretti è necessario essere
tecnologicamente abbastanza preparati.

L'unica possibilità per diffondere la sicurezza è sviluppare software sicuri
o dare agli utenti dei servizi sicuri: è meglio spendere soldi per le
attività di sviluppo che per la formazione (anche se un'oretta all'anno è
sicuramente utile).

Confesso che do pienamente ragione a Bruce Schneier (e poca ragione al
portafoglio di noi consulenti che eroghiamo anche corsi di
sensibilizzazione), anche perché questo principio me lo disse in modo
chiarissimo nel 2005 Gigi Ferraris parlando dei processi di sicurezza: "se
non li obblighi con la tecnologia, gli utenti non seguiranno mai i
processi".

giovedì 11 aprile 2013

Traduzioni norme ETSI su sicurezza nella conservazione dei dati

Franco Ruggieri ha segnalato che è stato pubblicato a febbraio il terzo
documento della traduzione delle specifiche ETSI in oggetto.

Il set completo delle pentole in offerta UNINFO è quindi costituito da:
- UNI/TS 11465-1:2012 "Firme elettroniche ed infrastrutture (Electronic
Signatures and Infrastructures - ESI) - Sicurezza nella Conservazione dei
dati - Parte 1: Requisiti per la Realizzazione e la Gestione" - traduzione
della ETSI TS 101 533-01
- UNI/TR 11465-2:2012 "Firme elettroniche ed infrastrutture (Electronic
Signatures and Infrastructures - ESI) - Sicurezza nella Conservazione dei
dati - Parte 2: Linee Guida per l'Ispettore" - traduzione dello ETSI TR 101
533-02;
- UNI/TS 11465-3:2013 "Firme elettroniche ed infrastrutture (Electronic
Signatures and Infrastructures - ESI) - Sicurezza nella Conservazione dei
dati - Complemento italiano a ETSI TS 101 533-1 e ETSI TR 101" -
localizzazione in Italia delle specifiche di cui sopra.

Io ci ho modestamente collaborato e le ho trovate molto interessanti, anche
perché si tratta di specializzazioni delle ISO/IEC 27001 e 27002.

Le potete trovare in inglse sul sito della ETSI (www.etsi.org) o in italiano su quello dell'UNI (www.uni.com)

martedì 2 aprile 2013

Se non lo misuri non lo conosci?

Finalmente ho scoperto da dove viene il detto "se non lo misuri, non puoi
gestirlo". Qualcuno penserà che sono arrivato tardi, ma almeno ci sono
arrivato.

Si tratta di Lord Kelvin, che nel lontano 1893 disse "Se puoi misurare ciò
di cui parli e puoi esprimerlo con un numero, allora conosci qualcosa del
tuo soggetto; ma se non puoi misurarlo, allora la tua conoscenza è scarsa e
insoddisfacente".

Lord Kelvin è noto per essere stato un grande fisico (fisico matematico e
ingegnere). A mio modesto parere, le scienze sociali (e la conduzione di
un'azienda è in gran parte collegata alle scienze sociali) non dovrebbero
confondersi con la matematica e la fisica. Misurare qualcosa è più che
importante, ma pensare di ridurre la conoscenza di un'impresa alla
misurazione è follia.

Non devo essere l'unico a pensarlo, visto che la stessa ISO 9001 chiede di
"monitorare e, dove possibile, misurare".

Segregazione delle responsabilità

Segnalo un bell'articolo sull'ISACA Journal del dicembre 2012 dal titolo
"What Every IT Auditor Should Know About Proper Segregation of Incompatible
IT Activities".

Per ovvi motivi di diritto d'autore, non mi addentro nel contenuto, ma
riferisco i titoli, già di per se stessi utili:
- IT vs. utenti (business)
- database administrator vs. resto dell'IT
- sviluppo applicazioni vs. DBA e vs. conduzione dei sistemi (questa però è
nota!)
- sviluppo nuove applicazioni vs. manutenzione delle applicazioni
- sicurezza delle informazioni vs. resto dell'IT (anche questa è nota)

Un commento ha segnalato la necessità di separare la sicurezza delle
informazioni dall'IT, ma questo è un tema molto caldo e non facilmente
risolvibile.

lunedì 1 aprile 2013

Modifiche ai requisiti di accessabilità nella PA

La Legge 221 del 2012 ha converito, con modificazioni, il DL 179 del 2012,
dal titolo "Ulteriori misure urgenti per la crescita del Paese", che riporta
alcune modifiche alla Legge 4 del 2004 (Legge Stanca sull'accessibilità) e
al Dlgs 82 del 2005 (Codice dell'amministrazione digitale o CAD). Rilevante
è l'estensione di applicabilità della Legge sull'accessibilità anche a
"tutti i soggetti che usufruiscono di contributi pubblici o agevolazioni per
l'erogazione dei propri servizi tramite sistemi informativi o internet".

Altro elemento rilevante è l'inserimento del tema dell'accessibilità nella
formazione che deve essere erogata al personale della Pubblica
Amministrazione.

Maggiori dettagli nella Circolare 61/2013 del 29 marzo 2013 dell'AgID:
- http://www.digitpa.gov.it/fruibilita-del-dato/accessibilita

Sempre notizia di questi giorni è la prevista modifica all'Allegato A del
Decreto Ministeriale 8 luglio 2005 (Ministro per l'Innovazione e le
tecnologie) sui "requisiti tecnici di accessibilità delle applicazioni
basate su tecnologie internet" (l'Allegato si trova alla medesima pagina web
sopra indicata, non a quella indicata sotto che riporta solo la notizia):
-
http://www.digitpa.gov.it/notizie/accessibilita-cambiano-i-requisiti-i-siti-
web-della-pa


E infine, l'ETSI ha appena pubblicato una bozza dello standard europeo EN
301 549 dal titolo "Accessibility requirements for public procurement of ICT
products and services in Europe". Sarebbe bello se venisse adottato oltre la
pubblica amministrazione.