Per AgID l'informatica è ferma agli anni Novanta, forse. Forse agli Ottanta.
Mi spiego. La Circolare AgID 65 del 2014 riguarda l'accreditamento per le attività di conservazione dei documenti informatici e non distingue tra i 3 elementi fondamentali di un servizio IT: attività burocratiche e amministrative, sviluppo e manutenzione dell'applicazione, conduzione dei sistemi informatici.
La circolare stabilisce: "Il conservatore può affidare ad altro conservatore accreditato le attività a supporto del processo di conservazione limitatamente a quelle che riguardano le infrastrutture per la memorizzazione, trasmissione ed elaborazione dei dati".
In altre parole, se un'azienda conosce il processo e mantiene l'applicazione non può usare i servizi di amministrazione dei sistemi (e il CED) di un esterno, a meno che questo non sia accreditato a sua volta come conservatore. Quindi, questo professionista esterno deve essere bravo a gestire il CED, ad amministrare i sistemi, a sviluppare un'applicazione complessa, a gestire un processo di conservazione sostitutiva.
Oggi, però, le aziende sono spesso specializzate in un solo di questi compiti (chi conosce le aziende specializzate nello sviluppo sa bene che, spesso, una delle prime cose da fare per migliorarne la sicurezza è proprio quella di far gestire i sistemi ad altri).
Pensate che io sia paranoico? Pensate che in realtà quelli di AgID non la pensino così?
Purtroppo questa mia accusa nasce da casi reali.
Ulteriore considerazione: la medesima disposizione non si applica allo sviluppatore del software. Sebbene l'applicazione sia fondamentale, chi la mantiene non deve essere necessariamente accreditato, a differenza di chi gestisce i sistemi. Come negli anni Ottanta-Novanta, quando le vulnerabilità applicative erano poco considerate.
La circolare di AgID, quindi, doveva essere scritta decisamente meglio, tenendo conto di un concetto che oggi si applica a quasi tutti i settori: la catena di fornitura.
Nota finale: non penso che i conservatori accreditati ad oggi siano deboli in uno dei settori indicati. Ma le aziende di questo tipo sono necessariamente molto poche.
Nessun commento:
Posta un commento