Nel 1999 andai in vacanza in Irlanda. Formula fly & drive: volo fino a
Dublino e poi macchina a noleggio prenotata via servizio web (c'erano anche
allora!). Arrivati a Dublino, il noleggiatore non trova la mia prenotazione;
indaga un po' e poi scopre che avevano registrato Cork come luogo della
consegna. Ho capito quindi che io avevo inserito i dati sul loro sito web e
poi qualcuno li ha copiati manualmente nel loro sistema di prenotazione.
L'avventura finì bene e mi diedero anche un'auto di categoria superiore.
Questa pratica (trasferimento manuale di dati da un sistema informatico ad
un altro) non è tramontata negli anni, ma mi ero dimenticato dei rischi che
pone, nonostante ne abbia avuto esperienza diretta.
Recentemente un mio cliente ha richiamato la mia attenzione su questo
rischio e finalmente ho capito il significato del controllo A.10.8.5
"Business information systems" della ISO/IEC 27001:2005. Purtroppo il
controllo era spiegato male e, evidentemente, in pochi ne avevano colto
l'importanza. Fatto sta che nella nuova versione dello standard non c'è più.
Ci rimane il controllo A.14.1.3 "Protecting application services
transactions", anche se sembrerebbe applicabile alle sole applicazioni
informatiche e non a tutto un flusso di informazioni.
Nessun commento:
Posta un commento