1) L’impresa turistica è uguale a qualsiasi altra attività economica moderna
Possono cambiare i prodotti ed i servizi di un’attività economica, ma ciò che conta è che rimane costante l’elemento che sta alla base di qualsiasi attività produttiva moderna: il dato elettronico.
In questo senso qualsiasi impresa turistica (sia essa un’agenzia di viaggi, un tour operator, un consulente di viaggio, una compagnia di navigazione, una struttura ricettiva etc) utilizza tecnologie informatiche comuni e diffuse come la posta elettronica, i siti web, i software gestionali ed i documenti elettronici (word, excel, pdf etc)
2) Il dato elettronico alla base delle attività dell’impresa turistica
Negli ultimi anni l’esponenziale crescita sia in termini di diffusione che di potenzialità degli strumenti informatici portatili (smartphone, notebook) ha notevolmente ampliato la “dipendenza” delle imprese turistiche al dato elettronico.
La capacità operativa e la reperibilità sono aumentate, così come sono aumentati gli strumenti utilizzati per fornire i servizi.
3) L’importanza della protezione e della sicurezza del dato elettronico
Lo scenario attuale apre quindi le porte ad una serie di problemi di sicurezza.
L’aumento del numero di strumenti presuppone la necessità di renderli sicuri. Più strumenti si usano e più tempo e risorse andranno investite in sistemi di protezione.
Inoltre, con un numero maggiore di strumenti è più facile incorrere nel problema della dispersione del dato elettronico, cioè di non sapere in quale strumento si trova. Questo può accadere, ad esempio, nel caso di caselle di posta elettronica non configurate correttamente oppure nel caso di archivi documentali non unici o non condivisi.
Infine, un numero sempre crescente di strumenti elettronici e di software si trascina dietro un crescente numero di differenti database di dati, ognuno dei quali deve essere attentamente preso in considerazione e protetto.
Vediamo come.
4) Il dato elettronico – come è fatto?
La prima cosa da fare quando si mette in piedi un sistema di sicurezza informatica è saper riconoscere l’oggetto che si deve proteggere, appunto il dato elettronico.
Anzitutto dobbiamo capire come è fatto e come saperlo distinguere tra la miriade di files e cartelle presenti in qualsiasi strumento informatico moderno.
Mentre è facile riconoscere documenti di word, fogli di excel o PDF, diventa più complicato saper riconoscere i database delle applicazioni (ad esempio gli archivi della posta elettronica o il database di un software gestionale di preventivazione o fatturazione). Ancora più complicato diventa riuscire a riconoscere ciò che sta alla base di un sistema web, ad esempio l’archivio di informazioni di cui è composto il sito web aziendale.
E’ bene quindi rendersi conto che il dato informatico non è solo fatto di documenti di word, excel e PDF, ma ci sono tanti altri files che rendono possibile il funzionamento di applicazioni fondamentali per la vita dell’azienda.
5) Il dato elettronico – dove si trova?
Il tema della localizzazione del dato è importante per due aspetti:
-
Organizzazione. Se i dati elettronici vengono salvati in maniera ordinata ed organizzata sono più facili e rapidi da ritrovare, consultare ed utilizzare. L’organizzazione riduce il rischio di duplicazione delle informazioni, rischio che si ripercuote nel fatto che il file aperto potrebbe non essere quello più aggiornato (oltre al fatto che due files occupano più spazio di uno). Un archivio organizzato e condiviso tra più utenti permette un’operatività più ampia dell’impresa: l’assenza di un operatore non impedisce il proseguimento dell’attività se quel dato è a disposizione del gruppo di lavoro e non è salvato nel solo dispositivo dell’utente che lo ha creato e gestito per primo.
-
Backup. Se non sappiamo “dove” si trovano i dati non possiamo sottoporli a procedure di backup. Per i files e le cartelle è più facile ma per i database diventa più difficile e spesso gli stessi non vengono sottoposti a backup con il rischio di perdere anni di lavoro. In questo senso i rischi maggiori vengono corsi dalle applicazioni di posta elettronica (es. Outlook, Thunderbird) e dai software di contabilità (preventivazione, fatturazione).
Mondo web. Molte attività turistiche dispongono di siti web dinamici che offrono una parziale automatizzazione di processi economici. Si pensi a quei siti in cui vengono pubblicate offerte e novità o a quelli che gestiscono al loro interno dei sistemi di prenotazione o di vendita online di prodotti e servizi. Questi sistemi si basano su dati elettronici che vengono inseriti / aggiornati / eliminati periodicamente e che vengono memorizzati in un database. Fondamentale è, di conseguenza, l’individuazione del luogo esatto e del sistema che gestisce il database del sito web per poter poi provvedere alla memorizzazione di copie di sicurezza.
6) Il dato elettronico – sistemi di protezione
Abbiamo compreso come riconoscere e come localizzare il dato elettronico. Adesso dobbiamo pensare a come proteggerlo.
Partiamo dal presupposto che quando si parla di “sicurezza informatica” gli utenti comuni pensano a chissà quali procedure in grado di proteggere da attacchi hacker, molto costose e complesse.
In realtà quella è solo una parte del mondo legato alla sicurezza informatica e, nella maggior parte dei casi, non è la soluzione a tutti i problemi.
Ed aggiungiamo al nostro ragionamento che i dispositivi elettronici, per loro natura, sono esposti a rischi di danneggiamento, obsolescenza, smarrimento e furto. I nostri “contenitori” di dati elettronici (pc, notebook, smartphone, server) non sono esenti da rischi di danneggiamento, anzi, la rottura di hard disk è un fenomeno estremamente frequente: vari studi statistici hanno calcolato che la percentuale di hard disk rotti nel ciclo di vita utile (quindi prima della dismissione per obsolescenza) varia da un minimo del 1% ad un massimo del 5% sul totale degli hard disk presenti nel mondo. Si tratta di una percentuale estremamente elevata e che dovrebbe far riflettere tutti coloro i quali memorizzano le informazioni vitali per la propria azienda in un solo pc senza aver coscienza del se e del come vengono eseguiti i backup.
Siamo quindi arrivati alla definizione che i processi di backup dei dati elettronici sono uno degli elementi cardine di un sistema di sicurezza informatica.
Proviamo a descrivere alcuni concetti chiave in ambito backup:
-
Repliche e copie speculari (dischi in raid). Alcuni sistemi (ad esempio workstation desktop e server) danno la possibilità di installare più di un hard disk interno, permettendo l’attivazione di sistemi di replica immediata dei dati. Si tratta dei c.d. sistemi RAID: lo scopo è quello di permettere al sistema di funzionare anche in caso di rottura, ad esempio, di uno dei due dischi presenti nel sistema.
-
Frequenza. Definire ogni quanto tempo viene eseguito un backup è fondamentale. Si può essere disposti a perdere una settimana di lavoro? O anche un intero giorno di lavoro? Quando si disegna un sistema di backup la frequenza è una variabile critica da valutare con attenzione, anche in base alle risorse disponibili (spazio libero nel sistema che raccoglie il backup, banda disponibile per la trasmissione dei dati a sistemi remoti). Oltre ai backup periodici, un'altra strategia importante è il backup in tempo reale. Questa tecnica prevede il monitoraggio costante delle modifiche ai dati e la loro copia immediata in un sistema di backup appena vengono apportate modifiche. In questo modo, i cambiamenti sono protetti quasi istantaneamente, riducendo al minimo la perdita di dati in caso di problemi. Il backup in tempo reale è particolarmente cruciale per le attività che richiedono una continuità operativa senza interruzioni.
-
Dispositivi di backup. Si può parlare di semplici hard disk esterni, di sistemi NAS più o meno complessi ma il tema di fondo è che i backup devono risiedere in un dispositivo fisico differente da quello di residenza dei dati elettronici, per vari motivi:
-
Se si copiano i dati nello stesso hard disk in cui risiede l’archivio principale, cosa succede quando si rompe l’hard disk?
-
Se utilizziamo un hard disk esterno ed il sistema viene colpito da un virus ransomware è molto probabile che anche i dati copiati nell’hard disk esterno vengano compromessi. Inoltre, un danno più importante al sistema principale (incendio, furto) si ripercuoterebbe direttamente anche sull’archivio di backup
-
-
Localizzazione e geolocalizzazione. Per ovvi motivi organizzativi e di disponibilità di rete, si tende ad installare il sistema di backup principale all'interno della stessa rete in cui risiedono i dati (se possibile ad una certa distanza dal dispositivo elettronico che contiene l’archivio principale). Ciò potrebbe non essere sempre sufficiente a minimizzare il rischio di perdita dei dati: per questo si adottano dei sistemi di dislocazione geografica per i backup secondari. Lo scopo diventa quello di avere a disposizione un’ultima spiaggia da cui attingere nel caso i sistemi di backup principali abbiano, per qualche motivo, fallito il proprio compito. Ad esempio, può essere una buona prassi quella di disporre di un hard disk esterno nella sola disponibilità dell’amministratore dell’azienda che, a cadenze periodiche, viene collegato al sistema di backup per ricevere una copia aggiornata (possibilmente compressa e criptata) e poi viene scollegato e conservato presso l’abitazione
7) Il dato elettronico – vigilanza
Nel disegnare un sistema di backup è fondamentale lavorare anche sull’aspetto “notifiche” e “vigilanza”. Ad ogni processo di backup completato il sistema devo inviare al responsabile dei controlli una notifica dell’avvenuto backup o, in caso di problemi, del motivo per cui un backup non è andato a buon fine.
Troppo spesso le aziende pensano di essere protette e poi si accorgono, al verificarsi di un evento che necessita del recupero di dati, che il sistema di backup aveva esaurito lo spazio disponibile e che l’ultima copia risaliva a mesi prima (se non anni).
In questo senso l’accoppiata e-mail dettagliata + sistema di vigilanza diventa indispensabile per non correre rischi. All’interno della mail viene riportato il dettaglio completo del risultato del processo di backup: importantissimo per comprendere, in caso di errori, quale sia il problema. Un sistema di vigilanza, invece, serve a notificare un potenziale problema prima che questo accada: ad esempio, è possibile ricevere delle notifiche ancor prima che la memoria del dispositivo di backup sia esaurita per dare tempo all’azienda di apportare i correttivi opportuni. Inoltre, un sistema di vigilanza consente a consulenti esterni di intervenire per conto dei clienti solo quando si verifica il problema (ad esempio possono apparire degli alert in una console di controllo solo quando il processo di backup non va a buon fine)
8) Il dato elettronico – verifiche periodiche
Le simulazioni di eventi critici sono molto utili a ridurre il rischio di perdita di dati elettronici o a ridurre il tempo di indisponibilità degli stessi.
Per questo periodicamente è utile fare dei controlli all’interno degli archivi di backup per assicurarsi che, nel caso di necessità, i dati elettronici copiati siano effettivamente funzionanti, completi ed utilizzabili.
9) Aspetti legati alla privacy
Tutto ciò che abbiamo finora descritto è forse l’elemento più importante che compone le fondamenta del principio di accountability (responsabilizzazione) privacy.
Un sistema di protezione dei dati elettronici crea indirettamente una protezione ai dati personali in essi contenuti, permettendo all’azienda di ottemperare a quegli obblighi di responsabilità che la normativa impone ai titolari del trattamento privacy.
10) Conclusioni
E’ chiaro che l’applicazione tecnica dei concetti espressi in questo intervento sono di competenza di esperti in materia di sicurezza informatica: le imprese turistiche non devono fare tutto da sole, è sempre importante affidarsi per queste problematiche ad un partner tecnologico affidabile che possa aiutare a creare il sistema di protezione dei dati più adatto alle esigenze aziendali e che possa intervenire con rapidità e competenza nel momento del bisogno ripristinando il funzionamento dei sistemi informatici e permettendo la continuità operativa.
Prevenire è meglio che curare? NO
La prevenzione, in questo caso, è già la cura. Poiché senza prevenzione (backup) in alcuni casi la cura non è possibile.