Una buona gestione dei dati per un utilizzo efficace delle informazioni

Le aziende moderne generano ogni giorno un’enorme quantità di dati. Grazie all’elaborazione elettronica dei dati (EDP), la raccolta e l’organizzazione delle informazioni non è più un problema. I dati dei clienti possono essere raccolti in banche dati e la gestione dei collaboratori può essere automatizzata. Per farlo, è sufficiente fornire al computer una quantità di dati sufficiente: al resto pensano gli algoritmi.

Ciò nonostante, la sempre maggiore interconnessione e il crescente flusso di dati creano nuovi problemi. Aumenta il numero di collaboratori che devono poter accedere alla stessa banca dati, possibilmente contemporaneamente. I dati devono poter essere raccolti un’unica volta ed essere sempre consultabili. Cosa ancora più importante, devono essere messi al sicuro contro eventuali perdite causate da difetti dell’hardware o da errori di utilizzo, e devono essere protetti da hacker e altri furti di dati in Internet. Non da ultimo, occorre tenere conto degli aspetti giuridici, ossia dei periodi di conservazione, delle dichiarazioni di consenso alla conservazione dei dati personali e della nomina di responsabili per la protezione dei dati.

La complessità di questo tema ha portato allo sviluppo di una nuova disciplina dell’informatica: la gestione dei dati. Anche la ricerca si occupa di questo tema. Il settore Data Science è il nuovissimo ramo della scienza che, tra le altre cose, studia l’archiviazione intelligente e il collegamento dei dati, nonché la ricerca efficace in grandi banche dati.

La gestione dei dati (o data management) prevede determinati requisiti relativi all’utilizzo dei dati digitali. Il termine si riferisce a un processo, più che a singole misure. La raccolta e l’immissione dei dati richiedono infatti, già di per sé, l’adozione di procedure organizzate. La minimizzazione e la qualità dei dati sono due fattori da tenere in considerazione. Oltre alla protezione dei contenuti, i dati devono essere efficaci per la finalità specifica per cui vengono raccolti, vale a dire che la funzionalità dei dati non deve in nessun caso venire meno. Infine, nell’ambito della gestione dei dati occorre anche chiedersi quali dati devono essere archiviati e per quanto tempo. I dati non necessari devono poter essere individuati rapidamente e cancellati in modo sicuro.

Per pianificare l’utilizzo dei dati, è necessario per prima cosa chiedersi con quali tipologie di dati si ha a che fare. A questo scopo, la suddivisione in categorie può essere utile per procedere in modo sistematico senza tralasciare nessun ambito:

• Dati personali: informazioni che si riferiscono direttamente a persone specifiche; esempi classici sono nomi, numeri di telefono e indirizzi. A questa tipologia appartengono tuttavia anche i dati di misurazione e il comportamento di acquisto. Questi possono essere dati dei clienti, dati dei propri collaboratori o dati di terze persone e godono di una protezione speciale.
• Dati aziendali da proteggere: dati aziendali interni come dati relativi alla contabilità, documenti fiscali o segreti aziendali; ogni azienda ha un particolare interesse a garantire un utilizzo accurato di questi dati. È tuttavia oltremodo opportuno definire, nell’ambito della gestione dei dati, quali informazioni appartengono a quest’ambito.
• Dati secondari: dati generati nell’ambito di una iniziativa destinata a un’altra finalità; un esempio è rappresentato dalla videosorveglianza, generalmente installata per proteggere da rapine e furti. Il sistema registra probabilmente anche le targhe dei veicoli dei clienti. Un altro esempio sono i protocolli di log all’interno della rete di un’azienda, che potrebbero memorizzare gli indirizzi IP degli utenti.
• Dati pubblici: dati pubblicati e divulgati intenzionalmente; comprendono le informazioni pubblicate sui siti Internet e sulle brochure aziendali. A questo riguardo, è importante prestare attenzione al rispetto delle normative in materia di diritti d’autore e alla protezione dei dati di proprietà, ad esempio immagini pubblicate, slogan pubblicitari e loghi aziendali. Questi ultimi possono essere protetti in base alle norme contenute nel Codice della Proprietà industriale (CPI) relative ai diritti in materia di proprietà intellettuale in Italia.

La gestione dei dati ha il compito di integrare tutti i processi, dalla raccolta all’archiviazione o alla cancellazione dei dati, tenendo conto dell’efficienza di tali processi. Viene considerata la “durata di vita” complessiva dei dati. Da qui deriva il concetto di Data Life Management (DLM).

Il trattamento dei dati inizia con la raccolta dei dati stessi. A tal riguardo è importante il principio di minimizzazione dei dati: devono essere raccolte solo le informazioni strettamente necessarie. Quest’obbligo è attualmente prescritto anche nel Regolamento generale sulla protezione dei dati (GDPR). Secondo il GDPR, i dati possono essere elaborati solo se i soggetti interessati hanno dato il loro consenso oppure qualora l’elaborazione sia necessaria per motivi giuridici, ad esempio nell’ambito della definizione di un contratto.

La qualità dei dati può essere garantita al meglio al momento dell’immissione. Una raccolta dei dati accurata permette di evitare inutili richieste successive ed elaborazioni ripetute. Le informazioni dovrebbero inoltre essere salvate subito nel formato in cui serviranno in seguito. Ogni ulteriore trasmissione o conversione può infatti determinare errori nella banca dati.

Molto importante è la scelta del luogo di conservazione e del formato di conservazione dei dati. Il luogo di conservazione può essere, oltre all’archivio locale, anche un backup nella memoria cloud. Entrambe le soluzioni presentano vantaggi e svantaggi. Le memorie locali possono essere protette in modo più semplice dall’accesso non autorizzato di terze parti. Le memorie cloud, per contro, sono più facilmente scalabili e a prova di guasto. Per la conservazione di dati molto importanti sono disponibili soluzioni combinate.

In caso di elevate quantità di dati, le banche dati sono la soluzione di archiviazione privilegiata. Se si utilizza un software particolare, ad esempio per la contabilità o la gestione del magazzino, la questione del luogo di conservazione non sussiste. Quest’ultimo deve tuttavia essere compatibile con sistemi esterni e soluzioni di esportazione dati, ad esempio con le interfacce di raccolta dati finalizzate ai controlli fiscali a cura delle autorità tributarie nazionali.

La sicurezza dei dati è un aspetto importante e complesso della gestione dei dati. I dati devono essere protetti da perdita, modifiche accidentali e accessi non autorizzati. L’Agenzia per l’Italia digitale e l’Organismo di certificazione della sicurezza di sistemi e prodotti nel settore della tecnologia della comunicazione e dell’informazione (OCSI) offrono informazioni utili e molto dettagliate a riguardo. Le certificazioni secondo ISO 27001 (come la certificazione sulla sicurezza delle informazioni), invece, rimandano all’Allegato B - Disciplinare tecnico in materia di misure minime di sicurezza del Decreto Legislativo 30 giugno 2003, n. 196 "Codice in materia di protezione dei dati personali".

Tra i possibili pericoli figurano:

• danni all’hardware causati da incendio, acqua o sovratensione
• perdita di dati a causa di errori di utilizzo
• perdita di dati o malfunzionamento dei sistemi a causa di software dannoso (trojan di crittografia, furto di dati)
• perdita di dati a causa di errori del software
• perdita a causa di furto

Per contrastare i vari rischi, le soluzioni comprendono non solo meccanismi di protezione basati su software, ma anche misure organizzative come sistemi di allarme antincendio e antieffrazione.

È buona norma osservare i principi seguenti:

• aggiornamenti periodici: è consigliabile valutare cosa sia più conveniente tra aggiornamenti automatici e manuali. Il vantaggio degli aggiornamenti automatici consiste nel fatto che non si rischia di dimenticarsene. Gli aggiornamenti manuali, per contro, permettono di evitare update errati.
• Password sicure: anche per questo aspetto esistono diverse strategie. È consigliabile implementare prescrizioni che obblighino i collaboratori a utilizzare password complesse. È inoltre opportuno che le password vengano modificate periodicamente. Tuttavia, se si esagera con la complessità e la frequenza del cambio password, si rischia che le password vengano annotate e lasciate presso la postazione di lavoro.
• Strategia di backup: uno dei punti più importanti è senza dubbio adottare la giusta strategia di backup. I dati importanti dovrebbero essere salvati in modo quanto più possibile completo e regolare su supporti esterni conservati separatamente. Più difficile è tuttavia organizzare il backup delle banche dati. In questo caso non è infatti possibile, tra le altre cose, copiare i file aperti durante il loro utilizzo. Inoltre, il backup deve essere eseguito dall’applicazione utilizzata oppure mediante speciali software come MySQLDump.
• Protezione antivirus/firewall: una protezione antivirus aggiornata è imprescindibile in qualunque sistema informatico. Inoltre, a seconda della complessità della rete, è raccomandabile utilizzare un firewall ed eventualmente un Intrusion Detection System.

I backup dovrebbero essere eseguiti in modo automatico. In caso contrario sussiste un rischio molto elevato che, per mancanza di tempo, pigrizia o dimenticanza, non vengano eseguiti. I dati importanti devono essere salvati secondo una logica incrementale, ossia in diverse versioni. Questo significa innanzitutto che vengono salvati solo i set di dati modificati. Se possibile, è buona norma conservare per un certo periodo di tempo anche le versioni precedenti affinché, in caso di cancellazione accidentale, sia possibile ricostruire i dati.

Un tema di grande attualità riguarda la messa in sicurezza dei backup effettuati. I trojan di crittografia tentano di compromettere qualunque memoria alla quale sia possibile accedere. Se i backup si trovano su una memoria di rete o su supporti di memoria esterni collegati in modo permanente, nel peggiore dei casi verranno crittografati anche i backup. Per proteggersi da questo inconveniente è buona norma utilizzare un sistema che impedisca l’accesso ai normali utenti oppure collegare i supporti di memoria solo per il tempo necessario all’esecuzione del backup.

La protezione dei dati deve essere distinta dalla sicurezza dei dati, sebbene questi due concetti presentino alcuni punti in comune. L’obiettivo è in ogni caso impedire che soggetti non autorizzati possano accedere a dati riservati. A questo scopo è necessario, da una parte, impedire l’accesso dall’esterno, cosa che richiede l’adozione di misure correlate alla sicurezza dei dati. Dall’altra parte bisogna impedire un accesso interno ai dati personali. Questo richiede l’implementazione, all’interno del software utilizzato, di un sistema di amministrazione dei diritti con il quale negare a singoli collaboratori l’accesso ai dati oppure consentire una visualizzazione solo parziale di determinati dati. Un’ulteriore protezione si ottiene con il trasferimento e l’archiviazione crittografati dei dati. In questo modo, i dati sensibili vengono protetti dagli accessi sull’hardware, ad esempio in caso di intrusione o di accesso di collaboratori non autorizzati.

La gestione dei dati deve essere integrata in modo quanto più pratico e intuitivo possibile nelle procedure aziendali. Si favorisce così la massima accettazione da parte dei collaboratori e la migliore efficacia. Alcuni degli obiettivi menzionati sono inoltre funzionali a un aumento dell’efficienza delle procedure aziendali. La raccolta di dati non necessari causa un inutile dispendio di tempo e rischia di indisporre i clienti. Un’archiviazione sicura e ordinata dei dati migliora la produttività.

Per le aziende può quindi essere vantaggioso introdurre una direttiva di data governance che definisca le modalità di gestione dei dati all’interno dell’azienda. Questo riguarda in particolare la qualità dei dati e le possibili migliorie conseguibili con ausili quali le autocorrezioni. Vengono inoltre definite una terminologia e delle formulazioni unitarie.

Alle aziende spetta anche il compito di archiviazione dei dati non più necessari. Vanno archiviati i dati per i quali sussiste un obbligo legale alla conservazione, come ad esempio nel caso di fatture e documenti fiscali. Questo aspetto deve pertanto essere considerato parte integrante del piano di gestione dei dati.

Conservare questi dati su supporti separati può essere vantaggioso: si riduce il volume dei backup ricorrenti dei dati ed è possibile garantirne la protezione. Si tenga presente, tuttavia, che non tutti i supporti di memoria sono adatti per l’archiviazione. I dischi rigidi, ad esempio, necessitano di essere accesi regolarmente per accertarne il corretto funzionamento. I supporti dati ottici, come i CD, sono sensibili agli influssi esterni e hanno comunque una durata di vita limitata. La soluzione ottimale è costituita dalle unità a nastro magnetico. Lo svantaggio di questi dispositivi sta nei costi di acquisto elevati e nella scarsa maneggevolezza. Il vantaggio, tuttavia, è costituito dai prezzi economici dei nastri di memorizzazione e dalla lunga durata di vita.

I dati non più necessari devono essere cancellati. Con la cancellazione dei dati, l’utente viene sollevato dalla responsabilità per la loro sicurezza. Un piano di gestione dei dati deve pertanto prevedere che tali dati possano essere cancellati in modo selettivo e separato. Soprattutto i dati personali devono essere cancellati in modo sicuro.

La cancellazione dei dati con le funzioni del sistema operativo ha generalmente come risultato quella di rendere disponibili i dati per la sovrascrittura. Di fatto, tuttavia, questi dati rimangono sul disco rigido fino a quando non emerge la richiesta di spazio in memoria ed essi vengono sovrascritti.

Oltre alle disposizioni del GDPR, ci sono altre regole che obbligano le aziende a garantire la protezione dei dati. Se si accertano negligenze che determinano un utilizzo improprio dei dati personali, i titolari o gli incaricati possono essere ritenuti responsabili. La base giuridica è costituita dalle seguenti leggi:

• Codice Civile
• Codice per la protezione dei dati personali (comunemente noto anche come "codice della privacy")

La nomina di un responsabile per la protezione dei dati all’interno delle aziende private è necessaria solo nelle aziende con 0 o più dipendenti.

L’organizzazione della gestione dei dati dipende dalle dimensioni della singola azienda. Sul mercato sono disponibili diversi tipi di soluzioni integrate. Alcune sono concepite in particolare per la valutazione e l’utilizzo ottimale dei dati disponibili, ad esempio per finalità pubblicitarie. Un altro approccio è orientato all’incremento della produttività tramite l’utilizzo di tutti i dati disponibili. Possibili soluzioni sono:

• I sistemi Enterprise Resource Planning (ERP): questi sistemi offrono l’approccio più completo. Sugli ERP vengono registrate e tenute in considerazione tutte le risorse dell’azienda, le quali comprendono personale, mezzi di lavoro e materiali. Tra i produttori commerciali più noti figurano SAP, Sage, Oracle e Microsoft. Esistono tuttavia anche soluzioni software gratuite come Odoo e OpenZ.
• Master Data Management (gestione centralizzata dei dati master): centralizzazione ed elaborazione dei dati critici di un’azienda, tra cui i dati dei collaboratori, quelli dei clienti e le informazioni sui mezzi di lavoro. Lo scopo è ottenere una qualità uniforme dei dati e un aumento della loro fruibilità. Questo approccio viene utilizzato soprattutto nei sistemi ERP.
• Sistemi di Content Management (CMS): si tratta prevalentemente di sistemi di gestione informatizzati, ad esempio sotto forma di un’intranet centrale per l’azienda. In ragione della loro elevata flessibilità, sono possibili anche altri aspetti come la gestione dei moduli e l’integrazione di banche dati.
• Sistemi di gestione dei documenti (DMS): si tratta di una branca della gestione dei dati; questi sistemi mettono a disposizione dei moduli e offrono funzioni quali la conservazione e l’archiviazione.

La gestione dei dati è un processo dinamico che richiede un adeguamento continuo alle esigenze del momento. Ciò determina ogni volta nuove sfide.

I volumi di dati aumentano sempre più. Ne derivano requisiti elevati in termini di scalabilità delle memorie e di capacità di backup, nonché di organizzazione e reperibilità dei dati necessari. Maggiori sono le quantità di dati che si possono raccogliere, più importante diventa l’aspetto della minimizzazione dei dati. Filtrare le informazioni importanti dovrebbe pertanto diventare un aspetto sempre più prioritario.

I responsabili dei sistemi di rete si trovano a far fronte a pericoli sempre nuovi. Tra questi, il furto di informazioni perpetrato con tecniche di social engineering e il sabotaggio mediante trojan di crittografia, tanto per citarne alcuni. Più un’azienda digitalizza il proprio patrimonio di dati, più aumenta la sua dipendenza dalla funzionalità del sistema utilizzato. Per questo è importante tenersi costantemente aggiornati sui nuovi rischi e adottare misure preventive contro eventuali guasti dell’hardware o l’impossibilità di accedere ai propri sistemi.

L’introduzione del GDPR ha portato molta incertezza e ha richiesto alle aziende un elevato dispendio di tempo e risorse per adeguarsi. Ciò nonostante non è improbabile che a questo regolamento seguiranno altre prescrizioni o modifiche alle leggi vigenti che potranno riguardare anche il piano di gestione dei dati.

Quando si parla di gestione dei dati, occorre mettere in conto anche la possibilità che si rendano necessarie modifiche della struttura o delle procedure di un’azienda. Fare prevenzione in tal senso significa utilizzare sistemi espandibili o facili da migrare. Un ulteriore dispendio deriva inoltre dalla necessità di formazione periodica dei collaboratori sulla data governance aziendale.

È chiaro che il tema della gestione dei dati richiede tempo, che va sottratto alla propria attività principale. Tuttavia, se considerate con attenzione le singole misure, vi renderete subito conto che sono assolutamente necessarie e opportune. Si tratta di misure che aiutano a rispettare le normative, garantiscono una maggiore sicurezza dei dati o aumentano l’efficienza delle procedure di lavoro. Si tratta dunque di tempo ben investito.