Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
La documentazione tecnica di rete è spesso assente o incompleta nelle infrastrutture IT di PMI e contesti domestici, rendendo ogni intervento un’attività di ricostruzione complessa. Firewall non tracciati, credenziali condivise e sistemi obsoleti aumentano rischi operativi, tempi e costi. Le norme ISO/IEC 27001, NIS2 e GDPR impongono tracciabilità e responsabilità, rendendo la documentazione un elemento essenziale per sicurezza, continuità operativa e tutela legale di tecnici e clienti.
La documentazione tecnica delle infrastrutture di rete, dei sistemi digitali e delle configurazioni, oggi è un elemento ormai imprescindibile per le aziende che operano in conformità ai regolamenti europei.
Ma cosa accade nel contesto delle PMI? In particolar modo, qual è il ruolo della documentazione nelle piccolissime realtà italiane e nelle abitazioni moderne, sempre più caratterizzate da infrastrutture di rete evolute?
Nella pratica, proprio in questi contesti la documentazione risulta assente o incompleta, trasformando attività ordinarie di gestione, manutenzione e assistenza tecnica in operazioni più complesse, lente e dipendenti dall’esperienza del singolo tecnico.
Nella maggior parte degli interventi, la criticità principale non riguarda solo il guasto o la tecnologia, ma l’assenza totale di informazioni.
In più occasioni mi è capitato di intervenire su infrastrutture dove nemmeno il cliente era in grado di indicare chi avesse configurato il firewall o quali accessi fossero realmente attivi. In questi casi, il lavoro tecnico si trasforma inevitabilmente in un’attività di indagine e ricostruzione, con un aumento significativo di tempi, costi e margine di errore.
Un esempio ricorrente è quando intervengo in una nuova infrastruttura di rete dove trovo:
Si vanno ad aggiungere ulteriori problematiche:
Ovviamente la lista non è completa, rappresenta solo l’inizio delle problematiche che riscontro nelle PMI e nelle nostre abitazioni. In questi contesti, ogni attività richiede tempo aggiuntivo per ricostruire ciò che è stato fatto in precedenza. Questo comporta costi maggiori, margini di errore più elevati e difficoltà anche nelle operazioni più semplici di manutenzione e assistenza.
Un’infrastruttura senza documentazione è un’infrastruttura senza memoria, e una rete senza memoria non è gestibile in modo efficace.
La documentazione tecnica non è un documento generico o una semplice relazione di fine lavori, ma si tratta di un insieme strutturato di informazioni che descrive in modo chiaro e completo ciò che è stato realizzato.
In un’infrastruttura di rete tipica composta da gateway, firewall, switch e access point, la documentazione dovrebbe includere:
A questi punti si deve aggiungere una valutazione dei rischi anche semplificata, utile per comprendere e giustificare le scelte progettuali adottate.
Quando la documentazione è costruita su un modello chiaro, la sua redazione diventa veloce e ripetibile, rappresentando la conclusione del lavoro svolto.
La documentazione oltre ad avere un valore tecnico, è anche probatorio: descrive ciò che è stato fatto e consente di dimostrare nel tempo le scelte adottate. La documentazione deve evolvere insieme all’infrastruttura, mantenendo il proprio valore solo se aggiornata nel tempo in base alle modifiche effettuate.
Le principali norme tecniche confermano l’esigenza documentale in modo chiaro, indicandone l’importanza, anche se spesso vengono percepite come lontane dalla realtà operativa.
Nel caso del cablaggio strutturato, le norme CEI EN 50173 e CEI EN 50174 richiedono la presenza di documentazione relativa all’impianto, inclusi schemi, identificazione dei punti di rete e i risultati delle verifiche strumentali. In questo contesto, la documentazione rappresenta un elemento obbligatorio del lavoro eseguito.
Sul piano della sicurezza delle informazioni, la norma ISO/IEC 27001:2022 introduce principi fondamentali come la gestione delle configurazioni, il controllo delle modifiche e la tracciabilità. Tutti questi aspetti richiedono una base documentale per essere applicati e verificati.
Il Regolamento UE 2016/679 (GDPR) rafforza ulteriormente questo approccio attraverso il principio di responsabilizzazione (accountability). Gli articoli 5, 24 e 32 richiedono che il titolare del trattamento adotti misure tecniche, organizzative adeguate e che sia in grado di dimostrarle.
Per le organizzazioni soggette alla Direttiva NIS2, la gestione del rischio e la sicurezza delle reti e dei sistemi implicano necessariamente la presenza di documentazione tecnica aggiornata e verificabile.
Nel loro insieme, questi riferimenti delineano un principio chiaro: la sicurezza non si basa solo su ciò che viene fatto, ma anche su ciò che viene documentato.
Le normative sulla sicurezza richiedono che le misure adottate siano dimostrabili, pertanto in questo scenario, la documentazione rappresenta il punto di collegamento tra attività tecnica e responsabilità legale, anche nelle piccole realtà italiane e nelle nostre abitazioni.
La documentazione tecnica oltre a rappresentare un adempimento e una buona pratica, costituisce uno strumento di tutela concreta per tutte le parti coinvolte ed è uno degli elementi più importanti per garantire la continuità operativa, la trasparenza e le responsabilità.
Per il cliente, significa avere piena consapevolezza di ciò che è stato realizzato:
Per il tecnico o l’azienda che gestisce l’infrastruttura di rete, significa operare in modo strutturato e protetto:
Anche in questo contesto, la documentazione assume un valore spesso sottovalutato, ossia diventa una vera e propria prova del lavoro eseguito.
Nel settore IT e impiantistico, ogni intervento rappresenta una prestazione professionale, quindi comporta responsabilità specifiche, disciplinate anche dal Codice Civile.
Il professionista deve operare con la diligenza richiesta dalla natura dell’attività svolta (art. 1176 c.c.) e risponde di eventuali inadempimenti (art. 1218 c.c.). Anche nei casi di particolare complessità tecnica, resta essenziale poter dimostrare le scelte adottate e il corretto svolgimento dell’attività (art. 2236 c.c.).
La documentazione tecnica, ripeto, non serve solo a descrivere un impianto o una configurazione, ma serve a dimostrare:
Un esempio pratico riguarda la gestione delle reti wireless. Quando viene progettata una segmentazione tra rete interna e la rete ospiti, accompagnata da indicazioni precise sull’utilizzo e sulla gestione degli accessi, la documentazione consente di attribuire in modo chiaro le responsabilità.
Se il cliente decide di condividere credenziali in modo non conforme alle indicazioni ricevute, questa scelta rientra sotto la sua responsabilità. Senza questi documenti, l’errore del cliente non è dimostrabile e la responsabilità rimane spesso ambigua se non del tecnico che ha provveduto a configurare il sistema.
Lo stesso principio si applica a molte altre situazioni:
In tutti questi casi, la differenza tra un lavoro “fatto bene” e un lavoro realmente completo è proprio la presenza della documentazione.
Documentare un’infrastruttura consente di mantenere continuità operativa nel tempo, evitando interventi ricostruttivi, allo stesso tempo, introduce trasparenza: il cliente comprende cosa è stato realizzato e con quali logiche.
Ne deriva anche una chiara attribuzione delle responsabilità come indicato in precedenza, elemento fondamentale nei contesti professionali e non solo.
Non voglio essere ripetitivo, ma è fondamentale comprendere queste poche righe: nel momento in cui un intervento non viene documentato, il tecnico perde la possibilità di dimostrare le proprie scelte, esponendolo a contestazioni, incomprensioni e potenziali responsabilità difficili da gestire.
Al contrario, una documentazione chiara e completa, protegge il professionista, valorizza il lavoro svolto e rafforza la fiducia del cliente.
La documentazione tecnica deve essere uno standard operativo, parte integrante del processo e non un’attività accessoria.
Altrettanto importante è capire come redigere la documentazione in modo semplice, efficace e sostenibile nel tempo, in particolare vediamo come condividerla correttamente con i nostri clienti.
Il primo passo consiste nel definire un nostro modello standard. Non serve creare documenti particolarmente complessi, basta organizzare le informazioni in modo chiaro e coerente non solo per il tecnico che redige il documento, ma anche per chi interverrà in futuro.
Dal punto di vista operativo, consiglio di integrare la documentazione direttamente nel processo che va dal sopralluogo alla consegna del lavoro. In questo modo, non si crea un’attività aggiuntiva, ma si completa in modo naturale il lavoro svolto storicizzandone le fasi.
Un aspetto che spesso blocca l’adozione della documentazione tecnica è la scelta degli strumenti. In molti casi si pensa che sia necessario utilizzare software complessi, piattaforme dedicate con costi importanti, soprattutto per le piccole realtà.
In realtà, per la maggior parte dei casi, è possibile realizzare una documentazione efficace utilizzando strumenti già disponibili nelle nostre attività.
Suite come Microsoft 365 o Libre Office offrono tutto il necessario:
Ovviamente ho riportato solo degli esempi, in quanto le tabelle di configurazioni, immagini e altro possono essere inserite all’interno di uno dei tre software scelti.
L’aspetto più importante a questo punto non è il software utilizzato, ma il metodo: una struttura chiara e coerente.
Una volta redatta, la documentazione deve essere consegnata al cliente in modo corretto e sicuro, con un formato standard come un file PDF. Questo passaggio viene spesso sottovalutato, ma ha la stessa importanza della redazione stessa.
Si tratta infatti di documentazione riservata, che può contenere informazioni sensibili come configurazioni di rete, indirizzi IP, accessi e la struttura della rete con le planimetrie.
Per questo motivo, è importante evitare modalità di consegna non sicure come, ad esempio, l’utilizzo di chiavette USB perché potrebbero contenere malware, comportano un rischio di smarrimento, copie non controllate o cancellazioni dei documenti.
Una modalità preferibile e sicura consiste nell’utilizzo di sistemi di condivisione tramite cloud o servizi, come: OneDrive business, Google Drive business, piattaforme con controllo degli accessi e tracciabilità.
Questi strumenti, utilizzati correttamente, consentono di mantenere il controllo sul file o più file riducendone i rischi, ma attenzione! Una buona pratica consiste nel condividere il documento tramite link, inviandolo tramite PEC o altri sistemi tracciati, aggiungendo come protezione una password robusta.
Inviare la password creata tramite un canale di comunicazione separato, impostare una scadenza temporale breve del link e limitarne l’accesso, quando possibile, alla sola visualizzazione o al download controllato.
In questo modo si aumenta la sicurezza e si riduce il rischio di diffusione non autorizzata.
In alcuni casi, in base alla sensibilità delle informazioni contenute, può essere utile applicare una protezione aggiuntiva direttamente sul file, ad esempio, convertendo il file in PDF protetto con una password robusta e con limitazioni per la visualizzazione, modifica o copia.
In conclusione, in un settore sempre più orientato alla sicurezza, alla responsabilità e alla conformità normativa, la documentazione tecnica rappresenta oggi un requisito fondamentale. Ignorarla significa accettare un rischio operativo, tecnico e legale che oggi non è più sostenibile.
QUATTRO LEZIONI PER COMPRENDERE IL DARKWEB ED ENTRARE DA PROTAGONISTI NELLA CYBER THREAT INTELLIGENCE.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]
Dopo il successo delle scorse edizioni, Red Hot Cyber è lieta di annunciare una nuova live-class del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi e-learning pre-registrati, queste lezioni online in tempo reale, condotte dal professor Pietro Melillo, offrono un’esperienza formativa interattiva e coinvolgente, ideale per approfondire i contenuti e affrontare casi pratici.
Le Live Class sono progettate per garantire un apprendimento mirato e personalizzato, con un massimo di 14 partecipanti per sessione. Questo consente di adattare il percorso formativo alle esigenze specifiche, ma anche di mantenere alta la qualità: i posti sono limitati e nelle scorse edizioni sono andati in sold-out due settimane prima dell’inizio. Prenota subito per assicurarti il tuo posto!
Risorse online:
Al termine del corso, potrai accedere all’esclusivo Laboratorio di Intelligence DarkLab, un ambiente operativo dove mettere in pratica le competenze acquisite. Sarà l’occasione per sperimentare attività di investigazione nel Dark Web, analisi delle minacce e redazione di report di intelligence e ricerche approfondite.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]