La Sicurezza dei Dati nel BIM
I progetti sviluppati con il metodo BIM tengono conto di una grande mole di dati e informazioni. Per questo è fondamentale avere una buona capacità di gestione e di protezione di questi dati (oltre che una buona conoscenza dei termini informatici). Approfondiamo questi temi e perché è importante costruire il piano di valutazione del rischio e della sicurezza fin dall’inizio del progetto, seguendo le linee guida della norma ISO 19650 – parte 5.
Questa mattina, nei pressi dell’auto parcheggiata di fianco alla mia, noto una chiavetta USB a terra. Tra me e me penso: i dati, Santo Cielo, i dati…
Avrebbe potuto essere una chiave con dati crittografati ma anche alla portata di chiunque avesse avuto voglia di dare un’occhiata al suo contenuto. I dati, soprattutto per chi lavora in ambito BIM, sono importanti e dobbiamo esserne ben consapevoli.
Level of Information Need
- Quali sono le informazioni minime necessarie per un determinato obiettivo;
- Chi sta chiedendo quelle informazioni e chi le fornisce;
- Quali informazioni sono necessarie ad ogni fase di progettazione;
- Come identificare gli oggetti con un sistema di classificazione.
Per descrivere un oggetto, ad esempio, abbiamo una serie di informazioni che concorrono alla sua descrizione. Potremmo scrivere un tema su un complemento d’arredo d’autore, ma nel caso del BIM non è la strada giusta. Sebbene le caratteristiche che andremmo a indicare saranno tutte corrette, dobbiamo suddividere le informazioni in base al loro scopo: le misure generali sono adatte a descrivere un progetto di massima; la spesa e i tempi di consegna vanno segnalate nella gestione dei costi; i materiali e i colori serviranno per l’interior design; e così via.
Ciò che manca in questo discorso è la sicurezza: lo scudo contro la perdita, o peggio, il furto dei dati del nostro studio di progettazione.
Il concetto di protezione dei dati fa riferimento alla salvaguardia delle informazioni digitali da intrusioni non autorizzate, danneggiamenti o furti per l’intera durata del loro ciclo di utilizzo. Questo concetto abbraccia tutte le dimensioni della sicurezza delle informazioni, spaziando dalla protezione fisica dell’hardware e dei dispositivi di stoccaggio, fino alla gestione degli accessi e dei controlli amministrativi, nonché alla sicurezza logica delle applicazioni software.
Bisogna tenere in considerazione che non si tratta solo di protezione, ma anche di trattamento dei dati, della loro tutela e conservazione in ambito aziendale: i concetti di questo articolo valgono sempre, non solo in caso di attacco informatico.
Entra qui in gioco la parte 5 della ISO 19650, dal lungo titolo “Organizzazione e digitalizzazione delle informazioni relative all’edilizia e alle opere di ingegneria civile, incluso il Building Information Modelling (BIM) – Gestione informativa mediante il Building Information Modelling – Parte 5: Approccio orientato alla sicurezza per la gestione informativa”.
Si tratta di una norma internazionale adottata in Europa, pubblicata nel 2020 ed entrata a far parte del nostro ordinamento nel dicembre del 2022. È stata richiamata espressamente nel c.d. “Decreto Baratono” del 2021 all’articolo 7, comma 5 bis, sottolineando l’importanza di questa direttiva nella promozione della standardizzazione nel mondo BIM.
GDPR e sicurezza informatica
In realtà, la norma non introduce nulla di particolarmente nuovo, soprattutto alla luce del GDPR e del ruolo che abbiamo come gestori di dati personali e sensibili.
Oltre a nominare un Responsabile per il trattamento dei dati personali, il GDPR impone di mettere in atto misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio con sistemi di autenticazione: sistemi di protezione (antivirus e firewall), sistemi di copiatura e conservazione di archivi elettronici, nonché sistemi informatici per ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico. Inoltre, i dati personali forniti dal Cliente verranno conservati in modo adeguato per il periodo temporale legato allo svolgimento dell’incarico professionale nonché agli obblighi di legge (contabili, fiscali e previdenziali) connessi.
D’altronde, la parte 5 della UNI 19650 non cerca di essere esaustiva sulla questione della sicurezza informatica. Essendo un argomento abbastanza complesso, richiede approcci multidisciplinari (proprietà intellettuale, gestione del rischio, leggi dell’informatica e diritto).
Ciò però non ci esime da redarre un piano di valutazione del rischio e un piano di sicurezza fin dalle prime fasi di un progetto. Già solo pensare di dover redigere uno di questi piani porta a un livello di conoscenza della propria struttura informatica che consente di fare valutazioni di aggiornamento informatico nel corso del tempo, essendo questi tra l’altro strumenti che si evolvono dinamicamente, coprendo tutte le fasi dalla progettazione iniziale al facility management.
Credits: blog.archicad.it/ Roberto Marin