Guida completa alla sicurezza informatica nell’ambito ICT

Guida completa alla sicurezza informatica nell’ambito ICT

È già qualche anno che il mercato dalla sicurezza informatica vive momenti di grande fermento, come è naturale per un mercato tutto sommato giovane. In effetti, si tratta di un settore che nasce insieme ai computer stessi, ma fino a metà degli anni Novanta è rimasto un segmento di nicchia, caratterizzato da tecnologie perlopiù proprietarie.

Fattore comune tra i settori ad alta dinamicità è proprio Internet e la sua influenza sulla società umana, prima ancora che sulla tecnologia. Oggi, quello della sicurezza è un mercato sottoposto a forti pressioni, sul lato sia della domanda sia dell’offerta. In quest’ultimo, in particolare, si registra un processo di concentrazione, che sembra segnare l’inizio di una fase di maturazione del mercato. In effetti, sono molte le acquisizioni che fanno cronaca: alcune in buona parte tese ad aumentare la massa critica e molte altre necessarie per consentire ad alcuni player di successo ma storicamente “confinati” in aree di nicchia di arricchire il proprio portafoglio tecnologico. Per quanto riguarda la domanda, invece, si è osservato in Italia un marcato impulso degli  investimenti sulla spinta delle normative, soprattutto del D.Lgs 196/03, conosciuta come Testo Unico sulla Privacy.

Guida completa alla sicurezza informatica nell'ambito ICT

Assolutamente condivisibili sotto l’aspetto degli obiettivi, tali normative hanno aperto alcune diatribe sul fronte dell’applicabilità. Da qui sono divampate polemiche, per esempio, da parte di chi ha visto un “impoverimento” del mercato, nonostante i grandi tassi di crescita registrati negli ultimi anni. L’assioma di partenza su questo fronte è che l’imprenditore, obbligato a investire per legge, di fatto reagisce con fastidio puntando a spendere semplicemente il meno possibile, senza un reale obiettivo e senza in realtà la garanzia di aver speso effettivamente il giusto per ridurre il rischio aziendale. Soprattutto viene contestato che l’obbligo porta a vedere la sicurezza informatica come un costo, esattamente come ancora per molti vale per tutta l’ICT e, quindi, perdendo di vista il valore innovativo della tecnologia e le opportunità di business che invece si possono aprire.

Bisogna ammettere che a soffiare sul fuoco, peraltro, hanno contribuito e non poco tutti i principali player della sicurezza che, almeno nella prima fase di sviluppo del mercato hanno adottato una strategia del “terrore”, ponendo l’accento sulla crescita delle minacce e del rischio. Entrambi fattori indubbiamente impressionanti, ma cui solo recentemente sono stati abbinati messaggi “positivi” sui vantaggi che derivano dalla sicurezza. Sono stati comunque i segni della crisi a spostare le strategie, in quanto nessuna azienda è più disposta a spendere senza poter misurare il Roi degli investimenti.

È evidente che risulta difficile impostare un progetto di sicurezza basato solo sulla protezione da probabili minacce, il cui risultato, se tutto va bene, è che non succede niente. Con un simile approccio, il ritorno sull’investimento è “solo” evitare esborsi economici anche importanti in caso di attacco informatico: è, cioè, la riduzione del rischio. Chi ha basato le proprie strategie di vendita sulla paura ha trovato terreno fertile solo laddove la cultura del rischio era già diffusa, cioè dove esistevano i presupposti per poter misurare tale rischio. Solo in tal modo, infatti, si può usare tale misura per calcolare il Roi. Ma per sfruttare la sicurezza in modo da aumentare il valore del business e arrivare a misurare Roi decisamente più tangibili, è necessario compiere ulteriori passi avanti. Approcci sistemici, basati su metodologie rigorose e codificate in best practice internazionali, come lo standard BS7799 o ISO 27001, hanno permesso a molte imprese di scoprire il valore di un sistema completo di ICT Security. A parte di chi sia il merito, se di vendor illuminati che hanno spinto su tasti diversi o di aziende accorte che hanno saputo affrontare il problema sicurezza con il giusto criterio, di fatto l’applicazione di analisi ben disciplinate in fase iniziale ha consentito a molte imprese di approfittare degli assessment orientati alla sicurezza per comprendere a fondo le dinamiche dei propri processi di business, con indubbi vantaggi  anche organizzativi. Come accennato, infatti, le imprese già avvezze a gestire il rischio o, in altre parole, quelle già fortemente orientate a una corretta governance aziendale, sono state quelle che prima di altre hanno direzionato  il sistema di sicurezza sul binario giusto. Le imprese che comunque sono partite coll’approccio giusto, adottando pratiche già consolidate a ragion veduta, hanno compiuto un percorso inverso, arrivando a capire l’importanza e i vantaggi di una governance aziendale. Non è un caso, perché, in buona sostanza, l’obiettivo del legislatore è soprattutto quello di obbligare le aziende a ridurre il loro “rischio”. Il punto, sostenuto dai più, è che tale obiettivo è stato posto in secondo piano e che, pur essendo le best practice indicate come un riferimento dalla legge o relativi regolamenti annessi, di fatto l’accento viene posto ancora una volta sull’aspetto di “protezione” dei dati e sulla responsabilità in caso di eventuali danni, anche nei confronti di terzi. Non essendoci precise indicazioni sui requisiti da soddisfare per raggiungere la compliance, il risultato è l’incertezza. La conformità, in realtà, viene valutata da un controllore, che deve esaminare appunto il livello di rischio e confrontarlo con il livello di sicurezza raggiunto grazie alle misure protettive adottate. È evidente che un approccio sistemico basato sulla valutazione del proprio rischio aziendale, porta direttamente nella direzione della conformità. I vantaggi di una corretta governance vanno in direzione del business, nel momento in cui non ci si concentra solo sull’aspetto dei costi, ma si impara a gestire il rischio collegandolo ai processi aziendali. In particolare, sul lancio di nuovi prodotti o servizi, le aziende hanno spesso difficoltà a valutare i costi con precisione e quindi a fissare un prezzo adeguato a stabilire il giusto rapporto tra domanda e offerta. Questo soprattutto negli scenari di mercato attuali, che vedono nel Web uno strumento ancora giovane e in gran parte inesplorato per lo sviluppo del business. Proprio su questo fronte, l’adozione  di un sistema di sicurezza completo rappresenta un prerequisito  fondamentale per il varo di attività che possono portare grandi opportunità. L’esempio più lampante è quello del mondo bancario. Gli investimenti in sicurezza, già obbligatori, hanno spinto molte banche a sfruttarli per avviare Home Banking, Internet Banking e così via. Certamente, un’analisi semplicistica, ma tesa solo a esemplificare i benefici che si possono dedurre dalla compliance.

Il cosiddetto fenomeno del Web 2.0, che segna la consacrazione di Internet a nuovo media e proietta diversi scenari di mercati innovativi e ancora  da creare, dovrebbe ulteriormente spingere verso una sensibilizzazione delle aziende nei confronti della sicurezza. L’adozione di best practice resta probabilmente l’unica strada sensata per valutare correttamente le proprie esigenze e non perdere la bussola in un mare di offerte sempre più caotico. Sul fronte tecnologico, l’evoluzione dell’offerta negli ultimi dieci anni circa è stata caratterizzata dalla rincorsa alla minaccia. Ogni nuovo tipo d’attacco ha tipicamente determinato la nascita di una nuova categoria di strumenti per la protezione: dal virus gli antivirus, dallo spam gli anti spamming, dagli spyware gli anti spyware e via dicendo. La rapidità con cui queste minacce hanno cominciato a diffondersi e, soprattutto, ad autoduplicarsi, ha ben presto posto il problema di come riuscire a controllare tutto il traffico dati per identificare queste diverse  tipologie di minacce.

Se, inizialmente, solo  le grandi imprese  si potevano  permettere  gli investimenti in competenze necessarie per integrare sistemi sempre più complessi, con le suite si apre il mercato anche alle piccole e\o medie  imprese , che possono gestire un unico prodotto. Le grandi imprese sono le uniche che possono permettersi team strutturati, dedicandovi persone e investendo nella loro formazione e certificazione professionale L’atteggiamento un tempo più diffuso, quando in azienda si cominciava a parlare di sicurezza informatica, era quello che molte società del settore ancora oggi identificano come quello dello “struzzo”. Una comprensibile ignoranza delle problematiche faceva ritenere che la probabilità di subire un attacco informatico fosse molto bassa e che, tipicamente, questi eventi accadessero a qualcun altro. Del resto, lo stesso atteggiamento, ancor oggi,  si può osservare se si esaminano le procedure di sicurezza applicate in molte imprese, per esempio in materia di prevenzione degli incendio, in generale, degli incidenti sul lavoro. Eppure la sicurezza è un concetto antico quanto quello stesso d’azienda. La protezione del patrimonio intellettuale, i brevetti, le barriere all’ingresso di una banca, i controlli all’uscita da una miniera di diamanti, le guardie giurate, sono tutti elementi volti a garantire la sicurezza aziendale. Si potrebbe andare ancora avanti a elencare altri provvedimenti  per la sicurezza aziendale. La relativa giovinezza degli strumenti informatici e, soprattutto, la diffusione degli stessi, cresciuta nell’ultimo decennio con l’avvento di Internet, hanno posto una “questione culturale” sul fronte della protezione logica dei dati e delle informazioni: da un lato, si è avvertita e si avverte una scarsa percezione di quello che significa ICT security, dall’altro una mancanza di una reale percezione del rischio. Oggi si parla dell’era dell’informazione, per mettere in risalto l’importanza crescente del patrimonio della conoscenza come reale valore di un’impresa. Un concetto sul quale si può facilmente essere tutti d’accordo, anche perché non è una novità. Lo spionaggio industriale non è stato inventato con l’avvento dei computer; eppure cos’è se non furto di informazioni e know-how? Sono cambiati però gli strumenti, mentre il paradigma dell’e-business, che vuole un’impresa affidare all’IT tutte le attività e tutti i processi di business, esalta il ruolo del sistema informativo, facendone il deposito di quelle informazioni e di quel know-how che, in precedenza, si poteva raggiungere solo violando archivi e casseforti. L’estensione in rete dell’azienda, il successo di Internet, intranet ed extranet hanno favoritolo sviluppo di soluzioni e strumenti informatici, sia hardware sia software, che rispondono a esigenze di protezione differenti dal passato. Un mondo quindi completamente nuovo che coglie impreparate molte aziende:  da un lato, c’è una scarsa percezione di quello che significa IT security, dall’altro manca una reale percezione del rischio.

Pubblicato da Vito Lavecchia

Lavecchia Vito Ingegnere Informatico (Politecnico di Bari) Email: [email protected] Sito Web: https://vitolavecchia.altervista.org

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *