Sicurezza:una questione di metodo

Soprattutto nelle grandi aziende, le più vulnerabili agli attacchi esterni e interni a causa delle dimensioni e complessità dei loro sistemi informativi, la sicurezza è forse la maggiore preoccupazione dei Cio, che vi investono quote crescenti dei loro budget. Ma più che nuove tecnologie serve un approccio innovativo al problema, che tratti i vari aspetti della sicurezza all’interno di una strategia unitaria da tradurre in metodologie e attività da attuare nell’intera impresa. E magari preveda la creazione di una figura ad hoc, che alle dirette dipendenze del Board definisca e gestisca l’intera politica di sicurezza della società, dalla valutazione dei rischi alla formazione dei dipendenti

Pubblicato il 15 Ott 2003

Di sicurezza, a tutti i livelli, si parla di continuo; il costante allarme sociale di questi ultimi tempi, se getta luci sinistre sui nostri giorni e ci fa riflettere sul valore della libertà in un’epoca in cui tutto deve essere controllato, ispezionato, protetto, dall’altra ci invita a riflettere in generale sull’organizzazione e sulla cultura delle nostre istituzioni e delle nostre imprese. E anche nel nostro ambito, l’Ict, scopriamo subito che ciò di cui abbiamo bisogno è un approccio alla sicurezza sempre più olistico, che ci permetta cioè di scorgere il tutto per cogliere il particolare e su quello agire.
Questione di metodo, allora? Sì, è proprio questione di metodo, che è poi il pilastro su cui abbiamo costruito e costruiamo il nostro sapere. Per affrontare i problemi abbiamo due strade. Una è quella di concentraci su un aspetto definito, che sia capace di trascinare in un secondo tempo tutto il resto, applicando un metodo induttivo e pragmatico, che parte dal basso, dal singolo problema, per arrivare all’alto, nel nostro caso all’organizzazione aziendale. C’è poi il metodo deduttivo, dogmatico, che parte dalla cornice del problema, (che per la sicurezza dell’Ict è l’azienda nella sua totalità) e affronta poi le specificità attraverso l’uso di modelli di riferimento prescelti, quelli che devono portare alle soluzioni attese. Una strada certo concettualmente più affascinante ma più difficile da percorrere anche da parte dei destinatari, da chi cioè deve beneficiare delle soluzioni sviluppate.
Va da sé che queste due opposte visioni comprendono poi anche tutte le sfumature intermedie possibili. Oggi nell’Ict si tende, giustamente, ad adottare un approccio olistico ai problemi, quindi orientato alla visione deduttiva. Ciò però comporta il rischio della deriva costruttivista, ossia quello di sposare un modello perfetto sulla carta, ma inadeguato alla realtà. Questo rischio, piuttosto evidente in ambiti politici o economici, lo è di meno in ambito Ict, per cui acquista maggior valore la raccomandazione di avere sì una visione olistica del problema ‘sicurezza’, ma mediata da un sano pragmatismo che ci guidi alla ricerca della soluzioni più adatta a partire da problemi concreti. Nel business (come nella vita), sono più spesso le esigenze emergenti a suggerire nuove soluzioni e proposte Ict. Si deve dunque trasformare una serie di imperativi categorici (devi ascoltare i clienti; devi tendere alla Real Time Enterprise; devi sviluppare un Sistema di sicurezza…) in imperativi ipotetici. Il comando del mercato non è più ‘devi’ ma: ‘se vuoi… è bene che’, che traduce la tipica relazione ‘if… then’ degli strumenti a supporto delle decisioni. Per cui: «se vuoi migliorare il tuo business, è bene che ascolti il cliente», «se vuoi garantire la tua struttura e i tuoi clienti è bene che ti occupi della sicurezza», e via dicendo. E l’esame dei ‘se’ che precedono i precetti è proprio, guarda caso, l’asse portante dei modelli di analisi dei rischi e della sicurezza applicati nell’Ict e, prima ancora, nella prassi consolidata dal buon senso dell’imprenditore.

Un problema che cresce
Secondo il Rapporto Istat 2002, presentato lo scorso maggio, l’anno scorso oltre 2,3 milioni di imprese italiane erano informatizzate, con un’incidenza corrispondente al 56% del totale. Se però escludiamo le imprese con meno di 10 addetti il livello di informatizzazione supera il 90%. Si legge inoltre che, rispetto al periodo precedente, la presenza di almeno un sistema di elaborazione dati (Pc compresi) è aumentata di quasi 4 punti percentuali, ovvero, in assoluto, di circa 160 mila imprese. Occupandoci di sicurezza, ci interesserà sapere che il 27% delle imprese accede a Internet per ottenere servizi finanziari e bancari e il 19% per avere informazioni a supporto del business, in entrambi i casi, quindi, con uno scambio di dati che possono essere considerati sensibili. Sempre nel corso del 2002 è poi aumentato il numero delle aziende con più di 10 addetti che ricorrono allo sviluppo di intranet ed extranet. Nella fascia tra 10/49 addetti il 14% usa extranet e il 25% intranet, con un incremento medio di 7 punti in un anno.
Questi dati evidenziano una certa vivacità del settore e, dal punto di vista della sicurezza, sottolineano la necessità di sviluppare sistemi adeguati di protezione. Fa inoltre riflettere il fatto che siano ora soprattutto le piccole aziende, quelle con le risorse più contenute, ad aprirsi all’esterno tramite Internet e a dover così affrontare prima o poi i problemi legati alla sicurezza. Forse proprio da questa situazione nasce la crescente offerta, da parte di vendor It come di portali di associazioni di utenti, di servizi e soluzioni di sicurezza forniti in outsourcing.
Da una recente indagine presentata da Gartner nell’ultimo suo Symposium di primavera, è emerso che, almeno a livello mondiale e tra le grandi aziende, la preoccupazione maggiore del Cio contemporaneo resta la sicurezza, considerata soprattutto una priorità tecnologica accanto all’integrazione dei dati e delle applicazioni. Stando alle previsioni presentate da Gartner lo scorso giugno in occasione dell’It Security Summit, nel 2003 oltre il 5% dell’intero budget Ict a disposizione delle aziende sarà speso per la sicurezza. Una quota che può sembrare ancora modesta, ma che significa una crescita di questo settore di spesa del 28% rispetto al 2001.

Il ruolo del Cio
Oggi quindi il responsabile dei sistemi informativi è chiamato da un lato a garantire maggiore privacy e maggior protezione dalle minacce esterne e interne ai dati e al sistema, ma, dall’altro lato, è anche costretto a misurarsi con la richiesta di maggior comunicazione e trasparenza, potenziata dai portali aziendali e della comunicazione multicanale. Insomma, nonostante la riduzione dei budget Ict e le incertezze sugli investimenti, la sicurezza mantiene la sua posizione predominante nella ‘top ten’ delle priorità dei responsabili Ict.
Negli Stati Uniti il dibattito sul ruolo del Cio nella gestione della sicurezza aziendale è molto vivo. Michael Schrage, condirettore del Mit Media Lab’s eMarkets Initiative, in un articolo apparso sulla rivista ‘Cio’ sottolineava quanto la fiducia fosse, nei sistemi informativi, sinonimo di vulnerabilità. Tutto ciò che costruiamo ha un grado strutturale di congenita vulnerabilità. E questo vale in massimo grado per l’azienda che fa della Rete la sua struttura: tanto più numerosi sono gli accessi ad Internet (ma anche le intranet hanno i loro rischi) creati per realizzare il modello operativo dell’azienda aperta, quanto più tali accessi dovranno essere monitorati, con la conseguenza di far crescere i costi per la sicurezza in modo incontrollato.
D’altra parte, è un fatto che la complessità dei nuovi sistemi informativi richiede, anche per la sicurezza, categorie e metriche di valutazioni nuove. Che si tratti di sicurezza del network in sé o dei dati che vi viaggiano, l’accelerazione dei costi cresce al crescere della centralità della rete nell’organizzazione e nei processi dell’azienda. Schrage sottolinea che la dinamica dei costi della sicurezza è ancora difficile da prevedere. E nota come il Cio non sia nella posizione giusta per occuparsi del ‘problema sicurezza’ in quanto questo, considerato nella sua totalità, è sempre più un’istanza organizzativa e di comunicazione che tecnica.
Ai Cio, piuttosto, spetta il compito di vigilare su quanto stanziato per implementare la sicurezza, sensibilizzando i diversi domini funzionali d’azienda. La valutazione dei rischi, invece, è un affare che coinvolge l’azienda nella sua totalità, a partire dal consiglio di amministrazione. Spetta al cosiddetto Board capire quanta fiducia sia lecito dare ai propri dipendenti e alla propria rete di clienti, fornitori e consulenti, e quanto sia di conseguenza il costo della vulnerabilità correlata al livello di apertura della società.

Dal Cio al Security Officer
La sicurezza è un processo dinamico che cresce e si sviluppa a partire dagli errori e che richiede capacità di analisi e di ‘vision’ per sviluppare scenari futuri che siano credibili. Alla sicurezza Gartner dedica interessanti analisi, da cui emergono indicazioni e consigli applicabili in pratica, soprattutto per le aziende, anche italiane, più globalizzate ed estese.
Dopo gli attentati terroristici dell’11 settembre 2001, gli Stati Uniti hanno approvato una legge (nota come Gramm-Leach-Bliley Act), che attribuisce ai membri del Consiglio di amministrazione la responsabilità della sicurezza in azienda e l’onere dei relativi controlli periodici. Questo significa che il Board è tenuto a conoscere a fondo lo stato della sicurezza, ricorrendo, quando necessario, a specifiche analisi dei rischi, valutazioni della vulnerabilità delle reti.
Per le aziende che fanno del Web un canale primario di comunicazione e di business, l’approccio alla sicurezza deve essere particolarmente strutturato. In molti casi si sta valutando l’inserimento di una nuova figura professionale a livello dirigenziale, (che in Italia già esiste in altri ambiti, pensiamo per esempio all’edilizia, con i responsabili della sicurezza in fase di progetto e in cantiere), interamente dedicata alla Security: il Chief Information Security Officer.
I compiti del Ciso, che al pari del Cio dovrebbe rispondere direttamente al Board, si sintetizzano nel definire e gestire la politica di sicurezza della società, dalla valutazione dei rischi al profiling dei livelli di sicurezza e alla formazione dei dipendenti. Nella sua sfera di competenza rientra anche la definizione di una Business Security Architecture, con l’eventuale revisione dei processi di business in modo da renderli intrinsecamente più sicuri.
Non è finita: vista la responsabilità affidata al Board, diventa importante disporre di un sistema permanente di monitoraggio delle performance di sicurezza ma anche della produzione legislativa nel settore delle tecnologie della sicurezza. Un suggerimento, questo, che andrebbe accolto anche dalle nostre imprese. Troppo spesso infatti, in particolare nelle piccole dimensioni aziendali, si sottovaluta il ruolo della conoscenza di leggi e norme in materia di sicurezza e privacy informatica. La sicurezza, assurta al rango di variabile strutturale e funzionale dell’organizzazione aziendale, impatta su varie attività dell’organizzazione. Per esempio, nel marketing può essere di particolare utilità monitorare la reazione dei clienti alla progressiva implementazione dei sistemi di sicurezza, per studiare correlazioni più sicure tra gli investimenti fatti e l’effettivo valore percepito all’esterno sul brand. Secondo Gartner, non sempre evidenziare la sicurezza aziendale come attributo del prodotto o della società garantisce un cambiamento positivo nel comportamento dei consumatori, sia nel senso della riconoscibilità del marchio che nella fedeltà. Infatti la sicurezza, nell’immaginario collettivo, è percepita soprattutto come semplice requisito operativo. In altre parole, è data per scontata.

Agire e non reagire
Una delle lezioni più importanti che possiamo aver appreso dai disastri della bolla speculativa delle dot.com e da quelli, anche più drammatici, della crescente esposizione al terrorismo, è che oggi come non mai siamo chiamati ad agire, non a reagire.
Nonostante la fase di stagnazione economica e d’incertezza sui tempi e modi della ripresa dell’economia globale in cui ci troviamo, è necessario investire in sicurezza. Ovviamente, in misura proporzionata al valore associato alla sicurezza delle informazioni da proteggere, che è il frutto di una valutazione incrociata tra i costi legati alla riduzione dei rischi e il ritorno che tale riduzione può avere nei confronti del business. In altri termini, si tratta di valutare l’entità del danno dovuto a una mancanza di sicurezza che l’azienda può sopportare.
Le spese connesse alla sicurezza sono giustificate, in un’ottica di bilancio, proprio dalla necessità di contenere i costi legati ai disservizi, con perdite dirette della capacità di far business dell’impresa. In un’ottica un poco più ampia, si giustificano anche con il contenimento del rischio di perdere clienti, partner o altri ‘stockholder’.
In attesa di portare a compimento lo sviluppo di nuove metriche di valutazione di rischi, le aziende dovrebbero considerare almeno l’attuazione di una politica ‘step-by-step’, a breve termine, per mantenere alta la vigilanza in tema di sicurezza ricorrendo all’implementazione di tool specifici almeno rispetto alle attività più critiche, oltre a tutte quelle in cui tali strumenti siano previsti dai dispositivi di legge. Il ricorso all’outsourcing o alla fruizione di servizi di sicurezza in modalità Asp, potrebbe essere la soluzioni più semplice e interessante, soprattutto per le aziende più piccole. Secondo Gartner è molto probabile che entro il 2005, il 60% delle aziende darà in outsourcing almeno uno dei sistemi di monitoraggio per la sicurezza periferica, quella che si preoccupa di proteggere i ‘confini’ della comunità aziendale (vedi fig. 1).
Quanto al mercato delle soluzioni per la sicurezza It, il panorama dei vendor vede un numero ristretto di operatori sulla breccia da molto tempo che controllano il mercato con soluzioni mirate a problemi specifici (molto più diffuse delle suite, vedi figura 2). A questi, si è aggiunto un numero elevato di nuovi arrivi degli ultimi due anni, periodo in cui il fenomeno è esploso.
Per contro, la fascia delle aziende utenti si estende da realtà che possono contare al loro interno su competenze specifiche, fino ad aziende che cercano tool “minimalisti” per la protezione (per lo più da intrusioni o virus) di una ristretta cerchia di applicazioni, connesse soprattutto alle transazioni online di tipoB2B e B2C. Gli sviluppi più decisi, comunque, si attendono per gli Mssp, acronimo che identifica i Managed-Security-Services-Provider. Le crescenti e complesse esigenze, come già accaduto molte volte in passato nel mondo Ict, porteranno nei prossimi anni a una progressiva concentrazione dei soggetti, conseguenza di acquisizioni e fusioni; dal punto di vista dell’offerta ruolo preminente avranno tutti i servizi in outsourcing di monitoraggio e controllo dei livelli prestazionali.


Nel giugno 2003 Sirmi ha condotto per Computer Associates uno studio mirato ad approfondire la conoscenza sul comportamento delle aziende italiane a proposito di sicurezza Ict. Il campione comprendeva 248 aziende (con non meno di 50 e non più di 1000 Pc) distribuite nei settori della Finanza, Industria, Commercio, Servizi e PA, cui è stato sottoposto un questionario strutturato teso a misurare l’interesse per i sistemi di abilitazione all’accesso e la diffusione di firewall, tool antivirus e d’Intrusion Detection.
Dall’indagine emerge che a un dichiarato elevato interesse per la sicurezza non corrisponde ancora un’adeguata risposta concreta, con istanze talvolta addirittura contraddittorie. Infatti, vi è chi sottovaluta la sicurezza Ict; chi, pur non sottovalutandola, la considera un costo piuttosto che un asset strategico; chi, pur comprendendone la portata strategica, non ne vede i vantaggi in termini di produttività e infine chi, pur cogliendo appieno a livello teorico le relazioni tra sicurezza e produttività, sposa un atteggiamento attendista e lascia la sicurezza tra i “buoni propositi”.
Colpisce l’alta sensibilità delle aziende per i sistemi di abilitazione all’accesso, tutta concentrata, però, sulla posta elettronica (78% del campione) e sui Dbms (65%), mentre la sicurezza di Erp e Crm, nonostante il rilievo strategico che tali sistemi hanno in azienda, rappresenta rispettivamente il 28% e il 14%. Riguardo i criteri da adottare per il sistema di abilitazione agli accessi, la scelta cade sul singolo ruolo aziendale (56%) e sul gruppo di lavoro (49%). Inoltre, la grande maggioranza del campione provvede all’aggiornamento delle abilitazioni manualmente, una ad una (83%) e ben il 56% sostiene di non sentire l’esigenza di aggiornamenti automatici. Il che fa capire quanto sia ancora immatura la percezione della sicurezza nella sua dimensione di complessità. Infine, notevole l’interesse (il 61% del campione) per i sistemi di protezione delle extranet, in linea con quanto emerso dal Rapporto Istat sui dati di sviluppo e diffusione di intranet ed extranet tra le aziende italiane (C.B.).


ITALIANI E SECURITY: INTERESSATI MA…

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati