Bruce Schneier, chief security technology officer di BT, a Milano per il Security Summit: nell’era del Cloud, affidabilità e protezione devono essere connaturate alla tecnologia
Sala gremita al Security Summit di Milano per il grande esperto di sicurezza informatica e crittografia Bruce Schneier, chief security technology officer di BT (www.italia.bt.com). Era successo anche due anni fa, nella stessa location di un grande albergo milanese. E come due anni fa anche questa volta, prima del keynote di Schneier davanti alla platea, BT ha organizzato un incontro per consentire alla stampa specializzata di ricevere direttamente dal “guru” la sua visione sugli aspetti della sicurezza di un’informatica sempre più pervasiva e presente, ormai impossibile da circoscrivere – come facevamo un tempo – partendo dalla fisicità del computer. Un’informatica che per le aziende viene vista in un’estesa ottica di servizio. In quest’ottica, avverte Schneier, anche la sicurezza deve essere affrontata in modo integrato.
«Il Cloud computing in questo senso non è una novità. Lo chiamavano time sharing, poi client/server. Oggi il vero nocciolo della questione si chiama “trust”, fiducia – afferma l’esperto -, l’informatica e la sua sicurezza semplicemente “funzionano”, come per magia. Siamo arrivati a un livello di commoditizzazione tale per cui io, utente, non mi pongo neppure più la questione, così come non mi chiedo se l’acqua minerale che bevo da una bottiglia con etichetta possa essere pericolosa».
Secondo Schneier, la sicurezza tenderà dunque, in misura crescente, a essere embedded, a far parte di un più esteso contratto di servizio. Un pezzo molto importante di questo contratto, ma qualcosa su cui il cliente non vuole neppure soffermarsi, dando per scontato che il provider è tenuto a garantirla entro limiti prefissati. «Per questo ritengo che in futuro assisteremo a un’ulteriore concentrazione, ci saranno sempre meno provider di sicurezza in quanto tali, molte delle iniziative attuali non ci saranno più perché saranno inglobate in contesti più ampi. Guardate il caso di un provider di servizi in outsourcing come BT. Noi non facciamo certo sicurezza, ma nei confronti di tutti i nostri clienti siamo tenuti a metabolizzarla, ad appropriarcene».
Uno dei fattori dominanti di questa fase tecnologica, ha proseguito Schneier, sta avendo profonde ripercussioni sul nostro modo di affrontare la questione della sicurezza informatica. È il fenomeno della “consumerizzazione” che porta a un completo rovesciamento dei percorsi decisionali un tempo in vigore nelle aziende. Negli uffici e tra le forze sul campo le tecnologie venivano scelte e configurate a livello centrale, erano i dipartimenti Edp ad acquistare i computer, a impostare i sistemi operativi e i programmi. «Questo non è più vero, sono i singoli dipendenti a scegliere, a voler utilizzare durante il lavoro gli stessi dispositivi “cool” tanto apprezzati nella vita di ogni giorno. Io stesso viaggio con il “mio” computer, mentre quello che mi fornisce BT, con il sistema operativo configurato come vuole lei, spesso non lo porto neppure con me». È una realtà fortemente condizionata dagli stili di vita dei giovani, persone che hanno un approccio molto naturale con le tecnologie, ma che decreta in molti casi la fine del controllo che i responsabili informatici aziendali potevano avere sugli end point e sull’intera catena rappresentata dai server, dal software di sistema, dalle applicazioni, dai client. Un motivo in più affinché la sicurezza diventi qualcosa di acquisito, di incorporato, magari di definito a livello di standard e di normativa di legge. I vendor, i service provider e le aziende utenti dovranno rapidamente adattarsi a una sicurezza che non è più un accessorio, un’estensione o una correzione di una tecnologia, ma un fatto acquisito con la tecnologia stessa. «Quando mi metto al volante, conclude Schneier, non ho dubbi che premendo sul pedale del freno l’auto si fermerà».
