Un cambio di approccio alla gestione della sicurezza è l’unica risposta pensabile
Non passa giorno senza che si possa leggere su qualche testata generalista di un grave attacco informatico subito da qualche grande multinazionale, che ha messo a rischio la riservatezza di informazioni particolarmente delicate. Se poi contassimo anche le notizie degli attacchi che causano “solo” una interruzione al business aziendale, senza divulgazione di informazioni riservate, sarebbe impossibile tenerne il conto. Cosa sta succedendo? Gli attaccanti sono sempre più bravi? Le aziende sono sempre meno brave a difendersi man mano che passa il tempo? è un mero problema di investimenti? Oppure di competenze?
Purtroppo, la risposta non è così semplice. Quello che sta accadendo, con tutti i vantaggi e i rischi connessi, è un continuo aumento, sempre più pervasivo, di diversi tipi di tecnologia a ogni livello della vita aziendale e personale. E le interazioni tra device, programmi, organizzazioni sono sempre più fitte e intricate. Questo ha portato – e porterà sempre di più – a un’enorme espansione della complessità: questo è il vero problema da indirizzare da parte di chi vuole garantire la riservatezza, l’integrità e la disponibilità delle proprie informazioni.
Governare la complessità
Il problema non è più, come accadeva a inizio millennio, quello di “installare il firewall” (il lettore sostituisca firewall con la security technology che preferisce). Il problema è proprio scegliere tra le molte soluzioni disponibili la più adatta alla propria organizzazione ed, eseguita l’implementazione, gestirla nel tempo. Catalogare i rischi, pesarli nel modo corretto, individuare le corrette contromisure (non solo tecnologiche ma anche organizzative e di processo) rappresentano attività che troppo spesso sono trascurate per ragioni di tempo e denaro. Mantenere il voluto livello di sicurezza costante nel tempo è una delle sfide più difficili da vincere.
Troppo spesso, poi, a tradire alcune organizzazioni è la mancanza di realismo: viene fatto tutto il possibile per evitare che un incidente si verifichi, ma si trascura di prevedere in anticipo cosa fare nel caso in cui un incidente avvenga comunque, costringendo a prendere decisioni strategiche nel momento dell’emergenza, perdendo di efficienza ed efficacia. E questo perché in molti casi anche le informazioni più banali non sono state formalizzate e diffuse nel modo corretto.
L’altra faccia della medaglia
Per questa ragione, temo, non potrà essere la sola tecnologia a salvarci. Dovremmo iniziare, tutti assieme, in modo strutturato a occuparci esaustivamente e con costanza di risk management, adeguare la governance della security per rispondere alle reali esigenze delle aziende di oggi, per rispondere alle moderne minacce (i ransomware sono soltanto la punta dell’iceberg), prevedendo in anticipo piani e procedure di incident management applicabili ed efficaci. Chi riuscirà – a fronte di questo scenario – a non vedere il proprio nome sulle prime pagine dei giornali a seguito dell’ennesimo “grave attacco”? Probabilmente solo le aziende che impiegheranno persone formate e competenti, dotate degli strumenti adatti e che sanno cosa fare e come farlo sia ogni giorno sia in caso di problemi. Probabilmente, solo chi possiederà strumenti, procedure, processi e persone competenti all’interno di un’infrastruttura organizzativa che abbia dedicato la corretta attenzione a stilare un piano di prevenzione, a implementarlo, gestendo quotidianamente il tema della sicurezza. Con buona pace di chi ancora crede che sia possibile usufruire di tutti i vantaggi della tecnologia senza governare la complessità che porta con sé.
Alessio L.R. Pennasilico, membro del Direttivo e del Comitato Tecnico Scientifico di Clusit
