Ricordo di aver già intervistato il dott. Silvano Ongetta (Presidente dal 2001 di AIEA – Associazione Italiana Information Systems Auditors – Chapter di ISACA) alcuni anni fa e di aver fatto in quella occasione una pur breve fotografia dello stato della sicurezza nel nostro Paese, della percezione del rischio da parte del management aziendale, dei benefici più o meno evidenti che potevano essere ottenuti nell’ambiente di lavoro dall’impiego dei computer e dalla contropartita rappresentata dall’incremento dei rischi originati dal loro stesso impiego. Allora la diffusione dei sistemi computerizzati era sicuramente in forte incremento ma non era così pervasiva. Internet c’era ma la sua diffusione era ben lontana dall’attuale, gli attori erano in numero molto più ridotto e in genere anche meno esperti. Nel seguito si riporta una versione più attuale della percezione della security nel nostro Paese.
Si dice spesso che il management dovrebbe essere coinvolto anche nelle tematiche della sicurezza, ma non ha già tante cose da fare e su cui può incidere meglio?
Non si può certo pretendere che il management aziendale acquisisca know-how che non gli è proprio, ma sono convinto che dovrebbe guidare il cambiamento, indotto dalle nuove tecnologie e dai nuovi strumenti e quindi essere quantomeno consapevole dei rischi in cui si può imbattere in questo ambiente; in ultima analisi deve evitare di tenersi ad una distanza di sicurezza da un vero coinvolgimento negli aspetti collegati all’adozione e sviluppo delle tecnologie dell’informazione. Rischi e minacce che si incrementano con la diffusione dei sistemi, con la loro complessità e con la sempre più spinta dipendenza delle organizzazioni da questi. In anni recenti tale approccio ha preso sempre più piede principalmente perché i sistemi sono ormai parte integrante anche del complesso delle operazioni imprenditoriali ed è generalmente riconosciuto che si devono dominare gli strumenti, se si vuole che le minacce indotte dal loro utilizzo siano veramente comprese e controllate nell’organizzazione aziendale. Non resta, dunque, che attivare i necessari interventi tesi a minimizzare i rischi.
L’enorme diffusione dei sistemi di elaborazione, presenti in pratica su quasi ogni scrivania, che impatto ha avuto sui problemi della sicurezza?
La tecnologia, come sempre direi, sta dimostrando d’essere un’arma a doppio taglio. Mentre da una parte consente di aumentare l’efficienza operativa e di ampliare in modo rilevante le attività aziendali, dall’altra pone come vincolo la necessità di dover fare affidamento su di essa e ciò comporta dei potenziali pericoli di cui dobbiamo necessariamente tener conto. Questa dipendenza dalla tecnologia si è dimostrata, ad esempio, deleteria per diverse società, che hanno subito la perdita della loro capacità elaborativa e di altre funzioni aziendali critiche. Secondo statistiche di matrice americana, circa il 90 % delle aziende colpite da una situazione di disastro e che non aveva predisposto un adeguato piano di ripristino, ha cessato la propria attività nell’arco di 18 mesi. Pur pesando necessariamente con le dovute cautele le statistiche occorre considerare che purtroppo grosso modo l’ordine di grandezza non può essere molto differente per cui il segnale non può essere sottovalutato.
Questo dato si riferisce ad aziende o istituzioni scarsamente “alfabetizzate” dal punto di vista informatico, nelle quali l’IT è considerata in modo molto banale?
Affatto, sembra impossibile ma non sono moltissime le aziende prudenti che si siano chieste che cosa sarebbero in grado di fare se un grave incidente/disastro dovesse colpire la normale attività istituzionale. Sia che si tratti di una piccola perdita che di una grande, un disastro avrebbe certamente effetti sicuramente negativi sull’attività societaria. Se un’azienda intende continuare a diventare più competitiva e maggiormente redditiva deve avere un approccio realistico anche in questo settore, e pertanto far sì che venga prodotto sia il piano di Disaster Recovery sia quello, che definirei propedeutico, di Business Continuity.
Può indicare una traccia sulla quale sviluppare una prassi per la sicurezza in tal senso?
Il processo è piuttosto complesso. Per semplicità espositiva sono solito suddividere le varie operazioni in alcune fasi: analisi di impatto sull’attività societaria, selezione della strategia, preparazione del piano e collaudo e revisione.
In un modo volutamente generico è possibile dire che l’analisi di impatto sull’attività presuppone l’identificazione e la protezione delle funzioni critiche/vitali e delle risorse necessarie al mantenimento di un accettabile livello di attività societaria e conseguentemente di redditività, proteggendo quelle risorse essenziali e identificando le fonti alternative per ciascuna di esse. Effettuato questo studio, occorre decidere cosa fare o, meglio, considerare le possibili strategie sia di prevenzione sia di recovery e identificare quella ritenute preferibile nello specifico contesto aziendale. È un punto fondamentale molto spesso trascurato o non valutato appieno. Occorre infatti identificare le misure più opportune per ridurre il rischio di distruzione/perdita; determinare le risorse minime necessarie per continuare le operazioni essenziali; rivedere l’efficacia delle misure eventualmente già in atto; determinare le priorità per i sistemi durante il periodo in cui le capacità elaborative devono essere ripristinate; considerare le strategie di recovery alternative; analizzare le procedure di back-up dei dati e programmi per verificare l’adeguatezza ai fini del ripristino di funzioni critiche; selezionare le attività necessarie conseguenti alle scelte sopra individuate. Come vede non è uno scherzo nè in termini di impegno nè di valenza delle decisioni.
Definita la strategia, e avendo salvato in una “cassaforte” i dati vitali, la società può dirsi tranquilla dal punto di vista della sicurezza?
Questa sarebbe una soluzione parziale e frettolosa. Purtroppo questo è quanto molto spesso fanno le aziende, mentre proprio a questo punto deve iniziare l’attività meno ad alto livello ma altrettanto importante: occorre, in altre parole, redigere il piano. Gli obiettivi della predisposizione del piano sono: la preparazione e documentazione dettagliata delle procedure e delle attività richieste per realizzare un ripristino tempificato delle funzioni aziendali; l’assegnazione delle responsabilità per consentire l’effettuazione di queste attività e fornire le basi per informare conseguentemente il personale aziendale in modo che possa essere correttamente coinvolto. È necessario infine assicurarsi che il piano sia compilato in un modo che permetta di essere facilmente aggiornato, in altre parole il documento che si deve produrre non deve essere bello, deve essere utile! … e poi è fondamentale fare i sacrosanti test per non trovarsi impreparati all’occorrenza.
Per fortuna i disastri sono abbastanza rari, ma esistono altri problemi?
Recenti statistiche sempre di oltre-atlantico riferiscono che circa il 20% delle aziende americane ha sofferto perdite dirette causate da qualche caduta di sicurezza in senso lato. Anche in questo caso non so quanto sia realistica questa percentuale e quanto la situazione americana, in materia di sicurezza dei dati, possa essere equiparata a quella nostrana, certo è che il problema non può essere sottovalutato merita la massima attenzione. Anzi, se è vero che nel campo informatico siamo da sempre indietro di qualche anno dagli USA, dobbiamo fare di tutto affinché questa distanza (beninteso per i soli fattori negativi) rimanga tale e se possibile ci si faccia distanziare ancora di più.
Da che cosa dipendono queste cadute di sicurezza? Quali sono le minacce più pericolose?
È possibile suddividere le minacce che possono interessare i sistemi informatici in cinque grandi tipologie:
1. Errore. Può insorgere nell’immissione dei dati, durante l’attività operativa oppure nelle fasi di sviluppo del sistema ecc. Ogni fase nasconde possibilità diversificate di sua insorgenza e manifestazione. Chi ha una certa dimestichezza con il mondo dell’IT sa quanto ricorrenti e quasi inevitabili siano gli errori, tanto che si è soliti dire che il software è l’unico prodotto commercializzato che si accetta abbia dei difetti di origine.
2. Frode. Atto deliberato per “dirottare” risorse. Tema che richiederebbe una trattazione a parte. En passant …. sull’argomento i media e il mondo imprenditoriale riservano molta attenzione quasi esclusivamente alle attività fraudolente di esterni all’azienda e quasi nulla alle azioni non propriamente corrette di dipendenti malevoli. Ricordo, perché l’ho conservato tra le mie carte, un report della ACFE in cui era illustrata la situazione e l’impatto della frode sull’economia statunitense. Per capirci, si parlava di un impatto annuo pari al 6% del fatturato aziendale, cioè più di 600 miliardi (si, miliardi) di dollari l’anno e questo nel …2004.
3. Perdita di riservatezza. L’ottenimento di informazioni di carattere confidenziale da parte di entità concorrenti o comunque non autorizzata.
4. Sabotaggio. Atto deliberato avente come fine ultimo la distruzione di un bene di altri senza ottenere un beneficio se non la “soddisfazione” di aver arrecato un danno all’ente bersaglio.
5. Il disastro, di cui abbiamo già parlato prima.
È realisticamente possibile evitare l’insorgenza di queste minacce?
In termini assoluti direi di no per una serie di fattori non trascurabili. Innanzitutto per i costi: in alcuni casi la protezione contro certe minacce risulta economicamente insostenibile. Occorre pertanto valutare anche la probabilità che quel determinato evento si verifichi e occorre mettere a confronto le possibili minacce con le misure atte a limitarne gli effetti negativi, e in ciò è opportuno prendere in esame ogni possibile salvaguardia alternativa. In secondo luogo per un fenomeno di “rincorsa”: giacché il mondo informatico è in continua e veloce evoluzione e sempre nuove sono le realizzazioni possibili, ognuna delle quali apre meravigliosi orizzonti di interconnettività, di facilità di apprendimento, di efficienza e di utilizzo e …di insicurezza (Internet mit uns). Quindi, per ogni nuovo sviluppo della tecnologia informatica, è indispensabile identificare le misure di sicurezza più adeguate. Vi sono poi gli “altri”: con questo termine generico intendo tutti quelli che hanno tra i loro obiettivi esistenziali primari quello di danneggiare le attività altrui allo scopo di trarne profitto o anche solo arrecare quantomeno disturbativa se non vero danno, ecc. In questa categoria faccio rientrare tutta quella genia di malfattori che ha scoperto che l’informatica è un efficace ed efficiente strumento per continuare i propri traffici in un modo più sofisticato o per aprirsi nuovi orizzonti di lucro disonesto e tutte quelle care persone che sono comunemente etichettate come hacker e affini che certa stampa continua a ritenere meritevoli al massimo solo di blandi rimproveri se non perfino di plauso perché “aiutano” le aziende a rendersi conto di quanto sono perforabili. Se un intruso riesce a entrare in casa mia, dimostra senza ombra di dubbio che le mie difese sono deboli … ma non lo ringrazio di certo. Veniamo poi alla sensibilizzazione che rappresenta, a mio giudizio, il fattore determinante senza il quale ogni metodologia, attività preventiva ecc serve a poco o nulla. Il grado di sensibilizzazione del personale a tutti i livelli è il fattore strategico di ogni politica della sicurezza dei dati. Occorre che l’elemento umano non rappresenti, come spesso accade, l’anello debole della catena. Un esempio per tutti: se le persone fossero adeguatamente sensibilizzate pensa che sarebbero in tanti ad abboccare alle mail di phishing?
Le Direzioni aziendali, anche le più sensibili, come affrontano il problema sicurezza IT?
Capita ancora di osservare che la sicurezza sia trattata in molte aziende come se ci si trovasse ad affrontare un argomento squisitamente tecnico e pertanto da lasciare alla discrezione e alla professionalità degli specialisti informatici. Questa impostazione trae origine, almeno in parte, dal fatto che il management non è ancora troppo disposto a farsi coinvolgere anche dalle tematiche relative alla sicurezza che ritiene di natura tecnica di settore. Peraltro, la significativa evoluzione che vede il management non più solo passivo fruitore dei servizi informatici ma molto spesso anche parte propositiva delle scelte anche architetturali, è il segno di una presa di coscienza in evoluzione sulle tematiche non facilmente ipotizzabile solo pochi anni or sono, che fa ben sperare per il futuro. In ultima analisi è fondamentale che il management dia la sua sponsorizzazione alle attività necessarie al perseguimento degli obiettivi prefissati. Ciò presuppone un coinvolgimento non superficiale ma costante, responsabile e conseguentemente incisivo, direi decisivo.
Chiudo con un aforisma: la sicurezza IT è un tool difensivo e nel contempo un abilitatore di business.
