I professionisti della sicurezza delle informazioni sono spesso visti come persone con cui è arduo trattare o percepiti come coloro che mettono il classico bastone fra le ruote di molti interessanti progetti e, a causa delle restrizioni incessantemente richieste, come un collo di bottiglia per l’operatività produttiva e commerciale. Un’accusa piuttosto comune è quella di non essere sufficientemente orientati al business.

Sfortunatamente non è sempre così: ci sono dei casi in cui ciò non avviene, ad esempio quando il sedicente professionista di sicurezza si è inventato tale grazie all’estrazione da ambienti sistemistici o applicativi ma senza una formazione specifica, oppure quando accetta di affermare ciò che il management aziendale vuole sentirsi dire, cioè che i livelli di sicurezza sono sostanzialmente in linea e non vi sono particolari rischi, infrangendo senza tanti scrupoli la propria etica professionale.

C’è infine un’eccezione fortunata, cioè quando il management aziendale è già ben orientato e consapevole sui temi di sicurezza delle informazioni, un caso purtroppo molto raro.

Vorrei prendere spunto da un interessante articolo di Oliver Rochford dal titolo “Why Bad Security is Bad Business”, apparso di recente sul magazine Security Week, per sfatare questo falso mito sulla presunta intrattabilità dei professionisti di sicurezza e per fornire al lettore interessato una serie di valide argomentazioni a supporto della fondamentale importanza della sicurezza delle informazioni.

L’impatto degli attacchi informatici sul business

Ogni attacco informatico subito da un’azienda si traduce inevitabilmente in conseguenze più o meno considerevoli in vari ambiti e con diversi impatti, ad esempio:

• perdite finanziarie dirette costituite da interruzione della produzione, mancato rispetto di accordi commerciali, mancata sottoscrizione di nuovi accordi vantaggiosi, diminuzione del volume d’affari e aumento dei casi di frode;
• mancato rispetto di obblighi legali e regolamentazioni di mercato o di settore che possono comportare riduzione del rating di mercato e l’imposizione di penali e cauzioni monetarie;
• danneggiamento degli interessi commerciali e strategici a causa di informazioni non più integre (quindi fuorvianti) fornite al management aziendale, inefficienze operative e di produzione, sottrazione di segreti industriali, passaggio in posizione di svantaggio in fase di negoziazione;
• danno reputazionale, compromissione dell’immagine pubblica faticosamente conquistata in anni di duro lavoro, perdita di clienti e di possibili affari, decremento del livello di credibilità sul mercato e nel settore di riferimento, diminuzione della quotazione delle azioni.

Ne sono un chiaro ed eclatante esempio i casi di attacco informatico subiti da grosse aziende internazionali con ripercussioni nettamente superiori rispetto ai costi richiesti per le misure di sicurezza preventive.

Mi riferisco ai danni per oltre 24 miliardi di dollari subiti da Sony in seguito ad una violazione della rete PlayStation per una vulnerabilità di SQL Injection che poteva essere rilevata e risolta investendo meno di 10.000 dollari. Oppure all’attacco subito da Global Payments, uno dei più grossi fornitori di servizi di pagamento con carte di credito, che è stato recentemente rimosso dall’elenco dei provider conformi allo standard PCI DSS da parte di Visa e MasterCard, subendo un durissimo colpo e gravi ripercussioni sul proprio core business.

Vasco Data Security ha dovuto fronteggiare una perdita complessiva di quasi 20 milioni di dollari a causa del fallimento della certification authority DigiNotar da poco acquisita, come conseguenza di un attacco informatico nell’agosto 2011. Infine anche Nortel Networks, gigante delle telecomunicazioni e una delle più grandi aziende fornitrici di apparati di rete, ha scoperto di essere stata oggetto di numerose e ripetute intrusioni informatiche con sottrazione di segreti industriali e dati di sviluppo per circa un decennio: oggi Nortel Networks non esiste più.

Questi sono solo i casi più mediaticamente eclatanti di attacchi informatici che minano radicalmente il business senza risparmiare aziende di vaste dimensioni. Una semplice vulnerabilità, conosciuta, agevolmente sfruttabile e rilevabile con un investimento economico contenuto e poche semplici operazioni, può generare danni diretti sia economici che di reputazione in grado di affossare gli affari di qualsiasi azienda, anche la più florida sul mercato.

Il solito, vecchio, problema culturale

Alla luce dei casi sopra illustrati, non serve essere un genio per capire che uno scarso livello di sicurezza è certamente un pessimo affare. Considerando l’elevato costo che un’azienda dovrebbe sostenere in caso di attacco informatico, nonché le ripercussioni sulla reputazione, sui segreti industriali e sulla posizione di mercato, chi è più orientato al business? Il professionista di sicurezza che cerca di salvaguardare al massimo l’azienda e i suoi affari, oppure il professionista di business che prende determinate decisioni senza tenere in alcun conto la sicurezza aziendale e preparando il terreno per disastri informatici potenzialmente fatali?

Un concetto indiscutibile è costituito dal fatto che una corretta conduzione degli affari richiede che l’azienda e i servizi erogati siano scalabili, sostenibili e protetti da grosse perdite non necessarie e che, se possibile, vi sia la massima salvaguardia dei dati e dei beni critici (che costituiscono il patrimonio), dei livelli di apprezzamento del marchio (che identifica l’azienda) e della fidelizzazione della clientela (che porta i soldi).

Perché allora avvengono questi eventi così clamorosi? Il problema, come spesso avviene in questi casi, è dovuto alla storia, alla tradizione e, ovviamente, all’ignoranza. Chi opera nel business non si è ancora evoluto verso la consapevolezza delle nuove sfide, delle strategie innovative richieste e di come il modo di operare, di comunicare e di utilizzare le tecnologie sia in costante e sempre più rapido cambiamento, sebbene le conseguenze del mancato adattamento siano sotto gli occhi di tutti.

Le facoltà universitarie, i corsi e le specializzazioni sull’amministrazione aziendale non prevedono, nel loro programma, alcun accenno ad argomenti di sicurezza delle informazioni o di gestione dei rischi di sicurezza. In un mondo sempre più caratterizzato dalla digitalizzazione e dalla virtualizzazione dell’economia, questo è un grave errore nonché un chiaro segnale di arretratezza culturale. Il risultato è che, ancora oggi, i business manager ignorano i più fondamentali concetti di salvaguardia dei livelli di sicurezza aziendali, come la protezione dei dati critici, la classificazione dei dati e dei beni aziendali, l’analisi e la gestione dei rischi di sicurezza, la gestione degli incidenti di sicurezza o la continuità del business, rendendo oltremodo arduo il compito dei professionisti della sicurezza.

Si sente spesso che i security manager, i CISO e i CSO devono essere più focalizzati sul business e che il loro ruolo deve necessariamente essere più abilitante per il business: ebbene, anche questo è frutto della scarsa comprensione di dove siamo e dove stiamo andando in generale. L’obiettivo della sicurezza delle informazioni, infatti, è di assicurare che i dati aziendali, i beni, i sistemi e le telecomunicazioni siano adeguatamente protetti, così che il valore dell’azienda sia sufficientemente salvaguardato e che il business possa prosperare per molti anni a venire. Come cita giustamente l’autore dell’articolo sopra citato, la sicurezza deve essere insita nel tessuto dell’azienda o non sarà mai olistica, organica e, quindi, efficace. Qualsiasi altro approccio produce un business con un po’ di sicurezza, non un business sicuro.

Il business manager del futuro

Il business manager del futuro dovrà essere molto più consapevole, informato e rispettoso dell’importanza della sicurezza delle informazioni e delle sue implicazioni per avere successo. E sia chiaro che non è (solo) un problema di insufficiente formazione o di scarso tempo a disposizione, perché la sicurezza non è un’abilità da acquisire ma un’attitudine mentale, una forma mentis che deve provenire dalla comprensione dei rischi e dal risultante stato di “paranoia informata” che si sviluppa come conseguenza.

Questa attitudine mentale è oggi un requisito fondamentale se si desidera fare business al giorno d’oggi e ancora di più in futuro. Siamo sulla soglia di una nuova era che cambierà il modo in cui il mondo intero funziona, comunica e si struttura, pertanto il business deve evolversi rapidamente per adattarsi alle nuove condizioni. Un fallimento in tal senso può significare la fine di un’azienda.

Il paradigma da capovolgere

In base agli eventi negativi registrati nel recente passato e in considerazione della corrente attitudine verso la sicurezza delle informazioni, il quadro generale delle aziende non è certo esaltante. La sicurezza è tuttora vista come un costo supplementare senza un beneficio misurabile, nonché un qualcosa da attuare obbligatoriamente e a malincuore per essere conformi a leggi e regolamentazioni.

Circa 20 anni fa non esisteva l’uso comune di dispositivi mobili, il lavoro si svolgeva prevalentemente su carta e le reti erano ancora dedicate al solo trasporto di fax e stampe. Oggi non siamo più così isolati. Oggi non è più tollerabile, per gli azionisti e i clienti di un’azienda, avere un management incapace di comprendere l’importanza della sicurezza e della gestione dei rischi. Se i professionisti di sicurezza vengono accusati di mettere i bastoni fra le ruote al business, la medesima accusa può essere mossa nei confronti dei business manager in riferimento alla sicurezza aziendale.

Criminali informatici, cyber terroristi, cyber spie e guerra cibernetica costituiscono una minaccia reale, presente, organizzata e dannatamente pericolosa. Una minaccia talmente grave da essere in grado di assumere il ruolo di selettore naturale del mercato, colpendo senza pietà le aziende e le organizzazioni che più faticano ad adattarsi alle mutate e crescenti esigenze di sicurezza, anche fino a provocarne l’estinzione.

Bisogna partire dalla cultura

L’attitudine mentale alla sicurezza delle informazioni e alla gestione dei rischi deve partire necessariamente da un’adeguata cultura. Così come la sicurezza deve essere integrata nel tessuto aziendale, essa deve essere parte integrante anche della formazione orientata all’amministrazione aziendale. Facoltà universitarie, master, specializzazioni e corsi di formazione professionale devono prevedere una parte di programma che affronti i concetti di sicurezza delle informazioni e li coniughi con tutti gli altri aspetti, perché diventino parte inscindibile del DNA del manager del futuro e contribuiscano allo sviluppo della corretta forma mentale richiesta dal mercato moderno.

Per concludere, in merito al falso mito dell’impossibilità di misurare la sicurezza delle informazioni, invito il lettore a consultare lo splendido lavoro svolto da AIEA, Clusit, Oracle, Deloitte, Ernst & Young, KPMG e PriceWaterhouseCoopers sul ROSI, ovvero “Return on Security Investment”, un metodo di valutazione dei vantaggi potenziali di un investimento in sicurezza delle informazioni. Il ROSI dimostra che le spese di sicurezza possono fornire un ritorno in termini di riduzione della probabilità di accadimento di una minaccia e, quindi, del relativo impatto negativo sul business aziendale.

Nonostante la sicurezza spesso richieda una spesa certa a fronte di un danno incerto poiché non ancora verificatosi, essa non fornisce solo protezione ma in vari casi diventa direttamente produttiva per l’azienda, abilitando e rendendo fruibili servizi altrimenti non erogabili, in particolare i servizi legati alla protezione della persona, della proprietà e della posizione finanziaria. Non solo, la sicurezza può consentire un risparmio diretto abilitando servizi che riducono sensibilmente i costi di erogazione e gestione, oppure può fornire benefici tangibili in termine di immagine grazie alla percezione di solidità ed affidabilità che l’azienda può vantare verso la clientela, anche in termini di conformità a leggi, regolamentazioni e standard di settore.

In foto: il classico manager aziendale con evidenti difficoltà di evoluzione…

Ettore Guarnaccia