Dopo aver letto un’analoga lettera aperta, ho deciso di trarne ispirazione, tradurla, riadattarla e integrarla, con l’obiettivo di rappresentare ai tanti dirigenti d’azienda, che tuttora vivono nel medioevo informatico, l’importanza fondamentale della sicurezza e della gestione del rischio, i pericolosi ed errati preconcetti che ancora sopravvivono nella loro cultura, l’importanza della conformità e dei relativi controlli. Ma soprattutto per richiamarli alle loro responsabilità verso l’azienda e verso i dipendenti: se riuscirò a fare breccia anche su un solo dirigente, ne sarà comunque valsa la pena.

Caro Dirigente,

durante la riunione conclusiva, osservavo con attenzione il suo linguaggio corporeo mentre le veniva consegnato il report finale che attestava quanto la sua azienda fosse protetta e sicura. Stando a quanto ho potuto notare, è purtroppo terribilmente palese che lei non abbia la benché minima cognizione sull’importanza della sicurezza e che, in realtà, non gliene importa un fico secco. Siccome auspicavo che il mio compenso venisse corrisposto, mi sono dimostrato oltremodo garbato e non l’ho redarguita come avrebbe meritato.

Tuttavia, mi consenta di esporle la situazione in forma più schietta affinché lei possa comprenderla al meglio.

Primo e più importante punto: lei, come dirigente della sua azienda, ha la responsabilità fiduciaria di proteggere i beni e i dati aziendali. Poiché molti dirigenti tendono a dimenticarlo, le ricordo che la sua responsabilità si estende al posto di lavoro dei suoi dipendenti e al benessere delle loro famiglie. Ebbene, stando ai rilievi che le ho espresso nel report finale, lei non li sta proteggendo adeguatamente e non è nemmeno vicino ad un livello accettabile di protezione. Mi rendo conto che tutta questa tecnologia la possa confondere, ma è proprio in essa che risiede e scorre la linfa vitale della proprietà intellettuale della sua azienda, sotto forma di documenti, dati, ordini, formule, schemi, specifiche, segreti industriali, anagrafiche di clienti e fornitori, e molte altre informazioni chiave, critiche o sensibili. Senza questa proprietà intellettuale, la sua azienda semplicemente non esisterebbe. Eppure, man mano che abbiamo passato in rassegna i diversi punti del report, mi sono ritrovato a dibattere più volte con lei su quanto fosse necessario profondere in termini di tempo, soldi e manodopera per proteggere adeguatamente la sua azienda. Nonostante io apprezzi sentitamente le sue preoccupazioni in tal senso, tutti questi sforzi sono fondamentali se si vuole proteggere un’azienda che si affida pesantemente alla tecnologia.

Secondo: la sicurezza non è infallibile. Non so proprio da dove lei abbia tratto l’impressione che la sicurezza sia infallibile, ma è un concetto profondamente sbagliato ed è necessario che lei abbandoni al più presto questo preconcetto. La sicurezza al 100% non esiste: essa consiste soprattutto nel rilevare, gestire e minimizzare i rischi. Guarda caso, in qualità di dirigente, questa è una delle sue funzioni primarie. Eppure, leggendo le analisi dei rischi degli anni scorsi, sono giunto all’amara conclusione che i rischi e la loro gestione non sono per lei una priorità. Come se non bastasse, nel report ho evidenziato una serie di aree soggette a rischi rilevanti, eppure non esiste evidenza alcuna a dimostrare che tali rischi siano stati adeguatamente gestiti. Le raccomandazioni che le ho fornito offrono già una serie di soluzioni applicabili, ma tutte richiedono precisi cambiamenti nell’organizzazione aziendale che, purtroppo, sembrano essere proprio la principale ragione per cui le mie raccomandazioni non risultano attuabili.

Terzo: non proteggerà mai la sua azienda facendo solo il minimo indispensabile. Se prendiamo in considerazione gli standard di sicurezza, la loro struttura portante è una semplice anticipazione di quanto si è chiamati a realizzare. Se vuole essere realmente e sufficientemente sicuro, ci vuole un lasso di tempo significativo e un certo volume di investimenti perché ciò accada. Acquistare dispositivi di sicurezza e altri mirabolanti prodotti di protezione può produrre ben poco. Uno dei principali rilievi del report riguarda proprio la constatazione che gli strumenti di sicurezza attualmente in uso non vengono utilizzati correttamente, e che avvisi ed allarmi vengono sistematicamente contrassegnati come falsi positivi senza alcuna indagine. Considerando l’aumento esponenziale del livello di sofisticazione degli attacchi informatici, secondo le mie rilevanze questi strumenti stanno facendo molto poco per proteggere la sua azienda. Altro aspetto preoccupante è che la maggior parte dei dipendenti dell’azienda è incapace di riconoscere le attuali truffe e minacce. Come lei ha giustamente osservato, la formazione e la consapevolezza sugli aspetti di sicurezza non fermeranno qualsiasi attacco, ma ciò che certamente le sfugge è che esse consentirebbero di ridurre significativamente l’incidenza e l’efficacia di eventuali attacchi.

Quarto: le consiglio di consultare con attenzione la definizione di “compliance”. Come definito in letteratura, il termine compliance indica la conformità nel soddisfare i requisiti ufficialmente imposti. Come dimostrano i risultati del report, la sua azienda non rispetta una lunga serie di importanti requisiti ufficiali definiti da leggi, regolamentazioni e standard. Senza appositi requisiti ufficiali, sotto forma di politiche, norme, procedure e linee guida, come possono i dipendenti della sua azienda conoscere le loro responsabilità e i compiti per i quali lei li ritiene imputabili? Stando alla nostra discussione sul report, ho maturato l’impressione che lei ritenga che i suoi dipendenti debbano conoscere i propri compiti e responsabilità solo a livello di intuizione. Purtroppo l’intuito può aiutare moltissimo nell’uso di uno smartphone o di un tablet, ma di certo non nella conduzione di un’azienda.

Ultimo punto: un programma di compliance non consiste solo nello spuntare caselle. Sono molti i consulenti e gli ispettori che operano in questo modo, perché la maggior parte dei dirigenti esigono espressamente che lavorino così. Ma un vero e proprio programma di compliance non dovrebbe mai svolgersi con questo criterio. Compliance significa verificare tutti i controlli in termini di protezione, rilevazione e reazione/correzione (la cosiddetta triade dei controlli, n.d.r.) e determinare se: (1) stanno funzionando correttamente, (2) sono disegnati correttamente, (3) stanno effettivamente minimizzando i rischi e (4) vi è necessità di nuovi controlli o di modifiche e miglioramenti dei controlli esistenti affinché funzionino in maniera più accurata ed efficace. Sebbene lei abbia concordato con i rilievi da me espressi, il suo atteggiamento nell’argomentare i controlli di conformità lasciava intendere altrimenti.

Per concludere, auguro a lei e alla sua azienda la migliore fortuna, poiché pare proprio che la sua idea di gestione dei rischi sia fortemente basata sulla buona sorte. Mi piacerebbe tanto poterle dire che questo suo approccio potrà risultare vincente, ma purtroppo le statistiche affermano l’esatto contrario.

Cordialmente,

Il suo consulente frustrato.

Ettore Guarnaccia

Liberamente tratta da: “An Open Letter to Executives” – Infosec Island