La cultura della sicurezza delle informazioni è ancora poco diffusa nelle aziende italiane, siano esse piccole, medie aziende o grandi organizzazioni. La difficile comprensione e diffusione della sicurezza delle informazioni è dovuta principalmente al bagaglio di cultura informatica piuttosto “arretrato” che i responsabili d’azienda e i grandi manager continuano a portarsi appresso. Arretrato nel senso che si continua a dare importanza all’erogazione dei servizi di business senza preoccuparsi dei diversi aspetti della sicurezza.

Certo, quasi tutti hanno il famigerato firewall, il fidato antivirus o l’utilissimo anti-spam. Ma quanti hanno affrontato gli aspetti di sicurezza inerenti ruoli e responsabilità, analisi dei rischi tecnologici e operativi, privacy, confidenzialità dei dati, backup e restore, disaster recovery, business continuity, vulnerability management, politiche di sicurezza, logging, monitoraggio, ecc.? Quasi tutti questi aspetti sono dei perfetti sconosciuti per la maggioranza dei manager, anche in ambito IT. Molti di questi manager provengono da esperienze mainframe-centriche, altri da realtà di pubblica amministrazione o medie imprese, e pochi di essi scelgono di migliorare la propria conoscenza con corsi di formazione professionali mirati sulla sicurezza e sull’amministrazione dei suoi diversi aspetti.

In realtà, sulla sicurezza delle informazioni ci si gioca una buona parte degli investimenti in ambito IT, in particolare nelle grandi aziende, dove gli investimenti sono cospicui; ma qual è il ROI di questi investimenti sulla sicurezza? Basso, estremamente basso. Ciò è frutto di disegni architetturali profondamente sbagliati e spesso filosoficamente obsoleti, di utilizzo errato degli strumenti di sicurezza (firewall, IDS, IPS, antivirus, anti-spam, controllo accessi, ecc.), di scelte strategiche poco lungimiranti e scarsamente efficaci, di un’ottusa applicazione dei più basilari criteri di sicurezza da parte di fantomatici “esperti di sicurezza” senza adeguato background. Molti sono, purtroppo, i personaggi con un’estrazione sistemistica di base che si spacciano per esperti di sicurezza delle informazioni basandosi su nozioni e leggende per la maggior parte sentite da consulenti o lette su riviste di informatica.

La spesa sulla sicurezza delle informazioni è in netta crescita, così come sono sempre più numerosi i servizi offerti da società di consulenza e da produttori di software e hardware del settore. Molti di essi, la maggior parte purtroppo, verranno acquistati a costi rilevanti e utilizzati per meno della metà delle loro potenzialità. E spesso in situazioni aziendali con livelli di sicurezza generali disastrosi, con personale senza skill adeguati e con manager non all’altezza.

Anche in ambiti notevolmente ridotti, dalla piccola azienda artigiana fino al semplice utilizzo di un personal computer in ambito casalingo, la sicurezza è percepita e compresa poco e male. Molti si vantano di aver acquistato l’ultimo modello di router ADSL wireless dotato di firewall, ma quanti lo sanno configurare adeguatamente e quanti, invece, credono che basti semplicemente accenderlo per essere sicuri?

Da una recente inchiesta risulta che circa la metà di un campione di persone intervistate naviga o ha navigato su Internet sfruttando accessi wireless altrui: moltissimi sono, infatti, gli utenti casalinghi e di imprese medio-piccole che adottano sistemi di accesso ad Internet Wi-Fi senza adeguate misure di protezione. Avete mai sentito parlare di WEP, WPA-PSK, SSID, MAC filtering o passphrase? Se la risposta è no, probabilmente il vostro router wireless è attualmente utilizzato anche da terzi per navigare gratuitamente su Internet a vostre spese, e se avete un contratto a consumo potete immaginarne le conseguenze. Ricordatevi che il segnale di un’apparecchiatura wireless si propaga anche per 50-100 metri e non si ferma sui muri della vostra abitazione o dell’azienda. Basta fare un giretto in una qualsiasi zona residenziale o in una zona industriale della vostra città con un pc portatile dotato di scheda wireless per ottenere una nutrita lista di accessi non protetti, quindi potenzialmente sfruttabili per navigare a sbafo.

Allora qual è il valore aggiunto della sicurezza delle informazioni? Perchè spendere tutti questi fondi per acquistare strumenti e servizi per avere comunque livelli di sicurezza insufficienti? Come può la sicurezza delle informazioni aumentare il livello della vostra sicurezza?

Prima di tutto fornendo la cognizione, cioè rendendo più chiari e comprensibili ai neofiti gli aspetti di sicurezza e i rischi ad essi correlati. Poi fornendo la consulenza necessaria al corretto uso degli strumenti di sicurezza, al di là della semplice installazione. Anche la definizione di processi organizzativi e politiche di sicurezza, ovviamente in ambito aziendale, è fondamentale per innalzare notevolmente i livelli di sicurezza. Spendere semplicemente soldi per acquistare firewall, antivirus, anti-spam e chissà cos’altro non serve a nulla: ci vuole una struttura che si occupi di tutti gli aspetti di sicurezza delle informazioni nel suo complesso.

Il maggiore handicap delle aziende italiane, comprese le grandi società finanziarie, è proprio quello di non dare il giusto peso alla sicurezza delle informazioni e di affidare l’amministrazione della sicurezza al sistemista o allo “smanettone” di turno che si trova ad operare senza un’adeguata preparazione professionale. In moltissimi organigrammi si trova la sicurezza “annegata” nella struttura IT o, peggio, in sottostrutture operative: niente di più sbagliato! La sicurezza non può non essere un servizio a livello di staff dirigenziale, fuori dalla struttura che si occupa di fornire servizi informativi e gerarchicamente sopra di essa. Questo è l’errore più frequente delle aziende italiane che, in tal modo, non danno il giusto commitment al responsabile della sicurezza.

Ettore Guarnaccia