mercoledì 14 febbraio 2007

Sicurezza: quale strada prendere

La sicurezza informatica è qualcosa di importante. Non è solo un mercato. Non è solo una necessità. Dalla sicurezza informatica, di fatto, dipende molto spesso la sopravvivenza delle aziende e quindi, del Paese.
Il legislatore a predisposto e continua a predisporre leggi, norme e regole al fine di "regolamentare" il mercato e portare un po' di chiarezza.
Queste leggi, che siano nazionali, internazionali, trattati o via di seguito, hanno un fortissimo impatto sulle aziende, anche in termini di costi.
Basilea 2, tanto per fare un esempio, impone alle banche una serie di cose, ma anche le aziende sono coinvolte al fine di produrre materiale informativo standard. Così per il DPS o per i login degli utenti.
Si sta generando, quindi, una domanda dovuta alle normative, e una domanda dovuta alla voglia di proteggere i dati, quali asset fondamentale delle imprese.
Ma qual è il principale problema?
La valutazione del rischio.
Infatti, acquistare tutto ha un costo, ma soprattutto c'è un costo di gestione che è sempre crescente e nascosto.
E tutto va protetto nello stesso modo?
No.
Per esempio, il team di ricerca e sviluppo di un'azienda, che ha una regolamentazione precisa per l'ingresso del personale, deve avere una protezione maggiore rispetto al reparto di spedizione del materiale.
Questo significa aver valutato i rischi e investito nel modo giusto.
Le spedizioni richiedono continuità, la ricerca e sviluppo, oltre alla continuità, richiedono che i dati siano crittografati, protetti con accesso controllato, impossibilità di copia o di stampa e così via.
La sicurezza, quindi, non è solo una questione di virus, spamming e phishing, ma di cultura.
I noti hacker Tavaroli e i Ghioni, tanto per fare un esempio sotto gli occhi di tutti, se vogliono accedono ai dati. Bisogna decidere che "muro" mettere per salvaguardarsi dai hacker da quattro soldi.
Un po' come facciamo con le porte.
Nelle nostre case ci sono porte normali, oppure ci sono porte blindate per evitare i furti nelle zone a rischio, poi ci sono i tornelli elettronici con metal detector per proteggere le banche e casseforti spesse un metro per i soldi.
Si valuta il rischio e si spende di conseguenza.
In Italia, forse anche perché qualche azienda ci ha sguazzato e qualche System Integrator ha speculato, si tende ad aggiungere pezzettini al puzzle della sicurezza.
In questo modo, il sistema è difficilmente controllabile, e le vulnerabilità non vengono "tappate" in fretta.
E' come se per entrare in casa abbiamo la chiave del portone, la chiave dell'ascensore, un codice per disattivare l'antifurto ma lasciamo le chiavi dentro la toppa della porta. Uno entra, se ne frega se suona l'allarme, arraffa quel che riesce e se ne va.
La sicurezza informatica, troppo spesso, funziona così.
Share: