Il tema della sicurezza sta dimostrandosi uno dei punti di confronto più importanti dell’architettura informatica aziendale ma il management italiano spesso ha più paura degli investimenti necessari che non dei rischi. L’impasse può essere risolto da una nuova figura manageriale, dotata di competenze trasversali di tipo tecnologico ma anche relazionale: il security manager. Con Ken Millard, security manager di TrendMicro, cerchiamo di scoprire le caratteristiche di una professionalità sempre più richiesta dal mercato.

"Dopo essermi laureato in scienze informatiche a Stanford, negli Stati Uniti sono andato a lavorare in Australia per un anno. Ormai sono in Italia da quindici anni. All’inizio mi occupavo del supporto tecnico telefonico in Doct. Salomon ma, successivamente, mi hanno dato in carica alcuni clienti diretti, in qualità di product manager. Per questo, a livello di iniziativa personale, mi sono preoccupato di prendere una specializzazione in marketing attraverso una scuola per corrispondenza inglese da noi molto accreditata. Per fare il lavoro di product manager, infatti, ritenevo di dover aggiungere conoscenze di marketing strategico alle mie competenze tecniche ma, a dire la verità, questo non mi è servito a molto perché in azienda ritenevano che fossi troppo bravo come tecnico e che fosse sprecato il mio impiego nel settore commerciale. In breve tempo mi sono ritrovato a coprire il ruolo di una figura jolly: un po’ support manager, un po’ technical manager e un po’ security manager, a seconda delle situazioni. Devo ammettere che l’esperienza di marketing mi è servita comunque moltissimo, perché mi ha permesso di comprendere meglio che l’informazione, anche la più tecnica, deve essere trattata in maniera strategica e divulgativa e che la comunicazione è molto importante. I tecnici spesso dimenticano che devono relazionarsi con il resto dell’azienda e che per poterlo fare nella maniera migliore devono saper comunicare con tutti. Da cinque anni a questa parte, lavoro in TrendMicro come security manager e ancora oggi mi trovo a dover spesso mediare la realtà tecnica con quella... umana".

"Si riassumono in 3P: prodotti, procedure e persone. Oltre a un know how sempre addestrato e aggiornato sui prodotti e sulle procedure che permettano di elaborare strategie reattive a ogni attacco alla sicurezza aziendale, un security manager deve avere forti doti di relationship. Per esempio stabilire un licenziamento nel caso un dipendente abbia commesso qualcosa di grave o valutare l’allontanamento di una persona rispetto al ruolo occupato per inadeguatezza. Un security manager, infatti, lavora con tutto lo staff aziendale attraverso un delicato equilibrio di rapporti che coinvolgono anche il campo delle risorse umane. Di per sé non basta la conoscenza di tutte le tecnologie sulla sicurezza e, in ogni caso, sarebbe un’impresa invana perché il campo dei virus è davvero infinito. L’importante è poter contare su di uno staff di collaboratori preparati con cui sia possibile condividere le diverse e varie esperienze circa i possibili attacchi o le nuove infezioni. Un altro contributo importante è il costante contatto con tutta la comunità dei security manager attraverso technical list, newsgroup, siti dedicati e via dicendo. C’è poi l’altro lato della Rete, cioè cosa fanno i pirati e non è un’attività semplice perché non è facile spiarli. Sono molto furbi e, pur condividendo una filosofia d’azione che vede Internet quale principale veicolo di scambio e di contatto, hanno affinato sofisticate tecniche di comunicazione che spesso possono depistare. Un security manager deve entrare in questa logica e cercare di capirne percorsi e finalità".

"Non proprio, perché bisogna distinguere tra un hacker e un cracker. Solo un hacker potrebbe essere un buon security manager perché nella sua natura c’è una strategia e una conoscenza tecnica di altissimo livello. I cracker hanno altre finalità".

"Il primo motivo è che in Italia i pc sono arrivati tardi e, di conseguenza, è arrivata tardi una cultura della sicurezza. Il percorso è soltanto più lento e questo ha i suoi vantaggi: in questo modo c’è tempo di fare tesoro delle esperienze altrui senza soffrire i passi falsi commessi, per esempio, da altri Paesi che oggi sono più avanti. Certo è che in Italia manca una conoscenza specifica di che cosa sia la sicurezza informatica: con Internet tutti hanno potenzialmente lo stesso tipo di conoscenza e di informazioni. Il problema è che le aziende devono saper scegliere e per farlo ci vuole lo skill giusto. A livello manageriale, invece, mancano le competenze necessarie per realizzare una politica della sicurezza che possa coprire ogni livello dell’organizzazione aziendale. Non capendo realmente in che misura e di che entità possano essere i rischi, si pensa di poter evitare il problema. In realtà, gli investimenti spaventano più dei rischi. Invece ogni aziende dovrebbe prima di tutto rispondere a questa domanda: cosa si vuole cercare di proteggere? La risposta dipende da ogni singolo caso specifico: ci sono aziende che sono collegate solo in locale e che hanno diverse macchine stand alone che corrono infinitamente meno rischi di altre che, al contrario, hanno un livello di networking avanzato e devono gestire database pieni di informazioni relative a un ricchissimo portfolio clienti. Bisogna pensare che negli archivi sono compresi non soltanto i dati personali ma anche informazioni come, per esempio, il numero della carta di credito. Il fatto è che bisogna abituarsi a pensare che i pirati non sono un fenomeno locale ma esistono a livello internazionale. Se è vero che in valore assoluto l’informazione italiana ha meno valore di quella inglese, è pur vero che con la globalizzazione è sempre più difficile che i dati aziendali siano trattati esclusivamente nella lingua del paese di origine. E quando un intruso riesce a entrare nella rete informatica di un’organizzazione il danno è fatto".

"In effetti, per molte aziende è la strada migliore, ma anche qui bisogna saper distinguere: dipende da chi la offre e dipende che cosa si vuole proteggere. Affidare a una società in outsourcing la sicurezza del proprio sistema informativo crea in ogni caso problemi di ordine logistico perché si apre un canale all’esterno che può essere ulteriore fonte di attacchi pirata. Sul tema della sicurezza oggi sono in tanti a spacciarsi da superesperti. Per questo credo che il discorso della certificazione sia più che mai sensato: che sia erogato dalle case produttrici di antivirus o da un ente superpartes, non fa differenza. L’importante, ripeto, è creare una cultura della sicurezza che sappia abbinare competenze tecniche di alto livello e specializzate a una forma mentis flessibile e capace di reagire subito a ogni attacco al sistema, coinvolgendo ogni livello aziendale".