La manifestazione annuale dedicata alla sicurezza It, quest'anno commista a StorageExpo, ha sostanzialmente portato alla luce il tema della cultura, di un comune sentire, di una condivisione di interessi e intenti, che non c'è.

Non c'è ancora, ottimisticamente verrebbe da dire. Sta di fatto che una consapevolezza diffusa nel mondo imprenditoriale circa la necessarietà dell'investimento in sicurezza informatica, langue o, a tratti, non esiste proprio.

A manifestazione ancora in corso, dati ufficiali sull'affluenza non li abbiamo. Siamo in possesso, però, di voci raccolte, di sensazioni visive, di un vissuto prossemico, che ci dicono che, per quanto l'impegno dei vendor ci sia stato, Infosecurity abbia ancora una volta portato alla luce un'incompiuta.

E non che la causa sia la tecnologia. Anzi, mai come in questo momento, e l'opinione non è nostra, ma di Francesco Orrù, Security strategy lead di Microsoft, l'offerta tecnologica è ai massimi livelli. Tutto si può fare, insomma, se si vuole. Ogni struttura potrebbe essere messa al sicuro, basterebbe effettuare gli investimenti giusti.

Mancano questi, quindi. O, perlomeno, manca la volontà a investire in sicurezza. E se lo dice Microsoft, che ha puntato buone carte su un nuovo ruolo, quello di "incubatore tecnologico" (ovvero di integratore di tecnologie che abilitano la sicurezza il più possibile a monte), come dimostra, per esempio, la recente acquisizione di Sybari, c'è da crederci.

La strada dell'incubatore tecnologico sembra essere l'unica, che, in virtù di un carico programmatico, possa smuovere gli investimenti.

Sempre secondo Orrù, infatti, «la massa si muove lentamente. Bisogna fare arrivare sul mercato soluzioni che abbiano nel codice genetico i valori della sicurezza».

C'è da far passare il concetto che anche l'It ha un ciclo di vita. Ovvero, l'utente deve approcciare l'infrastruttura It come un bene industriale, al pari dei cespiti, come quelli sottoposti a leasing.

«Invece non lo fa - dice Orrù - perché ritiene il software come un bene non deperibile. A volte addirittura non concepisce che un prodotto software possa andare fuori produzione».

Morale: non c'è domanda di software allo stato dell'arte, e cioè sicuro, perché non c'è cultura di investimento It. Deduzione confermata da un ulteriore campanello d'allarme.

«C'è un nuovo fenomeno da temere, che è già in atto, quello degli attacchi sofisticati ai sistemi imprese. Il problema va oltre il banale, per quanto importante, phishing di dati di carte di credito. Qui si tratta di captazione di segreti industriali. La cosa preoccupante è che laddove casi sono accaduti, non c'è stata denuncia all'autorità giudiziaria. E' in atto un uso cinico degli strumenti di attacking per carpire valore d'azienda e di ciò le aziende non se ne accorgono. Ecco perché stiamo costruendo una stima del Cost of non investment (Coni, ovvero, il contrario del Roi: quanto ti costa non investire, ndr). Lo studio di fattibilità lo stiamo facendo presso aziende medio-grandi. Ma la vera sfida è convincere l'azienda media. Anche perché per servire bene il segmento Pmi, devi riuscire a far passare una visione di utility del software, qualcosa che ti faccia fare economie, ti garantisca uno Sla e sia scalabile. E, per tornare all'inizio, l'attuale abbondanza di tecnologie lo rende possibile». Ma a quali costi? E con

Prendiamo l'acquisizione di Sybari da parte di Microsoft?. «I partner - dice Orrù - dovranno formarsi, e i nostri lo faranno. Ma, in linea generale, nel settore It chi lavora sul campo lo fa con tariffe bassissime, per sviluppare il mercato. Per cui, quando deve tagliare costi, i primi a saltare sono quelli legati alla formazione. Sbagliato».

Se poi si considera l'aspetto privacy, le cose si complicano su un piano ulteriore. «La privacy non c'è - dice Orrù -. Basti pensare all'uso distorto e non responsabile che si fa dei servizi di posta free anche per fini professionali».

Eppure una legge sulla secretazione dei dati elettronici esiste. Ora c'è pure quella che omologa il valore legale della posta elettronica a quella cartacea.

A sentire Nicola Gatta di Certiquality, l'Istituto di certificazione della qualità che fornisce attestati di garanzia per siti internet preposti ad applicazioni online e per la protezione di informazioni aziendali, quanto legiferato sinora non basta.

«La Pubblica amministrazione e le aziende che vi hanno a che fare si sono un po' mosse sulla norma Bs7799, per la gestione della sicurezza delle informazioni. Ma il settore privato ha fatto poco. Si è mosso un po' appena entrata in vigore la legge sulla Privacy, ma ora la curva di interesse di è affievolita».

Il problema, anche secondo Gatta, è culturale. Senza una legge che ti obbliga a certificare la tua sicurezza, anziché consigliartelo, non si muove nessuno. Le aziende lo fanno solo se le associazioni industriali dettano delle regole proprie. Qualche consulente intravede possibilità per lo sviluppo del proprio business. Ma siamo ancora in un campo aperto e non in un mercato della certificazione organizzato.

Insomma, anche su un tema delicato e con riflessi in campo legale, come quello della sicurezza It, pare che le aziende intendano muoversi con gli stessi stilemi utilizzati per tutto il resto dell'attività: economizzare il più possibile.

C'è anche chi, sul fronte dei vendor, sa cogliere l'opportunità e punta a fornire ciò che utilizzatori di tale stampo richiedono.

Un esempio valido è Kerio, società americana che realizza firewall per Vpn clientless e mail server software (e distribuita, tra gli altri, da Coretech) caratterizzati da semplicità d'uso, facilità nella gestione delle licenze e prezzi di partenza bassissimi. Il tool di collaboration, Mail Server 6.1, per minimo venti utenti ma scalabile fino alle migliaia, si mette addirittura in competizione con Exchange, integrando un antispam opensource, l'antivirus di McAfee e dando il clustering con replica di cartelle condivise. Il tutto, in versione base, per qualche centinaio di dollari.

E non per nulla a cui la casa californiana ha affidato il ruolo di marketing manager è un ceco, Jan Vobruba, evidentemente una persona che conosce bene i mercati dell'est europa, il cui sviluppo va costruito con la leva del prezzo, dato il costo di impresa più basso.

Quella di Kerio può essere una soluzione, con seri presupposti tecnologici, ma che comunque non può rappresentare la via definitiva alla soluzione del problema della pervasione della sicurezza It. Ovvero, la chiave di lettura del risparmio non fa cultura.