L’It Security Conference 2003 di Idc ha evidenziato che il problema deve essere affrontato con una vision sistematica. Integrazione era la parola d’ordine del convegno, in quanto gli attacchi adottano tecniche miste. Necessario un maggior controllo sul comportamento dei dipendenti.
La sicurezza come elemento di efficienza e sviluppo. È questo l’approccio corretto secondo Idc, che ne propone l’adozione, invitando alcuni tra i principali protagonisti del settore a confrontarsi con questa visione. Quindi non più focus sulle minacce, che sono innegabilmente in crescita, né sulle soluzioni, che, costi permettendo, sono disponibili, bensì attenzione a un’introduzione sistematica della sicurezza che fornisca una visione completa, aggiornata e coerente delle sfide del mercato, delle possibili soluzioni e delle strategie gestionali associate.
Eppure il mercato italiano è ancora lontano da quest’ottica, come ha dimostrato la stessa Idc, attraverso una ricerca che ha coinvolto 609 responsabili It di aziende sia di medio-piccole sia di grandi dimensioni. Ezio Viola, group vice president e general manager Idc Southern Europe, presentando i risultati dell’indagine, ha dichiarato: "Gli utenti italiani appaiono ancora legati a un approccio della sicurezza centrato sui pericoli più evidenti, piuttosto che basato su una visione sistematica e sulla pianificazione".
Lo dimostra il fatto che le aziende investono in prodotti singoli per risolvere problemi specifici. In particolare, le minacce più sentite, secondo lo studio, sono i virus (citati dal 73% degli intervistati), gli attacchi compiuti da hacker esterni (49%), gli accessi non autorizzati al database aziendale (43%) e i danni causati involontariamente dai dipendenti (38%). Meno importanti, soprattutto rispetto a un passato neanche troppo remoto, sono i sabotaggi interni, citati solo dal 5,4% del campione. Ne consegue che antivirus e firewall sono i prodotti più acquistati, mentre soluzioni avanzate, quali intrusion detection system (Ids), sistemi di Single Sign On (Sso) e applicazioni di autenticazione, autorizzazione e accounting (3A), sono appannaggio di un numero limitato di aziende evolute.
Che l’approccio sia poco sistematico è dimostrato anche dal fatto che solo il 34% delle aziende realizza una chiara definizione di policy di sicurezza e, se un ulteriore 29% è intenzionato a sviluppare una politica in tal senso a breve, ben il 36% delle aziende dichiara di non prevederla.
Secondo la società d’analisi, però, si può essere moderatamente ottimisti, perché il mercato sarebbe in realtà pronto e a dimostrazione Viola ha citato un dato: "Oltre il 51% delle aziende intervistate percepisce la sicurezza informatica quale fattore competitivo importante". A ulteriore conferma, si osserva una crescente diffusione di applicazioni online e di piattaforme aperte e interattive. Il che alimenta l’approccio integrato alla sicurezza, pur essendoci un 44% di aziende che ritiene la sicurezza It solo una necessità tecnologica.
D’altro canto, quella dell’integrazione è un’esigenza sentita innanzitutto dai fornitori di soluzioni di sicurezza, anche per rispondere a uno sviluppo in tal senso delle minacce. Worm e affini, infatti, hanno dimostrato che gli attacchi alla sicurezza It si stanno affinando, adottando tecniche miste che richiedono appunto soluzioni integrate.
Su questo fronte sono allineate tutte le società intervenute all’evento It Security Conference 2003 di Idc, tra cui Cisco Systems, Computer Associates, Check Point, Internet Security Systems, Microsoft, Nokia Internet Communications, Novell, Siemens Informatica, Symantec, Tyraeus e Trend Micro.
Uno dei fronti di integrazione, inoltre, secondo Viola, è quello tra la sicurezza fisica e quella logica: sempre più le persone saranno controllate nei loro movimenti. In particolare, per esempio, l’accesso all’edificio e quello al sistema informativo di un’azienda saranno sempre più correlati, con sistemi di autenticazione condivisi, che consentono di monitorare il comportamento dell’impiegato. Ancora una volta, diventerà stringente il conflitto tra sicurezza e controllo, da un lato, e privacy, dall’altro.
