Gigi Tagliapietra presidente del Clusit (Associazione italiana per la sicurezza informatica) traccia le linee guida per impiegare bene i propri soldi
Ormai lo sentiamo dire da
tempo. I budget dedicati all’It
sono sempre più “risicati”
e le necessità, per contro, si fanno
sempre più pressanti. Conformità
alla legge, privacy e altri “grattacapi”
affliggono i responsabili
It (e i security manager in particolare),
anche se le possibilità di
spesa sono sempre più contenute.
E allora come fare a orientarsi tra
le diverse tecnologie, ottimizzando
il ritorno sugli investimenti? Lo
abbiamo chiesto a un vero esperto
di protezione dei sistemi informativi,
Gigi Tagliapietra, presidente
del Clusit (Associazione italiana
per la sicurezza informatica).
“La security – esordisce Tagliapietra
– non è una questione di tecnologia
quanto piuttosto di conoscenza.
La formazione, tuttavia,
è ancora oggi scarsamente
compresa ed è questa l’area sulla
quale le aziende dovrebbero imparare
a dirottare un po’ più di risorse.
Le aziende hanno bisogno di
avere suggerimenti pratici, testimonianze
concrete, casi di successo
e noi, proprio per venire incontro
alle loro esigenze, abbiamo
creato Isac, Information sharing
and awareness center. Si tratta di
un esperimento che prevede la
condivisione e lo scambio volontario,
tra le aziende, di informazioni
ed esperienze relative a eventi
accidentali, attacchi, punti di
vulnerabilità, soluzioni per la sicurezza
e altre misure di protezione.
Questo tipo di iniziative apporta
benefici alle organizzazioni,
che possono confrontarsi con
i concorrenti dello stesso settore su
problematiche comuni, evitando
di ripetere gli stessi errori” .
Le imprese stanno indirizzando i
propri budget in primo luogo verso
la protezione del perimetro, ormai
definitivamente compresa, soprattutto
con l’installazione di reti
private virtuali ma “in realtà –
sottolinea il manager –, ciò che
manca è la consapevolezza del perimetro
esteso. Gli attacchi di phishing,
sempre più diffusi, devono
far riflettere i manager sul fatto che
qualsiasi iniziativa che sia in grado
di minare la fiducia dei clienti
è un danno enorme al business
dell’azienda nel suo complesso.
Questo significa che i confini dell’azienda
sono, ormai, dilatati oltre
misura, fino a comprendere
non solo i partner commerciali
ma anche, in molti casi, ciascun
utente finale” . Molti soldi sono
stati spesi, negli ultimi mesi, per
adeguare l’infrastruttura It ai dettami
imposti dalla sicurezza sulla
privacy o da normative specifiche
per i settori bancario e finanziario
ma questo, secondo Tagliapietra,
non è sufficiente: “Un esempio
calzante è quello degli antivirus,
che vanno aggiornati quotidianamente,
così come deve avvenire
per le procedure in grado di assicurare
la continuità operativa. La
compliance (la conformità alla normativa in questo caso soprattutto quella relativa alla privacy, ndr)
è un modo estremamente
pericoloso e riduttivo di
gestire la sicurezza. È utile per far
palestra, tuttavia le aziende devono
andare ben oltre i livelli minimi
definiti per legge per riuscire a
proteggere concretamente le proprie
attività”. Il secondo grande tema
sul quale il manager invita a riflettere
(e investire) è quello del filtraggio
dei contenuti, contro spam
e virus: “Contro queste minacce,
che intasano o tentano di mettere
fuori uso il network, l’unica arma
è la pulizia di tutto quanto
transita sulla rete”.
Negli ultimi anni, inoltre, ciascuna
azienda dovrà inevitabilmente,
a detta di Tagliapietra, dotarsi di sistemi
di autenticazione, in grado
di certificare l’univocità e l’originalità
dei sistemi informativi e
delle persone coinvolte in un processo
di scambio dei dati. “Troppo
spesso, infatti, – precisa – questo
tema è confuso con la firma digitale
anche se non si tratta propriamente
dello stesso concetto. Il
phishing ha fatto emergere con
prepotenza la necessità di garantire
l’autenticità dei documenti, non
solo del loro emittente. Se pubblico
un listino online, i miei clienti
devono essere certi del fatto che
i prezzi siano quelli che io realmente
pratico e non che un burlone
si sia divertito a ritoccarli.
Per fare questo, occorre dotarsi di
un’infrastruttura di autenticazione
dei contenuti che, oggi, la maggior
parte delle aziende non ha” . Anche
Intel, come illustrato in tabella, si
spinge a dare consigli pratici sulla
giusta dotazione di tecnologie di sicurezza
in azienda. Si tratta di uno
schema riassuntivo e, necessariamente,
trasversale. Non vuole essere
esaustivo ed esauriente ma
può, in ogni caso, aiutare a dare
un’idea dell’hardware necessario a
garantirsi una protezione “in linea”
con le esigenze di un’organizzazione
moderna.
