Un rischio è un evento inatteso che ha conseguenze negative. Nel caso delle tecnologie informatiche, i pericoli sono cresciuti a dismisura nel corso degli ultimi anni, parallelamente alla complessità dei sistemi It e alla diffusione di Internet. «I ris …
Un rischio è un evento inatteso che ha conseguenze negative. Nel caso delle tecnologie informatiche, i pericoli sono cresciuti a dismisura nel corso degli ultimi anni, parallelamente alla complessità dei sistemi It e alla diffusione di Internet. «I rischi Ict – sottolinea Dario Forte, docente incaricato di gestione degli incidenti informatici del dipartimento di Tecnologie dell’Informazione dell’Università degli Studi di Milano -, non sono mai affrontati se non quando diventano dei veri e propri problemi, a causa di stime poco accurate in merito alla loro probabilità o per un’incauta gestione.
In questo caso, l’unica contromisura possibile è la gestione della crisi». In realtà, le attività preventive dovrebbero avere il sopravvento, razionalizzate all’interno di una strategia di business security omnicomprensiva (si veda grafico). «La garanzia di una corretta gestione dei rischi si ottiene con un processo graduale. Occorre partire, anzitutto, da una classificazione delle minacce rilevate e potenziali, mappandole e andando a isolare i rischi eliminabili totalmente, quelli riducibili, quelli trasferibili attraverso la stipula di idonee polizze assicurative e quelli residuali. Questi ultimi sono i rischi che l’azienda, per valutazioni proprie, decide di non esternalizzare o assicurare, mantenendoli al proprio interno». La mappatura dei rischi deve, anzitutto, essere tesa a creare una matrice di quelli che sono gli eventi dannosi e le perdite possibili in termini diretti, relativi a beni strumentali, persone e responsabilità, e indiretti, espressi in termini di danni finanziari odi immagine legati all’evento dannoso. Da un punto di vista puramente statico, l’analisi delle implicazioni sull’hardware compromesso dell’azienda dovrebbe riguardare la possibilità di riacquisto degli elementi compromessi e i tempi relativi, la loro sostituibilità e la definizione di un piano contingente, per sopperire al meglio ai problemi di un eventuale crash di porzioni del sistema It. Sotto il profilo degli attacchi al software dell’azienda, invece, si rende necessario predisporre un sistema accurato di protezione delle informazioni, comprendendo anche l’adozione di programmi e standard specifici. «Le aziende – puntualizza Forte – richiedono a Cio o Cso un supporto preventivo e reattivo alle richieste degli organi di sicurezza. Inoltre, pretendono da lui un sostegno alle operazioni di garanzia della protezione It e della tutela della privacy. In caso di incidenti, il Cso è chiamato a essere preparato, a rilevare e analizzare il fenomeno, cercando al contempo di rimuoverne le cause e di ripristinare la situazione precedente, contenendo il più possibile i danni. A posteriori, poi, avrà anche l’incarico di porre in essere tutte le attività post-incidente, legate essenzialmente alla reportistica». Queste ultime prevedono l’analisi di file di log relativi non solo al sistema, ma anche al traffico di rete e a quello mobile. Altre informazioni rilevanti sono quelle afferenti i file system, i database, le applicazioni e i cosiddetti dati “volatili”, relativi ad esempio alla Ram. «Sarebbe, però, preferibile attuare una tutela della sicurezza più dinamica, che contempli un’analisi accurata dei fornitori Ict, tesa a saggiare il livello di protezione che questi si sono impegnati a garantire, il loro grado di dipendenza e sostituibilità e, non da ultimo, l’eventualità di riuscire a delegare all’esterno, in outsourcing, componenti della sicurezza Ict. Fondamentale è anche l’aspetto più propriamente procedurale e organizzativo, che si esprime nella creazione di funzioni aziendali ad hoc, deputate a divulgare la tutela informatica in tutta l’organizzazione, e nella stipula di piani di sicurezza contingenti e programmi pluriennali sottoposti a revisione periodica». Il supporto tecnologico diventa, pertanto, il “di cui” di un approccio che ha implicazioni pesanti sotto il profilo organizzativo e dei processi di business. «Nell’ambito dei prodotti, però – conclude Forte -, la dotazione minima di ogni organizzazione deve prevedere almeno strumenti di prevenzione degli attacchi e identificazione delle anomalie».
