Le aziende fanno ben poco per evitare le intercettazioni informatiche. Se spendono, rattoppano il logoro organigramma anziché cambiare tutto il vestito. Anche in banca?
Nell’italico disegno dei sistemi informativi la sicurezza continua a trovare uno spazio piccolo, con continui traslochi, per motivazioni emotive senza una formazione che le renda razionali e senza un chiaro punto di approdo. Intorno alla gestione di security e privacy sarebbe possibile rimappare l’intera attività aziendale, riequilibrando componenti che anche da trent’anni vengono gestite come unità esterne, separate dalla realtà del business.
Ovviamente l’ideale sarebbe partire fin dall’inizio con un sistema informativo robusto e con la Security by design, ma questa è l’utopia destinata solo a chi deve iniziare da zero: chi già ha una struttura di elaborazione dati deve convivere con la sua storia e rinnovarsi secondo un piano di obsolescenza programmata.
Questi elementi erano chiari, anche se impliciti, nella giornata dedicata alla sicurezza dati ed informazioni dalla Bancamatica Conference 2010 per fare il punto della situazione vista dagli istituti bancari e finanziari. Poiché per la sicurezza non c’è una casa né tra le Pmi (fuori dal target dell’evento) né tra le medie e grandi aziende, è ovvio che la partecipazione alla sessione sia stata piuttosto limitata, sia in assoluto (una media di 30 persone in sala) sia in rapporto al successo delle altre due sessioni verticali, Cards & Payments e Multicanalità.
Toppe al vestito logoro
Da sempre la classica soluzione per l’innovazione è di allocare budget che possano poi essere tagliati o revocati, ma l’organigramma di riferimento non viene mai modificato. L’informatica diventa preponderante? La teniamo al margine della dirigenza strategica. Emerge l’importanza della sicurezza? Non sappiamo dove collocarla e neanche dove piazzare il discrimine tra fisica ed informatica. Diventa importante l’aspetto energetico? Inutile pensare di evidenziare la voce né in organigramma, né nei singoli budget.
E dire che “la sicurezza non dovrebbe essere un costo, né ha senso avere un budget annuale”, ha detto Bernardo Nicoletti, consulente dell’Innovation Group ed autore di testi sul metodo Lean and Digitize; “anche se si parte da un sistema non del tutto sicuro, interventi successivi dovrebbero renderlo sicuro nel giro di pochi anni” per poi eliminare i costi, almeno per un po’. Ma così non è.
In cerca dell’interlocutore
Ma se l’organigramma è confuso e non rispondente, l’azienda è intrinsecamente instabile, i decisori di spesa non hanno metriche per fare il loro lavoro né responsabili che possano aiutarli o assumersi responsabilità. “Per discutere ad alto livello dobbiamo organizzare incontri con sei, sette persone contemporaneamente”, ha detto Enrico Caronti di Rittal, un’azienda che propone consistenti risparmi energetici ma che non ha mai un interlocutore unico né bendisposto. Eppure la questione del risparmio energetico è centrale oggi nei data center, i cui siti vanno scelti in località che garantiscano la densità di energia e l’erogazione della rete idonea a supportare l’elevata densità di elaborazione di virtualizzazione e cloud.
I fornitori si trovano quindi ad operare sui budget messi a disposizione, quindi preferiscono presentarsi con soluzioni complete e localizzate ma prive del confronto con la concorrenza e avulse dal contesto. Ecco perché le presentazioni di Rsa (Marco Casazza) e Trend Micro (David Gubiani) sono entrate nel contesto generale nel tamburello di domande e risposte generato con il pubblico e con le due case history presentate da Gerardo Costabile di Poste Italiane e Bruno Macera di Istituto San Paolo.
La società della deformazione
Come ulteriore sottoprodotto, il disinteresse allontana da una corretta informazione, rende quasi impossibile la formazione e porta ad una deformazione dei contenuti. La conoscenza in sicurezza è un bene prezioso che andrebbe studiato costantemente, perché è in continuo movimento: “I costi del phishing sono bassissimi”, spiega Marco Delle Chiaie (Socomec) citando phishtank.com; “in un anno il phishing è passato da 15mila a 3mila siti mentre si sta specializzando sui manager e diventa whaling?”, gli fa eco Davide Mancini, che insieme a Umberto Rapetto, entrambi della GdF-Gat, ha presentato in maniera spumeggiante alcuni casi reali di frodi, di errata informazione dei media e di necessità di continuo aggiornamento. Ma dal punto di vista della sensibilità alla formazione, i numeri dell’indagine Themis presentata da Isabella Corradini sono impietosi: in Italia il 60% delle aziende non ritiene necessaria la formazione nel settore specifico, ed analoga è la percentuale per i responsabili bancari (il 51%). A breve la nostra conoscenza del problema non è quindi destinata ad aumentare. Né la sicurezza Ict.
