Conoscere i prodotti, le procedure e le persone è tra i primi doveri del responsabile della sicurezza in azienda. In Italia manca la conoscenza specifica di cosa significhi proteggere le informazioni e latitano i top manager in grado di avviare una strategia mirata.
Il tema della sicurezza sta dimostrandosi uno dei punti di confronto più importanti dellarchitettura informatica aziendale ma il management italiano spesso ha più paura degli investimenti necessari che non dei rischi. Limpasse può essere risolto da una nuova figura manageriale, dotata di competenze trasversali di tipo tecnologico ma anche relazionale: il security manager. Con Ken Millard, security manager di TrendMicro, cerchiamo di scoprire le caratteristiche di una professionalità sempre più richiesta dal mercato.
In Italia soffriamo della fuga di cervelli. Lei, al contrario, dallInghilterra ha deciso di venire a lavorare ni Italia. Qual è la sua storia?
"Dopo essermi laureato in scienze informatiche a Stanford, negli Stati Uniti sono andato a lavorare in Australia per un anno. Ormai sono in Italia da quindici anni. Allinizio mi occupavo del supporto tecnico telefonico in Doct. Salomon ma, successivamente, mi hanno dato in carica alcuni clienti diretti, in qualità di product manager. Per questo, a livello di iniziativa personale, mi sono preoccupato di prendere una specializzazione in marketing attraverso una scuola per corrispondenza inglese da noi molto accreditata. Per fare il lavoro di product manager, infatti, ritenevo di dover aggiungere conoscenze di marketing strategico alle mie competenze tecniche ma, a dire la verità, questo non mi è servito a molto perché in azienda ritenevano che fossi troppo bravo come tecnico e che fosse sprecato il mio impiego nel settore commerciale. In breve tempo mi sono ritrovato a coprire il ruolo di una figura jolly: un po support manager, un po technical manager e un po security manager, a seconda delle situazioni. Devo ammettere che lesperienza di marketing mi è servita comunque moltissimo, perché mi ha permesso di comprendere meglio che linformazione, anche la più tecnica, deve essere trattata in maniera strategica e divulgativa e che la comunicazione è molto importante. I tecnici spesso dimenticano che devono relazionarsi con il resto dellazienda e che per poterlo fare nella maniera migliore devono saper comunicare con tutti. Da cinque anni a questa parte, lavoro in TrendMicro come security manager e ancora oggi mi trovo a dover spesso mediare la realtà tecnica con quella… umana".
Quali sono, i requisiti per poter svolgere il suo lavoro nel modo migliore?
"Si riassumono in 3P: prodotti, procedure e persone. Oltre a un know how sempre addestrato e aggiornato sui prodotti e sulle procedure che permettano di elaborare strategie reattive a ogni attacco alla sicurezza aziendale, un security manager deve avere forti doti di relationship. Per esempio stabilire un licenziamento nel caso un dipendente abbia commesso qualcosa di grave o valutare lallontanamento di una persona rispetto al ruolo occupato per inadeguatezza. Un security manager, infatti, lavora con tutto lo staff aziendale attraverso un delicato equilibrio di rapporti che coinvolgono anche il campo delle risorse umane. Di per sé non basta la conoscenza di tutte le tecnologie sulla sicurezza e, in ogni caso, sarebbe unimpresa invana perché il campo dei virus è davvero infinito. Limportante è poter contare su di uno staff di collaboratori preparati con cui sia possibile condividere le diverse e varie esperienze circa i possibili attacchi o le nuove infezioni. Un altro contributo importante è il costante contatto con tutta la comunità dei security manager attraverso technical list, newsgroup, siti dedicati e via dicendo. Cè poi laltro lato della Rete, cioè cosa fanno i pirati e non è unattività semplice perché non è facile spiarli. Sono molto furbi e, pur condividendo una filosofia dazione che vede Internet quale principale veicolo di scambio e di contatto, hanno affinato sofisticate tecniche di comunicazione che spesso possono depistare. Un security manager deve entrare in questa logica e cercare di capirne percorsi e finalità".
Questo significa che un ex pirata informatico potrebbe essere un ottimo security manager?
"Non proprio, perché bisogna distinguere tra un hacker e un cracker. Solo un hacker potrebbe essere un buon security manager perché nella sua natura cè una strategia e una conoscenza tecnica di altissimo livello. I cracker hanno altre finalità".
Come spiega il ritardo italiano rispetto al tema della sicurezza?
"Il primo motivo è che in Italia i pc sono arrivati tardi e, di conseguenza, è arrivata tardi una cultura della sicurezza. Il percorso è soltanto più lento e questo ha i suoi vantaggi: in questo modo cè tempo di fare tesoro delle esperienze altrui senza soffrire i passi falsi commessi, per esempio, da altri Paesi che oggi sono più avanti. Certo è che in Italia manca una conoscenza specifica di che cosa sia la sicurezza informatica: con Internet tutti hanno potenzialmente lo stesso tipo di conoscenza e di informazioni. Il problema è che le aziende devono saper scegliere e per farlo ci vuole lo skill giusto. A livello manageriale, invece, mancano le competenze necessarie per realizzare una politica della sicurezza che possa coprire ogni livello dellorganizzazione aziendale. Non capendo realmente in che misura e di che entità possano essere i rischi, si pensa di poter evitare il problema. In realtà, gli investimenti spaventano più dei rischi. Invece ogni aziende dovrebbe prima di tutto rispondere a questa domanda: cosa si vuole cercare di proteggere? La risposta dipende da ogni singolo caso specifico: ci sono aziende che sono collegate solo in locale e che hanno diverse macchine stand alone che corrono infinitamente meno rischi di altre che, al contrario, hanno un livello di networking avanzato e devono gestire database pieni di informazioni relative a un ricchissimo portfolio clienti. Bisogna pensare che negli archivi sono compresi non soltanto i dati personali ma anche informazioni come, per esempio, il numero della carta di credito. Il fatto è che bisogna abituarsi a pensare che i pirati non sono un fenomeno locale ma esistono a livello internazionale. Se è vero che in valore assoluto linformazione italiana ha meno valore di quella inglese, è pur vero che con la globalizzazione è sempre più difficile che i dati aziendali siano trattati esclusivamente nella lingua del paese di origine. E quando un intruso riesce a entrare nella rete informatica di unorganizzazione il danno è fatto".
Cosa ne pensa del fatto che molte aziende, per motivi diversi, preferiscano orientarsi verso servizi di sicurezza in outsourcing?
"In effetti, per molte aziende è la strada migliore, ma anche qui bisogna saper distinguere: dipende da chi la offre e dipende che cosa si vuole proteggere. Affidare a una società in outsourcing la sicurezza del proprio sistema informativo crea in ogni caso problemi di ordine logistico perché si apre un canale allesterno che può essere ulteriore fonte di attacchi pirata. Sul tema della sicurezza oggi sono in tanti a spacciarsi da superesperti. Per questo credo che il discorso della certificazione sia più che mai sensato: che sia erogato dalle case produttrici di antivirus o da un ente superpartes, non fa differenza. Limportante, ripeto, è creare una cultura della sicurezza che sappia abbinare competenze tecniche di alto livello e specializzate a una forma mentis flessibile e capace di reagire subito a ogni attacco al sistema, coinvolgendo ogni livello aziendale".