Dal Security Summit un forte richiamo ad usare bene l’infrastruttura, per non piangere domani sul latte versato oggi. E nella security by design c’è anche un buon uso delle metriche.
In un momento particolarmente vivo per la sicurezza in tutti i campi, un incontro ad alto livello può contribuire a fare scelte corrette sia dove si scrivono le leggi, sia dove s’investono i capitali. E’ questo l’obiettivo del Security Summit 2010, nei suoi due giorni basati su Atelier tecnologici e incontri tecnici,completato da numerose tavole rotonde e supportato da un’area espositiva.
Il convegno d’apertura ha puntualizzato l’andamento generale della sicurezza Ict per aziende ed istituzioni, anche grazie alla moderazione di Gigi Tagliapietra, presidente Clusit, che non s’è limitato ad articolare i vari interventi ed ha proposto spunti decisionali e operativi.
Ribadire la privacy by design
La situazione complessiva, almeno in Europa, può essere riassunta in quattro punti. I vertici aziendali e normativi hanno capito che la sicurezza, anche quella della vituperata Ict, è un cardine della società odierna. Perché queste linee di principio vengano assorbite anche dagli altri serve e si fa alfabetizzazione prima e formazione specifica poi, ma in realtà si tratta di misure di ridotta importanza, perché quella che servirebbe è la progettazione di sistemi inerentemente sicuri -per quanto noto e possibile- fin nella fase dello sviluppo, ovvero implementando la privacy by design.
“Rispetto alle aspettative del 2002 s’è verificato quanto previsto”, ha detto Steve Purser, Head of Technical Department dell’ENISA, “ma altre minacce si sono aggiunte: per dirne una, i botnet come tool commerciali”.
L’ente, fondato nel 2004, è l’Agenzia Europea per la Sicurezza delle reti e delle informazioni ed opera presso la Commissione europea e anche a favore degli Stati membri, nel settore sia pubblico, sia privato. “In Europa, la media tra falla di sicurezza e soluzione è di circa un anno”, un dato impressionante. E poiché “non c’è applicazione sicura senza infrastruttura sicura”, non c’è alternativa: per quanto sia complesso per lingue, storia e legislazione, bisogna agire a livello europeo sul Nis: “la parola chiave è resilience per reti e servizi”, ad indicare la necessità che la rete funzioni comunque anche in presenza di danni ed attacchi; “Non dobbiamo reinventare la ruota”, ha concluso Purser.
Particolarmente applaudito l’intervento di Kristin Lovejoy, Vice Presidente IBM Global Security Strategy. “Il nostro principale nemico è la stupidità”, ha attaccato subito. La tecnologia non risolve i problemi, se la si usa male, e tutti i relatori concordano sulla necessità di fare buon uso di quanto c’è già in casa. Un motivo? “Un qualsiasi fix al software costa 25 dollari in preproduzione e 16.000 in postproduzione”, ci sorprende Kristin, avallando la necessita della security by design.
Da lei viene anche un monito a non fidarsi troppo delle nuove generazioni: ancorché nativi digitali, “i ragazzi non si rendono conto di quello che fanno”, ha raccontato, “semplicemente si aspettano che la Rete li protegga”, per cui il problema non si scioglierà nel tempo e le buone procedure continueranno ad aver valore.
Verso il meta-datawarehousing
Marco Bresciani, Partner Accenture Technology Consulting, ha confermato che nel board direzionale c’è consapevolezza del problema sicurezza, non confinata all’Ict ma spesso inglobata in quella fisica, con un più alto posizionamento nell’organigramma aziendale. “Al Cso, chief security office, viene chiesto di quantificare i nuovi rischi”, ha precisato Tim Dunn, Vice President Security in CA. “Il rischio aumenta all’aumentare dei dati nei database o su internet”, ha aggiunto Alessandro Vallega, coordinatore della Oracle Community for Security, “e cresceranno ancora con l’internet delle cose, spingendoci verso il meta-datawarehousing”.
“Nella nostra community s’investe sempre di più in sicurezza, anche se si cerca un rientro economico”, ha poi detto Vallega, anticipando l’apertura sul fronte delle metriche nella sicurezza. D’altronde Oracle e Clusit hanno recentemente riproposto il Rosi, del quale si parla anche in questo summit.
“La sicurezza riduce i rischi e non porta soldi”, taglia corto Purser, “per cui le metriche van bene ma devono essere usate in modo corretto”.
“Con un paragone assicurativo, se mi taglio un dito ho un ottimo Roi, ma non mi sembra una scelta ideale”, ha scherzato Tagliapietra per esplicitare che le metriche hanno un loro preciso ambito di applicazione.
