Quando m’è stato chiesto di chiarire come s’implementa un sistema di cybersecurity, la mente è andata subito alla ISO sulla Sicurezza delle Informazioni (la 27001). Perché se la si segue passo passo, si ha la possibilità di “costruire un bel motore”. Ma c’è poco da aggiungere rispetto a quanto già chiariscono la norma stessa e le altre norme della famiglia 27k. Allora ho pensato potesse essere più costruttivo non analizzare il “cosa fare” ma il “cosa non fare”.
Mercati e sistemi miopi
Proprio in questa rubrica s’è di recente affrontato l’argomento sul valore dell’affidabilità dei fornitori. Ed effettivamente il binomio norma internazionale e controllo indipendente da parte di enti accreditati sembra fornire le opportune rassicurazioni. Ma la certificazione è veramente sinonimo di affidabilità? Avete mai provato a domandare ad un’azienda: “ok, sei certificata e quindi sicura, ma quanto?”. Il tentennamento – che sopravviene nella quasi totalità dei casi – dovrebbe far presagire un bug non trascurabile. Non saper quantificare il livello (percentuale, ad esempio) di sicurezza di un perimetro presuppone un approccio alla risk analysis di tipo qualitativo (e quindi sbrigativo) piuttosto che quantitativo (ovvero con cifre economiche alla mano, minuzioso). E se la valutazione del rischio è debole (analisi di impatto inclusa), non credete forse che l’intero sistema sia destinato ad essere miope? Così come i mercati che ne trascurano l’importanza, chiedendo invece come sola prova di affidabilità il solito “bollino blu”.
Mamma, ho perso il router
A rischio di essere tacciato di pignoleria, vorrei soffermarmi ancora una volta a disquisire sull’impiego, nella maggior parte dei casi improprio, dell’espressione “sicurezza informatica” invece di “sicurezza delle informazioni”. Non è solo un problema di rigore formale, bensì il chiaro segnale di un approccio orientato nel verso sbagliato. La security, e per buona parte anche quella cibernetica, non ha come oggetto principale d’attenzione server e router, bensì le tipologie di informazioni e le persone che le trattano, utilizzando anche – sì, è vero, prevalentemente – strumenti informatici. È tutto più facile da capire parlando di soldi. Quanto costa un router e quanto valgono le informazioni che vi transitano?
La regola dell’amico
Chiariamo un concetto: inibire le porte USB del PC di un collega non significa mettere a repentaglio il quieto vivere in ufficio o un’amicizia con un dispetto. Così come per qualsiasi altra limitazione o norma di comportamento. La questione è che tante aziende si blindano per proteggersi dagli attacchi esterni senza pensare a cosa succede in casa. Ed i dati a disposizione su questo fenomeno sono chiarissimi: più della metà delle intrusioni avvengono per mano di un insider. Come se non bastasse, a complicare la questione, subentra anche un apparente “conflitto d’interessi” tra security e business continuity, molto in voga tra le scuse per non attivare determinate contromisure. Ad esempio, abilitando la presa USB solo su una data utenza, cosa accadrebbe se proprio quella persona non fosse in ufficio quando c’è bisogno di leggere la chiavetta del cliente? Con un po’ di ragionamento sarà facile incontrare – preventivamente, mi raccomando – una soluzione. E lo stimolo giusto per farlo potrebbe essere ancora una volta una valutazione economica del rischio nell’uno e nell’altro caso.
Meno social, più sociale
Le potenzialità dei social network ed il loro contributo alla customer experience sono elementi ormai ampiamente compresi dalle organizzazioni, o per lo meno tenuti in considerazione. Resta invece un argomento ancora off limits quello relativo alla comunicazione delle regole rivolte alle persone che lavorano in un team. Spesso cadono dall’alto ed in eccessiva abbondanza – invece sarebbe meglio fossero poche ma buone – in barba alle dinamiche psicologiche, sociali e linguistiche individuate dai relativi settori di studio nell’ambito dei gruppi di lavoro. Sarebbe un bel gesto ad alto valore di sostenibilità, per giunta anche profittevole, quello di coinvolgere in modo orizzontale le persone, richiedendone la partecipazione attiva già dalle prime fasi progettuali del nuovo sistema, quando il dictat non è ancora stato promulgato. I risultati potrebbero essere sorprendenti.
Si dice che sbagliando s’impara, anche se con certi errori si gioca con il fuoco. Ma questa volta la posta in gioco è più alta. Perché cambiando il punto di vista sulla gestione dei progetti di implementazione dei sistemi di gestione sulla sicurezza (e cybersecurity), c’è l’opportunità di scoprire la formula magica. Magari non per cambiare il mondo, non per diventare inespugnabili in senso assoluto, ma perlomeno per fare la differenza sul mercato e fidelizzare i propri dipendenti.
