Un articolo del marzo 2005 (per chi?) per evidenziare lo stretto legame tra sicurezza e business continuity che invece vengono visti come elementi separati. La continuità è lo scopo della sicurezza.
Marzo 2005
_______________________________________________________________________
SICUREZZA E BUSINESS CONTINUITY
Perché i due concetti sono strettamente connessi
di Gigi TAGLIAPIETRA
Amministratore Delegato Siosistemi SpA-Gruppo I.NET
Quando si parla di sicurezza informatica gli utenti generalmente pensano ai virus, allo spionaggio, alle truffe con le carte di credito catturate in rete.
Non c’è da stupirsi, visto che questo è “l’immaginario collettivo” creato attorno al mondo della security e non è nemmeno un’immagine totalmente sbagliata: è però un’immagine limitata e fuorviante.
Quando pensiamo alla sicurezza solo come lotta tra “buoni e cattivi” (noi siamo, ovviamente, i buoni) perdiamo di vista due elementi estremamente importanti che la caratterizzano : a cosa serve realmente la sicurezza informatica? E perché è tanto complessa da gestire?
Cercherò qui di seguito di rispondere alla prima domanda, lasciando ad un prossimo articolo la risposta successiva.
Il valore dell’informazione
Domandiamoci innanzitutto: a cosa servono i sistemi informativi? Quanto sono importanti le informazioni per le aziende?
Credo si possa essere tutti d’accordo nell’affermare che le informazioni oggi sono la linfa vitale che alimenta il business di tutte le aziende, che ne consente l’azione tempestiva nel mercato e che permette loro di interagire con efficacia ed efficienza con clienti, partner e collaboratori.
Quando parliamo di “società dell’informazione” intendiamo addirittura sottolineare come il fenomeno non si limita al mondo dell’impresa ma coinvolge l’intera società e ci interessa non solo come soggetti “economici” ma come cittadini, come, genitori, come esseri umani.
E’ questa la grande discontinuità rispetto al passato creata dal fenomeno Internet e dalla sua strabiliante e rapidissima diffusione: il sistema di scambio e di trattamento delle informazioni non è più una “opzione” per l’impresa, diventa un elemento competitivo e di esistenza stessa.
Da funzione a fattore abilitante
I sistemi informativi in passato erano visti come la naturale evoluzione delle calcolatrici e dei sistemi contabili in genere e per lungo tempo i computer sono stati considerati un lusso o un privilegio riservato alle grandi imprese.
La tecnologia dell’informazione e il sistema delle comunicazioni oggi non sono più una delle tante funzioni interne dell’impresa, come il marketing, la produzione, l’amministrazione, la gestione finanziaria. Oggi i sistemi informativi sono talmente necessari alla vita di ciascuna funzione aziendale ed al suo interagire con le altre che essi rappresentano un vero e proprio fattore abilitante per la vita dell’impresa stessa.
Senza sistemi informativi non c’è azienda grande o piccola, artigiano o commerciante che possa pensare di operare con efficienza e rapidità nel proprio lavoro.
Il cambio di prospettiva non è solo un fattore organizzativo, ma cambia la valenza economica e gli impatti derivanti dalla possibile compromissione di questi sistemi.
Un mondo senza informazione
Come con tutti i beni preziosi, ci accorgiamo del loro valore soprattutto quando ne veniamo improvvisamente privati, così ci si accorge di quanto siano divenuti critici, fragili e a rischio i nostri informativi quando ci troviamo senza posta elettronica a seguito di un intasamento da Spam, cioè da posta indesiderata o quando un virus ha bloccato tutte le postazioni di lavoro o peggio quando uno sbalzo di tensione ha danneggiato gravemente i sistemi.
Quando la nostra azienda è privata della propria capacità di comunicare all’interno e all’esterno poco ci importa se il danno sia stato causato da una azione volontaria o da un incidente, da un guasto meccanico o da un sabotaggio.
E questo è il punto focale del nostro ragionamento: la sicurezza informatica si occupa di un sistema complesso di attività che deve proteggere l’azienda dalla perdita di operatività dei propri sistemi informativi perché tali sistemi sono diventati indispensabili alla vita stessa dell’impresa e, per molti motivi, rappresentano un elemento particolarmente vulnerabile o ad alto rischio se non vengono seguite adeguate procedure di protezione.
Lo scopo della sicurezza è quindi quello di garantire la continuità dell’azienda e dato che i sistemi informativi sono sempre più determinanti, la sicurezza informatica rappresenta un fattore critico di successo.
Business Continuity non è solo tecnologia
Spostando l’attenzione sugli scopi più che sulle cause, sui risultati più che sui mezzi cerchiamo in fondo di far comprendere che non si tratta di un problema puramente tecnologico. Molti infatti vedono la questione come una dialettica interna al mondo della tecnologia: la tecnologia crea problemi che la tecnologia stessa deve risolvere.
Purtroppo non è così e anzi tutti gli aspetti logistici, infrastrutturali e umani sono più complessi da gestire e quindi ancora più critici.
Se infatti in passato potevamo pensare di poter tenere i nostri server nello sgabuzzino ora che i dati in esso contenuti sono diventati critici per la vita dell’impresa, dobbiamo pensare di avere un sistema di ripristino immediato in caso di guasto, magari un sistema ridondato e magari con una alimentazione elettrica garantita anche in caso di black out.
Peccato che un sistema del genere diventa nel contempo più robusto e più fragile. Più robusto perché ridondanza, backup, stabilità elettrica sono fattori importanti per la continuità ma al contempo rendono il sistema più complesso da gestire, richiedono persone più competenti e preparate per operare, richiedono ambienti più idonei per funzionare.
Pensate al calore prodotto dagli attuali processori e al conseguente problema di raffreddamento e condizionamento dell’ambiente, pensate alla criticità dei sistemi automatici antincendio.
Senza dimenticare che tutto ciò ha un costo spesso non trascurabile che può incidere pesantemente sul costo complessivo di possesso dei sistemi informativi.
Il vantaggio della larga banda
Il grande vantaggio che deriva dall’aumento della capacità trasmissiva e dal contemporaneo abbattimento dei costi unitari di connessione porta un enorme vantaggio a tutti coloro che devono gestire sistemi informativi d’impresa.
Se è vero che i sistemi informativi più critici devono avere ambienti idonei, attenzioni particolari e altrettanto particolari protezioni, è anche vero che con una connessione ad alta velocità e a basso costo potrei dislocare tali sistemi in una struttura adeguata anche se esterna all’azienda.
E’ quello che comunemente viene definito come “outsourcing della gestione dei sistemi critici” e che grazie alle economie di scala è sempre più vantaggioso per tutti i tipi di impresa.
L’economicità di queste soluzioni non solo toglie un vecchio alibi dietro al quale si rifugiavano molti ma nel momento in cui diciamo che “esiste una soluzione” a un determinato problema, possiamo pensare di poter intraprendere un percorso per raggiungere questa soluzione, magari graduandola nel tempo, sapendo che la sicurezza è più un “viaggio” che una “meta” specifica.
La sicurezza tradizionale non scompare
Non devo preoccuparmi allora di virus, hacker e crittografia dei dati sensibili? Certo che mi devo preoccupare, nell’ottica della continuità del business questi sono problemi serissimi che non vanno sottovalutati e che non solo non scompariranno ma anzi tenderanno a diventare sempre più pericolosi e difficili da contenere.
In una visione d’impresa non devo però correre il rischio di guardare solo agli aspetti “altamente tecnologici” trascurando un concetto più ampio di vulnerabilità e di gestione del rischio.
Se la mia azienda ha deciso, saggiamente, di mantenere una rigorosa politica di aggiornamento antivirus e di difesa perimetrale da accessi indesiderati devo anche domandarmi “Cosa sto facendo per garantire la continuità operativa dei sistemi? Ho la sicurezza di poter continuare a operare anche in caso di caduta della linea principale di comunicazione? Chi sorveglia i sistemi al di fuori degli orari d’ufficio?”
In fondo la sicurezza è un insieme di scelte coerenti commisurate all’ottenimento di un risultato preciso: garantire all’impresa il suo funzionamento nelle migliori condizioni.
Gigi Tagliapietra 2005 - Questa opera è concessa sotto la licenza "Attribuzione non commerciale- 2.0"
Per i dettagli vedi al sito www.creativecommons.it
Ultimi commenti