Nell'agosto del 2005 ho scritto questo articolo (per chi? non ricordo) per sostenere che la sicurezza non è solo un aspetto tecnologico ma deve essere vissuta come una necessità e un bisogno perchè "la paura" non è un fattore di motivazione.
Agosto 2005
_______________________________________________________________________
CREARE CULTURA DELLA SICUREZZA
di Gigi Tagliapietra
La sicurezza, non solo quella informatica, è una situazione ambientale molto particolare, difficile da realizzare, impossibile da ottenere in modo assoluto.
Eppure, proprio perchè è un bisogno primario, un requisito essenziale perchè si sviluppi qualsiasi tipo di relazione, la sicurezza rappresenta una condizione particolarmente critica nelle aziende che ormai affidano ai sistemi informativi elementi vitali del proprio business.
Nonostante lo sviluppo di soluzioni e tecnologie sempre più sofisticate di protezione, la situazione non migliora, anzi, il numero degli incidenti aumenta costantemente come pure la vulnerabilità complessiva della rete per una serie concomitante di fattori tra cui la crescita del numero degli utenti e l'aumento della velocità di connessione non accompagnate da una adeguata crescita della "cultura" della sicurezza in azienda.
La ricetta di base è nota: da sempre i tre ingredienti essenziali per costruire un sistema di sicurezza sono costituiti da prodotti, servizi e atteggiamenti degli utenti.
Pensiamo per analogia ai sistemi anti-incendio, ci servono rilevatori di fumo ed estintori (i prodotti) ma abbiamo anche bisogno dei pompieri (i servizi) ma nè l'uno nè l'altro da soli possono garantirci se gli utenti individualmente non adottano atteggiamenti virtuosi come, ad esempio, non portare in ufficio sostanze infiammabili o gettare mozziconi di sigaretta accesi nei cestini della carta straccia.
Nel caso della sicurezza quindi gli utenti non sono semplici utilizzatori, ma diventano protagonisti assoluti e imprescindibili per la messa in atto di efficaci politiche di protezione.
Non è certo una novità: da sempre in tutti i libri e manuali di security è scritto che formazione, cultura e organizzazione sono fattori determinanti, ma ora si tratta di dare concretezza a questi enunciati e passare, in buona sostanza, dal dire al fare.
Il ruolo del management
Parlando di "utenza" dobbiamo fare alcune, seppur grossolane, distinzioni innanzitutto tra management e collaboratori e tra aziende grandi e piccole.
Il ruolo del management (ovvero della proprietà nel caso di una piccola impresa) è essenziale perchè rappresenta in modo oggettivo un esempio di quanto sia realmente ritenuta importante la sicurezza per la direzione aziendale e di quanto siano rigorose le regole che vengono messe in atto.
Come fare a creare "consenso" nel management di alto livello? Dovendo indicare una priorità credo si debba puntare sul concetto che i sistemi informativi non sono più una infrastruttura "di servizio" a supporto del business dell'azienda, ma sono una infrastruttura "critica e vitale" da cui dipende l'esistenza stessa dell'azienda.
Nelle aziende più grandi ormai la consapevolezza ad alto livello è certamente diffusa, sia per il grande rilievo dato dai mezzi di comunicazione ai temi della sicurezza e anche perchè il forte utilizzo personale della rete e della posta rende tangibile ai singoli l'indispensabilità di tali servizi. Il problema è che non sempre alla consapevolezza seguono atteggiamenti coerenti, ma la sicurezza è un lungo cammino.
Nelle aziende di dimensioni più contenute ci si è illusi di una sorta di "immunità": "Chi vuoi che abbia interesse a colpire una piccola azienda come la mia?".
I codici maligni di tipo generalizzato, spyware, worm, virus, per non parlare dello spam, hanno ormai reso evidente che siamo tutti bersagli perchè siamo passati "dalla spada alla mitragliatrice".
Oramai nelle piccole e medie imprese il ruolo del computer per lo svolgimento del lavoro quotidiano è talmente determinante che per talune di esse, pensiamo agli esportatori o alle aziende che vivono di ordini on-line, è davvero questione di vita o di morte.
Anche qui, quindi, il messaggio deve essere il medesimo: i sistemi informativi sono una risorsa indispensabile alla vita dell'azienda e vanno protetti esattamente come il capannone o gli altri macchinari.
La difficoltà per le piccole aziende, che nel nostro paese sono la grande maggioranza, sta nel fatto che si devono trovare forme di gestione delegate o in outsourcing per compensare la mancanza di risorse interne ma non bisogna confondere delega con de-responsabilizzazione.
Il ruolo degli utenti
Il fattore determinante sono però gli utilizzatori reali e quotidiani dei sistemi informativi, tanto nelle grandi quanto nelle piccole aziende. Sono loro che giorno per giorno, con la loro attenzione o la loro sbadataggine possono proteggere o rendere vulnerabile la rete aziendale.
Non c'è tecnologia che possa difendere una rete da utenti che rivelano codici di accesso a persone non autorizzate o che non rispettano le norme che l'azienda si è data: è come non rispettare i semafori e la precedenza e sperare di non avere incidenti.
Ma come fare per indurre comportamenti "virtuosi" senza trasformare l'azienda in un sistema poliziesco? A mio parere ci sono alcuni concetti che vanno messi bene in evidenza: il primo è che una corretta prassi di sicurezza è indispensabile non solo sul lavoro ma anche e soprattutto nell'ambito personale e domestico dove non esistono le protezioni che comunque le aziende generalmente hanno.
Il secondo concetto potremmo sintetizzarlo con il motto "Tu conti, sei importante", che è esattamente il contrario di ciò che molti utenti credono nel momento in cui utilizzano un computer e cioè che tutto sia automatico e indipendente dalle loro azioni.
Di certo non è con lo spavento o con la minaccia che possiamo ottenere risultati, ma facendo leva sull'intelligenza e la positività e sul fatto che la rete è ormai parte della vita di tutti noi.
Con questo non voglio dire che non esiste la tecnologia della sicurezza, ci mancherebbe altro! Ma se vogliamo essere pronti per le minacce che ancora non si sono manifestate e per cui non esistono "vaccini", dobbiamo fare leva su atteggiamenti responsabili che possano, con l'intelligenza, guidare l'agire degli utenti di fronte a situazioni impreviste.
La cultura della sicurezza è anche fatta di buon senso.
Gigi Tagliapietra 2005 - Questa opera è concessa sotto la licenza "Attribuzione non commerciale- 2.0"
Per i dettagli vedi al sito www.creativecommons.it
Ultimi commenti