La sicurezza informatica non può essere pensata come puro prodotto della tecnologia perché deriva da uno stato di coscienza di sé quale elemento culturale pervasivo e intrecciato indissolubilmente nel tessuto stesso dell’organizzazione, a qualsiasi livello. Ne è convinto Roberto Tavano

Sicurezza dell'informazione

[section_title title=Sicurezza dell’informazione: è necessario un cambio culturale?]

A cura di Roberto Tavano, VP Security EMEA – Global Sales, Unisys Corporation

Viviamo certamente in un’epoca interessante. Si potrebbe opinare che abbiamo visto tempi migliori, ma ciò che intendo affermare qui è in realtà altro. Nel corso della storia, ogni grande cambiamento ha portato con sé nuove idee, modelli e paradigmi, sia a livello sociale che aziendale. Oggi stiamo assistendo alla transizione da un mondo tradizionale, completamente analogico, verso un mondo nuovo, fortemente digitale. È facile previsione affermare che l’evoluzione dello stato delle cose nel prossimo futuro porterà sempre più all’accentuazione della natura e componenti digitali tanto nelle prassi commerciali quanto in quelle della pubblica amministrazione.

Ogni volta che nasce un nuovo paradigma, la reazione naturale è quella di adattare a esso le strategie, le politiche e le tecniche già esistenti. Ad esempio, quando è stata introdotta l’automobile, le regole e le conoscenze che si erano imposte nella progettazione delle carrozze per un po’ di tempo sono state adottate anche in questo settore.
Nell’It stiamo osservando un fenomeno simile. Nel corso dei decenni, quando l’attenzione era focalizzata sul supporto delle attività manuali e migliorare l’efficienza, l’It veniva isolata nella stanza del tecnico e rappresentava una sorta di onere indesiderato per l’azienda, una componente necessaria ma fastidiosa, spesso non comprensibile a causa del gergo utilizzato da chi la gestiva. In ogni caso, nella maggior parte dei casi, l’It veniva tenuta ben lontano dalla stanza dei bottoni. Pochi erano i CIO che riportavano direttamente agli amministratori delegati, e le effettive dimostrazioni di considerazione del valore strategico dell’It che si possono citare sono state relativamente poche.

Un aspetto positivo di quei primi giorni era che le minacce alla sicurezza apparivano relativamente modeste e limitate. L’azienda era sufficientemente monolitica, poco connessa tramite reti telematiche e comunque sufficientemente in grado di affrontare potenziali attacchi e gli eventuali danni che questi comportassero. Il perimetro di difesa era sufficientemente ben definito e si potrebbe affermare che il suo monitoraggio e controllo fossero sufficientemente adatti alla situazione.
In un suo recente articolo, “The importance of zero-trust and an adaptive perimeter in cyber fortifications”, Nick Evans ha paragonato questa situazione a quella di un castello medievale, considerando che le esigenze di adattamento “perimetrico” della sicurezza informatica sono analoghe alle necessità evolutive delle strutture difensive del castello, anch’esse soggette nel tempo ad adattamento in funzione delle nuove tecnologie degli attaccanti. L’analogia è valida, ma la storia dimostra che ben pochi furono i castelli in grado di difendersi efficacemente da attacchi organizzati e ben coordinati. Per gli attaccanti c’è quasi sempre una piccola finestra di opportunità che resta aperta: un errore dei difensori o, magari, creata intenzionalmente da qualcuno all’interno delle mura. In ogni caso, ogni strategia di sicurezza informatica basata sulla difesa del perimetro aziendale ha funzionato e sufficientemente ben ripagato per un lungo periodo di tempo, ma ora non è più applicabile perché lo scenario in cui azienda e It operano è radicalmente cambiato.

Mobilità, nuove tecnologie di comunicazione, nuove architetture, servizi e disegni di sistemi informativi ibridi, e non più totalmente controllabili, hanno scatenato una vera ondata rivoluzionaria – una rivoluzione digitale. Ne consegue una semplice domanda: come affrontare tale rivoluzione digitale in una prospettiva di sicurezza informatica?
Quando tutto esiste ed avviene in ambito digitale, l’It non può più rappresentare un semplice supporto delle attività dato che l’essenza stessa del business è fatta di dati, informazioni e comunicazioni, e lo scambio di conoscenze e transazioni avviene ovunque, in qualsiasi momento e con qualsivoglia dispositivo. In tale contesto, le cose cambiano significativamente, e ogni concetto di “perimetro” definito in precedenza decade. Infatti, andare verso un mondo digitale implica estendere il raggio delle proprie azioni, senza limiti fisici e impegnandosi in nuovi modelli di cooperazione, condividendo le tecnologie e le procedure di altri soggetti. I propri dati non risiedono più in un “caveau” sicuro di proprietà ma sono sparsi in tutto il mondo cibernetico: in parte “ospitati” da altri partner in affari, in parte risiedendo nei dispositivi dei dipendenti – spesso senza autorizzazione o controllo da parte del datore di lavoro – e in parte dispersi in qualche luogo ignoto in “nuvole digitali”, certe o improbabili che siano.

Per proseguire nella lettura vai alla pagina seguente