Chi di noi non ricorda lo spot ambientato nel deserto dove un leone presidiava un cancello privo delle mura di cinta? Una solida infrastruttura e la presenza imponente del re della foresta, trasmettono un'indubbia sensazione di protezione da visitatori indesiderati, ..... finzione o realtà?
Quanti oggi affrontano la tematica della sicurezza informatica con lo stesso approccio riduttivo?
In questi ultimi anni abbiamo assistito a visioni apocalittiche che raccontavano quanti danni ci avrebbero causato i temutissimi "Cyber Pirati", quanti danni erano stati causati alle principali aziende della new e della old economy, di quanti strumenti innovativi si erano dotati i famosissimi hacker per derubarci della nostra riservatezza e/o patrimoni.
Il principale quesito che dobbiamo porci consiste nel come deve essere affrontato realmente il problema!
La risposta data fino ad oggi dai principali vendor consiste nella fornitura di soluzioni hardware e/o software che sono da considerarsi come il cancello che, pur essendo solido e sicuro, necessita del muro che lo sorregge e protegge l'integrità della proprietà.
E' internazionalmente riconosciuto che il prodotto, sia esso HW o SW, risolve solo una minima parte del problema reale della sicurezza informatica, quest'ultimo deve essere complementare ad una adeguata organizzazione che si basa sulle regole comportamentali e definisce i termini delle responsabilità che devono essere distribuite all'interno dell'azienda. L'implementazione di un sistema di controllo che evidenzia il livello di rischiosità al quale siamo esposti è lo strumento necessario per informare tutti i livelli del management nell'istante in cui la nostra esposizione al rischio supera la soglia di guardia.
Il risk manager, deve guardare questa tematica da un punto di vista radicalmente diverso; considerando la gestione del rischio come la fondamentale integrazione/coinvolgimento di tutti gli elementi della catena del valore dell'impresa ovvero: persone, processi, tecnologie.
Questi elementi contraddistinguono una prospettiva più complessa, che implica la considerazione di aspetti intangibili nell'intero ecosistema aziendale quali la cultura, le tecnologie e l'attitudine al cambiamento.
Pur essendo le tecnologie fondamentali per gestire velocemente l'informazione e/o il dato, garantire la sicurezza dei sistemi di ICT (information and communication technology), non significa acquistare solo il prodotto tecnologico, ma impone anche un'adeguata valutazione di elementi e fattori complementari.
La vera rivoluzione consiste, nel saper gestire ed utilizzare ciò che la tecnologia rende evidente ai nostri occhi.
Tutte le imprese che si riconoscono nella classificazione "Computer Dominant", ovvero, tutte quelle aziende che non potrebbero gestire la propria attività senza il supporto della struttura informatica, non possono demandare il problema della sicurezza all'area "sistemi informativi".
La sicurezza informatica deve essere classificata e collocata tra i processi di rischio operativo e lo studio del problema dovrà passare atttraverso il risk management, dove il processo di valutazione ed esposizione al rischio parte da una prima fase di verifica delle criticità a cui l'organizzazione è esposta, per valutare poi la probabilità e l'impatto del rischio. I mattoncini del muro di cinta della tenuta citati all'inizio, sono paragonabili a tutte le singole vulnerabilità a cui è esposta una azienda, criticità che, singolarmente, possono causare malfunzionamenti o danni all'organizzazione proteggendo solo in parte l'integrità del sistema impresa.
A supporto delle metodologie di analisi, è sicuramente fondamentale il ruolo di molti consulenti che operano sul mercato dopo una adeguata preparazione, queste competenze possono essere utilizzate per consentire un confronto della situazione esistente in azienda con il disegno organizzativo necessario.
Non parleremo più di "sicurezza informatica" come preoccupazione del responsabile dei sistemi informativi, ma come di un tema aziendale che coinvolge tutte le funzioni nel disegno di un piano strategico per la salvaguardia del valore creato dall'impresa.