La capacità di creare profitto, per tutti gli operatori del mercato, in primo luogo è basata sulla disponibilità e sulla capacità di impiego delle informazioni correlate alle proprie attività istituzionali e d’affari. Ad esempio, si può trattare di informazioni sulle condizioni del mercato, quindi relative al contesto competitivo e ai rapporti con i diversi partner: informazioni di marketing e commerciali, così come informazioni relative ai rapporti con i fornitori e con i clienti. Si può trattare anche di informazioni operative interne: su aspetti economici e finanziari, ovvero su aspetti tecnico-logistici, come i parametri di controllo dei processi produttivi. Senza queste informazioni il capitano d’impresa non potrebbe governare la propria organizzazione: nessuna speranza, se non nel fato... Ma questa non sarebbe gestione, bensì temerarietà.

Per fortuna, normalmente chi governa le diverse organizzazioni è in grado di reperire le informazioni che gli servono e di gestirle in modo da crearsi uno scenario di riferimento per prendere le proprie decisioni.
È naturale che tra le tante informazioni ve ne siano alcune maggiormente critiche. Ma cosa succederebbe se queste, improvvisamente, non dovessero essere più disponibili? Peggio ancora, cosa accadrebbe se dovessero essere alterate o non veritiere, mentre, invece, le consideriamo corrette e integre? Infine, cosa succederebbe se tali informazioni critiche, quelle più riservate, venissero rese disponibili ai concorrenti?
La risposta è semplice: si verificherebbe un danno enorme, forse esiziale per l’organizzazione. Pensate a una PMI ove non sia più disponibile il database aziendale, quello che gira sul server centrale, l’unico, dove sono immagazzinati i dati relativi a tutto il giro d’affari: informazioni per la fatturazione, informazioni e contratti con i fornitori, informazioni sulle ricerche di mercato e sui rapporti con le banche ecc. Ma vi sono anche altre informazioni che non vorremmo mai che andassero perse o che venissero compromesse: quelle relative alla privacy, in questo caso, oltre al danno economico, vi sarebbe anche il risvolto penale: a seconda del tipo di attività di affari, la compromissione di alcune di queste informazioni, potrebbe infatti portare i malcapitati responsabili direttamente davanti al giudice.

Si stima che annualmente il danno subito dalle diverse imprese e dalle pubbliche amministrazioni, a seguito di problemi con la gestione delle informazioni, assommi a diversi milioni di euro. Non si tratta solo di un danno calcolato sulla perdita di valore di qualche voce di inventario o di poste di bilancio afferenti immobilizzazioni di beni non più disponibili o persi: si tratta di mancati guadagni, di perdita di quote di mercato e di competitività, di perdita di immagine verso le parti interessate (clienti, banche, fornitori, risorse umane) e, perché no, verso gli investitori.
Gli esempi potrebbero essere tantissimi: dalla perdita di informazioni causata da un guasto tecnico, facilmente rimediabile e con un basso costo di intervento, sino alla perdita di informazioni critiche o alla riduzione, anche totale, della capacità di elaborare le informazioni. Per ripristinare un database compromesso sono necessari processi tecnici e organizzativi che non possono essere improvvisati. Per fronteggiare un “disastro” per la capacità di elaborazione è necessaria un’organizzazione ad hoc che non può essere inventata al momento. Ove occorra un evento del genere, se non ci si è organizzati con delle adeguate misure di tutela, si rischia di perdere per sempre tali informazioni e, probabilmente, anche diverse quote di mercato.
In questo caso, quali sarebbero i costi, in termini di competitività e di credibilità?

Ultimamente non sono mancati degli esempi clamorosi pubblicizzati da tutti i mass-media, sia in Italia sia all’estero. Ma quanti episodi avvengono giorno per giorno nelle realtà produttive e di servizio, pur senza rimbalzare sulle pagine dei giornali?
Cosa comporterebbe, in termini di perdite e di mancati guadagni, per un’agenzia di viaggi trovarsi in alta stagione, nel momento di massima affluenza di clienti, con una connettività scarsa o diminuita e non potersi collegare ai server di prenotazione delle compagnie aeree oppure a quelli dei provider di servizi integrati di viaggio?
Oppure cosa accadrebbe se si verificasse il crollo del server o della rete di una società di fornitura di semilavorati con modalità di produzione tesa (just in time)?
E se questi guai accadessero a un ospedale ove possono essere trafugati, scambiati erroneamente o alterati i dati su prescrizioni farmacologiche o relativi ad analisi cliniche, magari prima di un’operazione chirurgica?
Il fatto è che ritenendoci poco ferrati sull’argomento, si tende a ignorarlo, come se, così facendo, potessimo esorcizzarlo. Ma i rischi rimangono, anzi crescono nel tempo.

Finora abbiamo pensato a fatti e situazioni ove la mano dell’uomo è per lo più assente, se non per errori di varia natura. Invece, occorre sapere che sono molti i casi nei quali i danni derivano da comportamenti a rischio colposi, quindi almeno parzialmente inconsapevoli o, peggio, da deliberati atti ostili. Si stima che i comportamenti dannosi messi in essere, più o meno consapevolmente, dalle risorse umane interne delle diverse organizzazioni siano equivalenti al 30% degli attacchi totali subiti.
Potremmo anche sentirci offesi e stracciarci le vesti, affermando che nelle nostre organizzazioni questo non è neanche ipotizzabile, che le nostre infrastrutture informative sono protette ed eccellenti...
Eppure, si segnalano sempre più spesso eventi dannosi legati ora a comportamenti almeno sprovveduti, se non superficiali o proprio negligenti, delle stesse risorse umane aziendali, piuttosto che alla generale disinformazione sui temi della sicurezza delle informazioni; per non parlare degli atti veramente ostili, sia di personale interno alle stesse organizzazioni, sia di persone esterne: i cosiddetti cracker.
Spesso si tratta di accessi illeciti, perpetrati con tecniche di inganno delle singole persone, di effrazione delle sedi delle organizzazioni vittime, di penetrazione elettronica delle reti, con finalità che possono arrivare sino al vero e proprio spionaggio industriale. Possono essere sottratte le informazioni che servono a clonare, depauperare se non a demolire un giro di affari redditizio (ad esempio informazioni di marketing e commerciali oppure sulla catena di fornitura, ma anche di tipo finanziario). In casi fortunatamente più rari, ma non infrequenti, si tratta anche di impiego illecito delle risorse informatiche delle organizzazioni oggetto della violazione, per finalità di terrorismo: qui la responsabilità penale ricade anche sulle stesse organizzazioni vittime, oltre che sui singoli individui, come è previsto dal dlgs 231/01.

Sicurezza a norma (UNI CEI ISO/IEC 27001)
Qual è la risposta possibile? Ovviamente una: rendere maggiormente sicura l’infrastruttura informativa dell’organizzazione. La security è una antica disciplina, purtroppo poco nota, se non quando si subisce un danno o quando compaiono notizie eclatanti sui giornali.
Specificatamente per la gestione della sicurezza delle informazioni, un importante aiuto viene offerto da una serie di norme di tipo tecnico e gestionale dedicate, sviluppate negli ultimi anni. Si tratta di ottimi strumenti per introdurre nelle diverse organizzazioni la cultura gestionale, in primis, e anche tecnica per la corretta gestione del patrimonio informativo.

Con la pubblicazione, nel 2005, della norma ISO 27001 - adottata l’anno successivo in Italia come UNI CEI ISO/IEC 27001 e ora prossima alla pubblicazione in lingua italiana - il mondo della normazione ha iniziato a dare una forte e importante risposta alle esigenze di sicurezza (security) delle tante organizzazioni che possono essere esposte ai rischi derivanti da minacce sia interne, sia esterne e dalle molteplici vulnerabilità che caratterizzano i sistemi informativi: si badi bene, non solo quelli informatici in senso stretto.
L’approccio adottato è quello vincente della adozione di un sistema di gestione coerente con la logica di Deming del miglioramento continuo, che adotta l’approccio per processi, quanto mai importante, se non essenziale, per questo specifico aspetto del controllo di gestione e che si integra con le norme per i sistemi di gestione per la qualità, per l’ambiente e per la salute e sicurezza sul lavoro.

La norma UNI CEI ISO/IEC 27001 comprende anche un’utile appendice che offre un indicazione dettagliata delle principali misure di controllo operativo che un’organizzazione dovrebbe adottare a fronte delle specifiche minacce e vulnerabilità individuate. Si tratta di uno strumento davvero efficace che necessita, per essere applicato con il massimo profitto, dell’esistenza in azienda di una capacità multidisciplinare: sia organizzativa che tecnica. Questa capacità dovrebbe essere raggiunta ricercando la collaborazione di tutti i responsabili dei diversi processi, sia quelli principali, che impattano direttamente sul cliente finale sia quelli di supporto a questi ultimi. Evidentemente, è di fondamentale importanza anche la competenza di un esperto per gli aspetti più specificatamente tecnologici. La norma si basa su di un approccio orientato al Risk Management, inteso nel senso più ampio di strumento utile a definire le misure per prevenire - ed eventualmente reagire - agli eventi che possono portare danno all’organizzazione medesima. Tali misure (i controlli operativi per la security) sono massimamente di tipo organizzativo e mirano alla creazione di un’infrastruttura gestionale che coinvolga e renda consapevoli tutte le risorse umane interessate, ognuna al proprio livello di competenza. Le misure tecnologiche sono solo una parte, seppur importante del più ampio controllo organizzativo, inteso come insieme di misure gestionali per ridurre la virulenza delle minacce, attraverso il rafforzamento delle possibili aree di vulnerabilità e della consapevolezza delle risorse umane. Inoltre, senza l’approccio sistemico, i soli controlli operativi di tipo tecnico rischiano di diventare obsoleti e non più adeguati in breve tempo, basti pensare a come evolve la scoperta delle nuove falle di sicurezza nei sistemi operativi e dell’esigenza di creare una procedura gestionale per curarne l’aggiornamento.

Riccardo Bianconi
Esperto UNINFO