Innovazione tecnologica e cybersecurity: un difficile compromesso

Autore: Giuseppe Vaciago

Da una recente ricerca di Gartner (“Digital Workplace Insights From Gartner's 2015 CIO”), emerge che “il livello di digitalizzazione dei dipendenti sta aumentando anche in termini di destrezza. La maggior parte dei lavoratori è ormai abituata ad attivare e a connettersi alle reti wireless, a gestire più di un dispositivo e a connettere più device fra loro, a usare app e web services. Di fatto la tecnologia è diventata una sorta di routine, uno strumento per velocizzare operazioni e migliorare la vita personale e quella lavorativa”.

Quali sono le conseguenze in termini di sicurezza informatica di una simile rivoluzione digitale? Molto semplici: alcuni anni fa l’amministratore delegato di un’azienda chiamava al telefono “quello dell’IT” perché non riusciva a mandare un’email, oggi si deve porre il problema del budget da destinare al Chief Information Officer (CIO) e soprattutto deve essere in grado di scegliere bene tale funzione perché il suo ruolo è divenuto rapidamente sempre più strategico.

Matt Cain, research vice president di Gartner, ritiene che un moderno e adeguato CIO deve avere un “approccio bimodale” nella gestione delle risorse IT. In pratica, non deve bloccare la necessità di guardare sempre di più alle tecnologie emergenti e in particolare a quelle che consentono di ottenere vantaggi competitivi, ma al contempo deve salvaguardare le strutture e le risorse informatiche aziendali. Insomma, più che un approccio bimodale, si potrebbe definire un approccio “schizofrenico”. Difatti, l’aumento dei device a disposizione del singolo dipendente e il conseguente fenomeno del “Bring Your Own Device” impediscono una gestione strutturata della sicurezza informatica. Inoltre, il vero problema è dato dal proliferare di app molto spesso gratuite in grado di risolvere le più disparate esigenze lavorative in tempo reale, ma non sempre di garantire un’adeguata tutela dei propri dati personali o aziendali.

La soluzione è banale ma non per questo facilmente realizzabile: è necessario investire di più e con più coordinamento. Molto spesso, infatti, buona parte del budget destinato alle risorse tecnologiche non viene deciso dal dipartimento IT, ma da altre funzioni che ritengono imprescindibile investire in software e hardware per garantire la continuità del business del loro settore. Gartner arriva a parlare di un investimento medio del 30% che sfugge alle mani del CIO. Questo aspetto non è secondario perché oltre a generare un inevitabile aumento dei costi, produce un’entropia informativa a cui difficilmente si può porre rimedio.

Al di là del quasi inevitabile incremento del budget IT all’interno dell’azienda, una possibile soluzione è sicuramente quella di investire nella valorizzazione della funzione del CIO. Molto spesso in Italia, tale figura ha un compito di mera verifica e di compliance, ma non entra nel processo delle decisioni strategiche aziendali e molto spesso le subisce. Questo fatto genera un inevitabile senso di frustrazione che poi si traduce in un atteggiamento censorio e non sinergico. In definitiva, in Italia la figura del CIO è ancora, di fatto, quella di responsabile IT con tutti i relativi limiti fisiologici di una funzione che è entrata a parte dell’organigramma aziendale da troppo poco tempo per assumere la rilevanza che meriterebbe. Da notare, tuttavia, che tale tipo di problematica è in discussione, fuori dal contesto italiano, fin dal 2012.

Inoltre, le realtà aziendali dovrebbero investire sempre più nei Sistemi di Gestione delle Informazioni e degli eventi di Sicurezza (Security Information and Event Management) che permettono una visione più completa e sinergica della sicurezza informatica (o meglio della gestione del dato digitale) delle imprese di medie e grandi dimensioni.

Ci si potrebbe domandare perché in queste sintetiche considerazioni sulla cybersecurity non si è affrontato il tema della compliance legale. La risposta è semplice: a livello italiano e anche europeo stiamo vivendo una situazione di stallo. In attesa del nuovo regolamento sulla privacy proposto nel 2012 e non ancora  approvato, e della direttiva NIS (Network and Information Security) proposta nel 2013 e ancora in discussione, in Italia vigono ancora le regole fissate dal legislatore europeo del 1995 (direttiva 95/46/EC) e recepite dal D.lgs. 196/03 in materia di protezione dei dati personali. In sostanza, la normativa che dovrebbe regolamentare l’esponenziale sviluppo tecnologico degli ultimi 20 anni è stata emanata in un’era geologica in cui per collegarsi ad internet era necessario il modem (per i più giovani il modem era quella strana scatoletta che si collegava al computer con il doppino telefonico e che emetteva rumori sinistri prima di farti accedere al tuo browser).

I provvedimenti del Garante sulla gestione della posta elettronica e internet e quello sugli amministratori di sistema costituiscono un importante vademecum operativo e offrono indicazioni di estrema importanza per il rispetto della normativa in vigore. Tuttavia, la strada da percorrere è ancora lunga e deve essere percorsa avendo bene in mente due regole fondamentali: la prima è che la cultura della sicurezza informatica non può riguardare solo le infrastrutture critiche (centrali elettriche, ospedali o banche), ma deve diventare una priorità anche per le PMI italiane che stanno iniziando a sperimentare quali possano essere i devastanti danni economici e reputazionali di un attacco informatico. La seconda è che la sicurezza informatica deve essere pensata fin dal momento della produzione del software o dell’hardware (security by design) e deve essere il più possibile semplice e immediata per l’utente finale che difficilmente può concepire di perdere tempo a impostare un dispositivo in modo sicuro.

 

Ultima modifica ilMartedì, 13 Ottobre 2015 15:45