Rischi ICT – Il ruolo del Management

Oltre alle criticità ed ai rischi che l’adozione di qualunque tecnologia ICT implicano – e che ogni buon amministratore di sistema conosce, come ad esempio, bug di sistema, patching, sorveglianza, etc. – esistono altri fattori che pregiudicano la sicurezza dei dati e delle informazioni in un’organizzazione, pubblica o privata che sia. Questi sono spesso riconducibili ad errori o “sviste” imputabili al management dell’organizzazione e possono condurre a danni economici e di immagine, anche ingenti, derivati da perdita di profitto, produttività, reputazione, etc. La radice di queste sviste è spesso comune: sottostimare il fattore umano.

In base a diverse ricerche realizzate sin dal primo semestre del 2006, è possibile stilare una graduatoria di massima di queste “sviste”, una “top list delle distrazioni manageriali”, se vogliamo. Queste “distrazioni” sono da una parte correlate alla cosiddetta fissità culturale di certi manager, che tendono ad affrontare problemi concernenti le nuove tecnologie della comunicazione ed informazione con approcci datati. Dall’altra, questa stessa fissità culturale va ad innestarsi su una cultura aziendale che non enfatizza come dovrebbe il ruolo dell’aggiornamento professionale e della formazione, per i dipendenti in generale e per i manager in particolare. Inoltre, esistono anche contesti aziendali dove un insano atteggiamento – che i teorici della comunicazione definirebbero “tecnocrazia post-fordista” – ha instillato nel management una nuova fede, con alcuni pericolosi dogmi  quali:

1. i problemi aziendali sono tutti sono risolvibili solo grazie alla tecnologia;
2. problemi causati da certe tecnologie sono risolvibili dalle nuove tecnologie;
3. nell’equazione che determina la sicurezza delle informazioni e delle comunicazioni, il fattore umano non ha una grande importanza;
4. la sicurezza è un prodotto tecnologico che si può comprare “chiavi in mano”.

Di seguito elencherò alcuni luoghi comuni, qualcosa di simile ad un dizionario di assunti – e spesso di pregiudizi - la cui presenza si riscontra con maggior frequenza in seno al management delle organizzazioni pubbliche e private, indistintamente. L’elenco non è affatto esaustivo, e non è stato nemmeno ordinato per importanza o indice di frequenza. Ad ogni modo, è interessante notare come gli assunti qui riportati non appartengano de facto alla sfera del “tecnico” – anche se vi si riflettono – e possono condurre a diversi problemi od esporre l’azienda a gravi rischi. Inoltre, le conseguenze pratiche di ciascuno di questi modus pensandi vengono sfruttate da “hacker” e “spioni” più spesso di quanto non si creda per accedere alle informazioni aziendali. Quindi, se vi rispecchiate in uno dei seguenti assunti, sappiate che sarebbe opportuno correre ai ripari, anche per rendere un pò più complicata la vita ai “ladri di informazioni”, goliardici o professionisti che siano.

Alcuni degli Assunti che – più frequentemente – possono comportare o creare rischi:

• Assunto 1 – Questo piccolo problema è una sciocchezza, e se lo ignoriamo – prima o poi – scomparirà da solo.
• Assunto 2 -Affronteremo i problemi man mano che sorgono. Inutile fasciarsi la testa prima di averla rotta.
• Assunto 3 – Anche se violassero la nostra sicurezza, a chi vuoi che interessino i nostri dati.
• Assunto 4 – Abbiamo ottimi firewall, buoni antivirus e sorveglianza agli ingressi. Niente può entrare in azienda.
• Assunto 5 – Una volta scritte le Policy Aziendali, siamo al sicuro da ogni rischio.

Questo piccolo problema di sicurezza è una sciocchezza, e se lo ignoriamo – prima o poi – scomparirà da solo.

L’unica cosa che può migliorare col tempo è il vino, recita un vecchio adagio. Nel campo della sicurezza, nulla dev’essere lasciato al caso – o al tempo. La cosiddetta “sicurezza reattiva” dev’essere realmente tale: immediata ed efficace. Inoltre, come insegna la Legge di Murphy, dentro ogni piccolo problema ce ne può essere uno più grande che lotta per uscire. Se andiamo a casa tranquilli la sera, ignorando le prime avvisaglie di un qualche problema al sistema, l’indomani mattina potremmo tornare in un ufficio che non ha più un sistema. Attento monitoraggio e pronto intervento sono essenziali per risolvere le crisi alla radice ed evitare danni anche gravi. Crash di sistemi complessi possono iniziare con qualche problema ad Office, o nelle connessioni Internet. Software e appliance (dispositivi fisici finalizzati a specifiche attività, tipo lotta allo spamming, filtraggio dati, etc.) possono aiutare, ma il personale deve essere preparato ed avere chiare disposizioni da parte del management sulla giusta linea di condotta da seguire in ogni evenienza.

[Torna alla Lista degli Assunti]

Affronteremo i problemi man mano che sorgono. Inutile fasciarsi la testa prima di averla rotta.

Se questo può essere vero per affrontare i piccoli problemi quotidiani, nel campo della sicurezza aziendale non esiste assunto più pericoloso. La sicurezza non è un evento, ma un processo. Solo una buona pianificazione e costanza nelle attività di security analysis permettono di raggiungere una certa garanzia di sicurezza e un soddisfacente livello di successo nella prevenzione di incidenti informatici, perdita di dati, sottrazione indebita di informazioni, etc. L’esperienza insegna che il carpe diem, il “vivere alla giornata”, può essere piacevole in gioventù, ma riserva molti problemi alle aziende adulte. E cullarsi nell’idea che le disgrazie capitano solo agli altri non solo è pericoloso, ma facilita la vita al malintenzionato di turno, sia questo un hacker, uno spione o semplicemente un (ex-)dipendente insoddisfatto in vena di scherzi costosi. Processi ben studiati di risk management e auditing di sicurezza periodicamente affidati ad occhi oggettivi (leggi “esterni all’azienda”) aiutano il management ad avere una immagine realistica di quello che l’azienda rischia davvero, non solo nella quotidianità, ma anche in previsione di potenziali eventi futuri (espansione, crisi, disastri, etc.) o contingenze di mercato (fusioni, acquisizioni, concorrenza sleale, etc.). Inutile fasciarsi la testa prima di essersela rotta, ma magari procedere ad una corretta stima dei pericoli e delle minacce e comprarsi il casco (o l’airbag) giusto aiutano ad evitare un gran numero di rischi.

[Torna alla Lista degli Assunti]

Anche se violassero la nostra sicurezza, a chi vuoi che interessino i nostri dati.

La risposta a questa domanda – spesso posta dai manager in senso retorico – è semplice quanto articolata. Escludendo i cosiddetti “hacker” che operano per diletto, per il semplice gusto di sottrarvi informazioni aziendali e renderle pubbliche (minaccia quasi trascurabile, se la vostra non è un’organizzazione “in vista”), a meno che non siate monopolisti, la concorrenza potrebbe essere interessata a tutta una serie di informazioni che il vostro sistema ICT (ed i vostri collaboratori) custodiscono: elenchi di clienti e fornitori, tariffe applicate, prodotti, segreti comemrciali e industriali, brevetti, piani di sviluppo e di espansione, informazioni bancarie e commerciali, etc. L’elenco dei dati che potrebbero interessare alla vostra concorrenza è certamente lungo, e le probabilità di trovarli in parte (o integralmente) sul vostro sistema aziendale è alta. Oltre ai già citati “hacker per diletto” ed alla concorrenza, possiamo includere nel numero degli interessati anche i vostri dipendenti – o ex-dipendenti – scontenti. Gli “insider”, come vengono altrimenti definiti, sono una delle cause più comuni delle fuga di notizie dalle organizzazioni, spesso perchè non esistono politiche aziendali chiare e puntuali che li escludano dal ciclo vitale dell’informazione sensibile o ne limitino la pericolosità. La famosa “sicurezza a caramella” – croccante fuori e morbida dentro – è una delle più sinistre caratteristiche delle aziende, non solo italiane. Oggi che il mercato delle professionalità si è reso altamente “mobile”, e non sono infrequenti i casi di dipendenti che si muovono da un’azienda all’altra, alcune volte portandosi dietro qualche bagaglio di conoscenze di troppo. In Italia non è difficile trovare aziende che basano ancora i propri rapporti con dipendenti esclusivamente sulla fiducia. La cosa in se è alquanto nobile, ma un manager non può permettersi – anche proprio per il bene degli stessi dipendenti – di trascurare il concetto di Responsabilità di Impresa (recepito dalla legge 231/01) e dovrebbe rafforzare la fiducia che ripone nei propri dipendenti con “puntelli” legali ed organizzativi, a salvaguardia della propria azienda, intesa come “bene comune e sociale”. Codice Etico, policy aziendali, accordi di riservatezza, segretezza e non competitività sono un buon inizio per evitare problemi alquanto seri.

[Torna alla Lista degli Assunti]

Abbiamo ottimi firewall, buoni antivirus e sorveglianza agli ingressi. Niente può entrare in azienda.

Firewall, antivirus aggiornati, sistemi “patchati” e sorveglianza fisica riducono il rischio che qualche malintenzionato – fisicamente o attraverso reti aperte all’esterno – possa entrare in azienda. Ma è sempre possibile che qualcosa possa “uscire”. Alcuni indicatori – come ad esempio l’aumento esponenziale di codici maligni originali, spesso di tipo trojan, rilevato negli ultimi studi di settore (si veda, a titolo esemplificativo, Symantec Internet Security – Threat Report Trends for January 06–June 06 disponibile in PDF) – indicano che le persone interessate a danneggiare un business o ad ottenere informazioni riservate tendono sempre più spesso ad utilizzare tecniche spurie, ed in particolare – nel caso dello spionaggio industriale – tecniche di cosiddetta “ingegneria sociale”, una sorta di stangata tecnologica: in pratica, il malintenzionato di turno (detto “ingegnere sociale”) individua all’interno di un’azienda la potenziale vittima-complice del suo piano criminoso, e – guadagnatone la fiducia – la induce (inconsapevolmente) a compiere attività apparentemente innocue, ma che de facto sono finalizzate ad aprire falle nei dispositivi fisico-logici della sicurezza aziendale. Quando un ingegnere sociale entra in azione, i classici “malaware” (spyware, keylogger, trojan, virus, etc.) sono l’ultimo dei problemi di un’azienda. L’ingegneria sociale non si basa tanto sull’exploit dei meccanismi di sicurezza fisici-logici, quanto sullo sfruttamento di competenze del malintenzionato che vanno oltre l’informatica (psicologia, sociologia, programmazione neuro-linguistica, etc.) indirizzate al reperimento di inconsapevoli complici all’interno dell’azienda (insider) o sfruttare ingenuità del personale-chiave, spesso non propriamente consapevole dell’importanza delle informazioni quotidianamente gestite nello svolgimento delle proprie mansioni. E vi assicuro che quest’ultimo caso è lungi dall’essere infrequente, anche all’interno di aziende che dipendono dalla sicurezza IT per il proprio core business.

[Torna alla Lista degli Assunti]

Una volta scritte le Policy Aziendali, siamo al sicuro da ogni rischio.

Le policy aziendali in tema di sicurezza possono ovviare a molti problemi, a patto che siano ben redatte, supportate dal management ed illustrate ai dipendenti che ne sono destinatari. Troppo spesso capita di visionare policy confuse e troppo tecniche, veri e propri gineprai di norme e codicilli. Inoltre, lo stesso management che le ha “imposte” ai dipendenti non le supporta, non ne stimola la divulgazione e non prende provvedimenti idonei ad illustrarne finalità e validità, trasformandole de facto in lettera morta. Ad esempio, è capitato di trovare aziende con pagine e pagine di policy relative alla distruzione dei documenti confidenziali praticamente sconosciute ai dipendenti, che non sapevano neanche quali tra i documenti che quotidianamente trattavano fossero da considerare “confidenziali”. Per far si che le policy aziendali diventino un primo tassello per la costituzione di una comunità di pratica sensibile ai temi della riservatezza e della sicurezza delle informazioni, e non un semplice “accorgimento burocratico”, magari finalizzato al raggiungimento di qualche certificazione ISO o BS, occorre intraprendere alcuni passi essenziali. In primo luogo, è necessario procedere alla formazione e l’in-formazione del personale dipendente: chi non conosce il valore delle informazioni che gestisce non è in grado di difenderle, non sapendo neanche da cosa le difende e perchè. In secondo luogo, le policy non devono essere calate dall’alto, ma “costruite” attraverso momenti di dialogo ed interazione con i dipendenti: ciò è necessario affinché i documenti non siano solo meri esercizi teorici, ma rispecchino le reali esigenze aziendali in termini di sicurezza e riservatezza delle informazioni, riportando nel testo dei documenti tutte quelle procedure, pratiche, consuetudini ed “esperienze” che costituiscono la “cultura aziendale” stessa, così come “vista” o percepita da chi questa “cultura” la costruisce quotidianamente col proprio operato; inoltre, l’aver partecipato attivamente alla stesura delle policy, non solo permetterà ai dipendenti di conoscerle meglio, ma fornirà loro una valida spinta motivazionale per una loro più consapevole accettazione.

[Torna alla Lista degli Assunti]