Il problema della sicurezza informatica e l’esigenza della sua soluzione stanno diventando sempre più impellenti nelle aziende e negli Enti Governativi in tutti i maggiori Paesi. Le ragioni di ciò possono sostanzialmente essere classificate in 2 grandi categorie: una strutturale, comune a tutti i Paesi, ed una normativa, che dipende dai sistemi legislativi vigenti all’interno dei singoli Paesi. Le ragioni di tipo strutturale sono sostanzialmente tre.
La prima è la straordinaria diffusione che si è verificata negli ultimi tre anni di strumenti informatici o di apparati di telecomunicazione che consentono un accesso a Internet e che fa sì che il numero delle informazioni scambiate a livello mondiale stia crescendo vertiginosamente. Si consideri, in proposito, che a fine 2003 esistevano nel mondo circa 600 milioni di navigatori, 750 milioni di PC installati, circa 100 milioni di Wi-fi Hot Spots e 1 miliardo e 150 milioni di telefoni cellulari. La seconda ragione, quasi implicita, è che le imprese stanno progressivamente scoprendo il valore strategico delle informazioni e del loro uso in chiave di efficienza e competitività: aumentano le transazioni anche grazie all’aumento del numero di lavoratori mobili, la cui quota, ad esempio è ormai del 45% sul totale negli Usa. Ma la terza ragione è che Internet e le reti Internet ed Extranet sono diventate un canale privilegiato di intrusione e, data la loro pervasività, un moltiplicatore di possibilità di intrusione con un effetto paradossale: a fronte di una sempre crescente complessità delle tecniche di attacco e di intrusione dovuta all’adozione di strumenti di sicurezza, corrisponde, grazie alla disponibilità di tools facilmente accessibili, una parallela riduzione degli skill necessari per portare a termine un attacco. Secondo il recentissimo Internet Security Threat Report di Symantec stiamo arrivando alla ‘sindrome del Giorno Zero’, cioè alla contrazione massima del tempo intercorrente tra la scoperta della vulnerabilità e l’attacco relativo da parte degli hackers. Tutte queste cause concorrono nell’aumentare esponenzialmente il grado di incidentalità e vulnerabilità dei sistemi informativi in tutti i Paesi.
Le ragioni di tipo normativo fanno riferimento, nella realtà italiana, a due adempimenti obbligatori: il Nuovo Codice Unico sulla Privacy, che entrerà in vigore nel 2004 e che impone alle aziende di elaborare organici per la sicurezza, e le norme previste nell’Accordo di Basilea 2 in base alle quali le banche devono dotarsi di strumenti di Business Continuity e di Disaster Recovery per contrastare e ridurre i livelli di rischio operativo.
Il mercato della sicurezza IT in Italia (2000-2003) Valori in Mln di Euro
Fonte:Assinfor/ NetConsulting
Ma quali sono i comportamenti e le strategie adottate dalle aziende italiane di fronte a problemi di tale portata? Una risposta a questa domanda può essere fornita dall’analisi di tre indicatori.
Il primo è relativo agli investimenti per la sicurezza informatica, che ammontano a 441 milioni di Euro nel 2003, con una crescita del 10.5% sull’anno precedente, ma che equivalgono soltanto al 2.3% degli investimenti IT totali (fig. 1). Il secondo indicatore riguarda gli strumenti di sicurezza utilizzati dalle aziende, che risultano prevalentemente essere costituiti da sistemi di back up, antivirus e firewall e la cui adozione è basata su un approccio di tipo reattivo (fig. 2).
La diffusione dei sistemi di sicurezza IT in Italia
Fonte:NetConsulting
Strumenti, come Identity Management o Intrusion Prevention and Detection, basati su un approccio di tipo preventivo, risultano, al contrario, meno presenti.
Il terzo indicatore riguarda il grado di strutturazione e formalizzazione del budget per la sicurezza: solo il 68% delle aziende ha allocato un budget specifico. Dalla lettura contestuale dei tre indicatori citati si evince che le risposte che le aziende italiane stanno dando al problema della sicurezza sono inadeguate rispetto alla dimensione e alla strategicità percepite del problema stesso.
Questa situazione è dovuta a fattori più culturali che economici, che costituiscono un forte vincolo all’adozione di strumenti tecnologici in chiave strategica.
I fattori di freno più evidenti sono i seguenti: una scarsa cultura della sicurezza presso le aziende; una scarsa capacità di pianificare gli eventi dannosi e di contabilizzarne le conseguenze; una mancanza di strumenti e di modelli di valutazione del ritorno degli investimenti; un atteggiamento reattivo e non preventivo nei confronti della sicurezza; un approccio tattico e non strategico a cui consegue una visione in cui la sicurezza appare come costo e non investimento; l’illusione che la sicurezza sia un problema facilmente risolvibile attraverso strumenti e soluzioni tecnologiche.
A fronte di un problema di portata vasta come quello della sicurezza, le aziende italiane devono fornire risposte di natura non più tattica, ma strategica. Serve quindi un piano che coinvolga l’intera azienda, definendo, secondo un approccio top down, modelli organizzativi, riorganizzazione dei processi, creazione di skill e competenze, e tecnologie da adottare. Il piano, infine, dovrebbe essere ispirato a valutazioni di tipo normativo e legale, nonchè di tipo economico, considerando, in questo caso, non solo i costi e i danni di investimento ma i possibili costi derivanti da un non investimento.
