Il tema della sicurezza informatica presenta una complessità crescente per i responsabili dei sistemi Ict aziendali. Da un lato, come mostrato anche da una serie di studi di recente pubblicazione, sulla rete Internet continua ad aumentare il volume di malware e la quantità di azioni che portano danni materiali e di immagine alle imprese e ai singoli individui.
Ma, in aggiunta ai rischi collegati all’uso della rete Internet, va considerato che sono aumentate negli ultimi anni altre forme di rischio informatico che prima erano prese in minore considerazione dalle aziende.
Alcuni casi clamorosi hanno mostrato infatti come, a volte, anche eventi casuali possano portare alla perdita di dati sensibili e di intellectual property con danni rilevanti per l’impresa.
In Inghilterra, nel febbraio 2007, per la sparizione di un notebook che poteva contenere i dati sensibili di 11 milioni di clienti, la Nationwide Building Society (società britannica specializzata nei finanziamenti per l’acquisto di proprietà immobiliari) ha ricevuto una multa di 980mila sterline, mentre in dicembre è stato il Dipartimento delle Imposte del Ministero del Tesoro ad ammettere di aver perso i dati personali di 25 milioni di cittadini.
In Germania, questa volta per un atto di pirateria informatica, l’operatore di telefonia mobile T-Mobile del gruppo Deutsche Telecom ha perso le informazioni personali di circa 17 milioni dei suoi clienti. L’evento risale all’inizio del 2006, ma la questione è stata dibattuta nel 2008, quando la rivista Der Spiegel ha dichiarato che i dati – compresi indirizzi di casa e numeri di telefono non presenti sull’elenco di molte celebrità, leader di business, miliardari, rappresentanti religiosi, ministri e politici tedeschi – erano poi stati messi in vendita su Internet.
Una concomitanza di fattori, da un lato determinata da inefficienze interne alle aziende, mancanza di controlli, superficialità nelle contromisure, dall’altro lato, intrusioni e violazioni spesso intenzionali (che avvengono sia all’interno dell’azienda, sia dall’esterno) fa sì che si debbano poi affrontare le conseguenze spiacevoli di una perdita di dati rilevanti.
Come sarà mostrato anche nel corso dell’Evento organizzato da Idc sul tema della Ict Security (la Security Conference che si svolgerà a Milano i prossimi 7-8 aprile e a Roma il 22 Aprile 2009) le aziende devono oggi muoversi su più fronti: considerare le contromisure tradizionali, organizzate in policy coerenti all’interno dell’organizzazione, ma anche tener conto dei nuovi rischi, e quindi proteggere gli endpoint quando quest’ultimi accedono alle reti aziendali o a Internet, assicurare la business continuity, dare maggiore focus alla protezione di dati critici e di intellectual property dell’azienda, fornire un accesso sicuro ai sistemi.
Si tratta di nuove esigenze oggi molto sentite, che spostano il focus della security da singole soluzioni puntuali (l’antivirus, il firewall) a un disegno complessivo di policy e architetture.
L’attuale situazione economica e in generale la tendenza della funzione It a tenere sotto attento controllo l’andamento dei costi, spingerà poi sempre di più i decision maker a una gestione del rischio Ict che permetta di conseguire obiettivi di “risk resilience”, non soltanto attraverso vincoli (alle persone o ai processi), ma con un occhio anche alla possibilità di creare valore aggiunto per il business.
Il tutto andando al di là del tradizionale approccio per “prodotti” di security, con un occhio alla revisione delle policy di sicurezza e della strategia di compliance, oltre che alla definizione complessiva dell’infrastruttura di sicurezza, delle tecnologie, dei processi e dei tool per proteggere il perimetro della rete e le risorse interne.
* Elena Vaciago è Senior Associate Consultant, Idc Italia
