La sicurezza informatica è un tema che ha ormai assunto una rilevanza significativa, ed è di fatto un problema che tocca in modo quotidiano tanto le aziende quanto i privati. Tuttavia, questa crescente attenzione è motivata soprattutto da un graduale cambiamento di atteggiamento rispetto ad un sostanziale scetticismo che permeava le aziende fino a pochi anni fa. Di fronte al proliferare di notizie relative ad attacchi generati da hacker (isolati o organizzati) nei confronti di istituzioni apparentemente inattaccabili, all’interno di ogni azienda è nato il legittimo dubbio che il pericolo fosse concreto e andasse preso in considerazione.
Vi sono, tanto in Italia quanto negli altri paesi, alcuni motivi che hanno particolarmente stimolato l’attenzione verso questo tema. In primo luogo si è rilevato che le imprese sono sostanzialmente prive di piani di sicurezza e ancor più di strumenti per prevenire efficacemente i rischi da intrusione o di perdita dei dati. Molte aziende hanno pensato di dotarsi di soluzioni di backup, ma senza rendersi realmente conto della limitata copertura che tali tecnologie consentono di fornire rispetto ai rischi reali.
Inoltre, molto spesso non si tiene conto del fatto che la perdita di informazioni, o il furto di dati sensibili, nella maggior parte dei casi viene generato dall’interno dell’azienda e non è legato a fattori esterni.
Infine, ma è questo il problema principale, vi è la pervasività di Internet, che oltre a rappresentare il maggior fattore di rischio per l’accesso alle reti aziendali o ai singoli computer consente in pratica a chiunque di disporre di strumenti per portare degli attacchi informatici, pur senza possedere skill tecnici particolarmente evoluti.
Di fatto, nel 2003, le denunce di crimini informatici sono aumentate in misura rilevante rispetto all’anno prima, e hanno riguardato molteplici aspetti (vedi figura). Va tuttavia sottolineato che la frequenza degli episodi non è necessariamente correlata al danno prodotto. Infatti, da un campione di aziende statunitensi emerge che il furto di informazioni (segnalato da circa il 21% delle aziende), ha prodotto danni molto più elevati di quanto sia addebitabile a virus o ad accessi non autorizzati alla rete, segnalati dall’80% delle imprese.
La security in Italia
L’Italia risulta posizionata al quinto posto nella graduatoria dei paesi con il maggior numero di attacchi subiti dalle aziende nel 2002. Graduatoria guidata dagli Stati Uniti con quasi 27.000 denunce, mentre in Italia se ne contano circa 2.650.
Questo apparente vantaggio, non deve però far pensare a un mercato tranquillo (e i recenti casi di attacchi alle Poste ne testimoniano la debolezza), anche se le imprese non hanno finora pianificato investimenti significativi su questo fronte. Fino ad oggi, le principali tipologie di soluzioni per la sicurezza adottate dalle aziende si sono concentrate nel campo dei software antivirus e degli apparati dedicati al ruolo di firewall, sperando che installare un firewall e distribuire antivirus possa essere considerato un rimedio sufficiente.
Resta il fatto che nel 2002 il budget per spese in tecnologie destinate alla tematica della sicurezza è stato solo del 2% circa della spesa complessiva in It. Tale cifra è indubbiamente bassa, e notevolmente sottodimensionata in relazione alla percezione del rischio manifestata dai responsabili dei Sistemi Informativi delle aziende italiane. Che nella quasi totalità dei casi non hanno nel proprio staff una persona con responsabilità di Security Manager e nel 68% dei casi non dispongono neppure di budget assegnati alla sicurezza.
Azioni prive d’una strategia
Indubbiamente, con il crescere delle dimensioni aziendali il tema viene affrontato con maggior sistematicità, soprattutto nei settori in cui la protezione dei dati aziendali assume rilevanza anche di carattere legale (come ad esempio nell’area Finance e nella Pubblica Amministrazione). Tuttavia, esistono una serie di elementi che, al di là dei timori manifestati, identificano una sostanziale lentezza nell’assumere un corretto atteggiamento nei confronti del problema. Soprattutto, vi è un’ancor scarsa cultura della sicurezza, forse indotta dal limitato numero di casi verificatisi nel Paese, che comporta una sottovalutazione del problema; quindi un atteggiamento reattivo e non proattivo, che tende a considerare la sicurezza un costo e non un investimento a protezione del patrimonio aziendale.
In generale, emerge un approccio sostanzialmente tattico e non strategico al problema, al quale si sommano le politiche commerciali dei fornitori di soluzioni di sicurezza, spesso orientate a massimizzare il proprio profitto di fronte ad una scarsa preparazione del cliente, piuttosto che a fornire valore adeguato alle effettive esigenze delle aziende.
Le attese di medio termine
Le premesse evidenziate, che caratterizzano un contesto arretrato e apparentemente non sensibile alla problematica della sicurezza, possono tuttavia rappresentare un punto di partenza per costruire un nuovo segmento di mercato dalle dinamiche di crescita significative.
Affinché lo scenario possa mutare in modo positivo occorre che tutti gli attori in gioco facciano dei passi avanti nel concepire la sicurezza, tanto quella fisica che quella informatica, come un fattore determinante per il business dell’azienda, senza sottovalutare le situazioni di pericolo e, al contrario, predisponendo ogni contromisura per rispondere preventivamente ad ogni rischio. Per fare ciò occorre che ogni entità verifichi in modo chiaro ed esaustivo il proprio stato di rischio, comparando la propria dotazione con quella minima necessaria per potersi considerare almeno immuni dagli attacchi degli hacker improvvisati, vale a dire di giovani inesperti che, un po’ per gioco e un po’ per testare le proprie capacità, navigano sul Web in cerca di modi per entrare in reti private e possono a volte causare più danni di quanti ne provochino gli abusi mirati e realizzati da esperti informatici.
È importante quindi che vengano elaborati dei piani relativi alla sicurezza che coinvolgano tutte le strutture e le procedure aziendali e risultino efficaci non solo per evitare furti di informazioni o danni al sistema informativo, ma garantiscano soprattutto dagli effetti legali derivanti dalla scarsa cautela nella custodia di informazioni soggette alla legge sulla privacy. Ciò impone che clienti e fornitori di soluzioni di sicurezza oltre ad acquisire le competenze adeguate ad affrontare in modo completo la tematica, siano anche in grado di valutare correttamente le esigenze e adottare le corrette contromisure, di natura informatica e non.
