18/03/2010 di Redazione

Un metodo certificato per la sicurezza aziendale

Una originale proposta italiana frutto di un gruppo di lavoro che ha raccolto associazioni per la sicurezza, auditor IT e società di consulenza direzionale

immagine.jpg

Quando si parla di sicurezza dei dati aziendali il rischio è che si arrivi troppo tardi, quando la frittata è fatta e i buoi son scappati dalle stalle. 
Per intenderci, quanto sarà costato finora e, soprattutto, quanto costerà alla più grande banca europea ed elvetica, HSBC, i grandi titoli e le pagine intere dedicate a metà dalla stampa internazionale al furto che un suo dipendente infedele ha fatto dei dati di 25mila correntisti per rivenderli e specularci sopra? Non lo sapremo mai. Perché difficilmente verremo a sapere quanti clienti avranno abbandonato gli sportelli di HSBC o, quantomeno, azzerato il proprio conto corrente; quante cause per danni saranno intentate; quanto la banca spenderà per rivedere le procedure di sicurezza e sostituire quelle vecchie, inefficaci, con nuove più stringenti e severe, quanti consulenti coinvolgerà, quanto sconquasso organizzativo ci sarà. Forse, e fra qualche anno, se ne vedranno le cifre dei costi nei bilanci societari. Ma non è detto.
Il problema, insomma, è che per la sicurezza c'è grande sensibilità ma, troppo spesso, a posteriori, quando “l'incidente”, così lo chiamano gli addetti ai lavori, è già successo. 
Che cosa fare? Come riuscire a dimostrare agli amministratori aziendali che gli investimenti in sicurezza sono utili al business? Questo è il cruccio dei Chief information officer (CIO) alle prese con una diminuzione dei budget di spesa e con le priorità da sottoporre agli amministratori aziendali. Ebbene ora c’è una metodologia che può aiutare i CIO a controllare lo stato della propria strategia di sicurezza dei dati ed eventualmente argomentare al responsabile dell’azienda dove investire e perché. 
Grazie alla collaborazione tra ClusIT, l’associazione tra responsabili della sicurezza IT aziendale, e le principali società di consulenza organizzativa mondiale, è stato redatto il ROSI, Return On Security Investment. Una metodologia concreta e originale a livello mondiale.

"In Italia più che altrove la spinta a darsi una strategia per la sicurezza dei dati aziendali è dovuto soprattutto al rispetto delle norme che sono diventate sempre più stringenti e alle regolamentazioni formulate dalle Autorità di Garanzia", commenta Paolo Gentile, professore dell'Università Statale di Milano, Dipartimento di Informatica e Comunicazione. Gentile è anche segretario generale del ClusIt, ossia l'Associazione Italiana per la Sicurezza Informatica.
Abbiamo scambiato alcune battute con Gentile durante l'annuale Security Summit, una tre giorni dedicata a seminari tecnologici (oltre 40) e conferenze con aziende clienti, il gotha dell'offerta di strumenti, soluzioni e consulenza in tema di sicurezza, a Milano dal 16 al 18 marzo. 
"Senza la spinta determinata dalla necessità di rispettare gli obblighi di legge e le normative, i responsabili della sicurezza non riescono a convincere i vertici aziendali a fare investimenti mirati. Eppure una strategia chiara, applicata alla sicurezza dei dati, convenie al business aziendale. Purtroppo quanto valore abbia lo si appura solo quando l'incidente è accaduto e i dati sono stati rubati, vi sono state intrusioni, manomissioni e l'azienda, forse, è stata bloccata per ore se non per giorni. E l'immagine aziendale? I danni intangibili sono difficili da quantificare ma ci sono sicuramente. E costano, altro che se costano ".
Che cosa fare? Come riuscire a dimostrare agli amministratori aziendali che gli investimenti in sicurezza sono utili al business?
"Il ROI, ossia il Ritorno dell'investimento informatico è quasi più facile da stimare perché alla fin fine si parla di dati reali: bit e byte memorizzati da qualche parte e che sono da tutelare, duplicare, salvaguardare. Insomma, vi sono cose che si possono misurare più facilmente. Quando invece si parla di sicurezza informatica diventa tutto molto più complicato perché abbiamo a che fare con i comportamenti delle persone, la loro formazione ed educazione alla cautela, cose difficilmente valutabili come i guasti all’immagine aziendale, gli strascichi delle cause delle parti lese coinvolte, i danni finanziari per le società quotate. Insomma, ho impiegato 10 anni per mettere assieme tutte le competenze per arrivare ad avere un team che ha elaborato il ROSI, Return on Security Investment”.

ClusIt, un’associazione “vecchia” di un decennio è riuscita, infatti ad avvalersi d’una circostanza assai favorevole. Una trentina e più di clienti Oracle sono raccolti intorno a una Community for Security. Tra essi vi sono gli esperti di sicurezza IT delle principali società di consulenza direzionale e IT al mondo: Deloitte, Ernst&Young, KPMG e PricewaterhouseCoopers. Il gruppo di lavoro Orale-ClusIt-AIEA (Associazione italiana information systems auditors)-società di consulenza, in sei mesi ha prodotto la “ricetta” ROSI: un approccio metodologico per la valutazione degli investimenti in sicurezza informatica. 
“Insomma abbiamo finalmente avuto una fortunata coincidenza per avere intorno a un tavolo le competenze tecniche, d’organizzazione e finanza aziendale. Con un obiettivo chiaro e una determinazione encomiabile. In soli sei mesi abbiamo prodotto questa release 1.0 del ROSI che aspetta ora le osservazioni e i contributi di tutti, utenti e tecnici, e la sua validazione sul campo. Così sarà più rapido arrivare a una release 2.0”

Che cosa fa il ROSI?
“Non è una tabellina o un algoritmo che si applica e dà le risposte. Sulla base di standard riconosciuti a livello internazionale espone una serie di aspetti che devono essere considerati per un piano di sicurezza IT. Così non si perde per strada nessun aspetto. Rispetto ad altri tentativi internazionali, come quello francese che era più teorico, il nostro ha un atteggiamento molto più concreto e pratico”. 
Però, se viene proposto dal ClusIT e da imprese di consulenza, è facile aspettarsi che voglia spingere gli amministratori aziendali a spendere di più in sicurezza.
“Non è così. Il ClusIT non ha mai voluto dire niente su una soluzione se è buona o cattiva. Non siamo mica il papa che distingue il bene e il male. Ciò che perseguiamo è che si abbia un approccio corretto alla sicurezza.  Che non significa implementare un prodotto ma formare ed educare gli utenti finali a una maggiore consapevolezza del problema. Perché ne va di loro, del lavoro che fanno, del successo della loro azienda”.

ARTICOLI CORRELATI