Nel corso del Security Summit 2010 organizzato a Milano a metà marzo da ClusIT, l’associazione dei responsabili italiani della sicurezza informatica, è emersa una proposta originale e interessante per tutte le aziende. Oltre i tecnici del ClusIT e dell’AIEA (Associazione italiana information systems auditors) hanno partecipato anche le quattro principali società di consulenza direzionale e informatica al mondo: Deloitte, Ernst&Young, KPMG e PricewaterhouseCoopers.
L’opportunità di farle collaborare tra loro è dovuta al fatto che tutte, insieme a un’altra trentina di aziende, partecipano all’Oracle Community For Security una aggregazione tra clienti Oracle che condividono tra loro esperienze e dibattono temi che riguardano la sicurezza grazie anche al fatto che usano strumenti software del costruttore software americano.
Questo trust di cervelli ha messo a punto un ponderoso (e non banale) documentone: ROSI, Return on Security Investments: un approccio pratico. Come ottenere commitment sulla security. “Un documento messo liberamente a disposizione di tutti con licenza Creative Commons perché lo spirito del gruppo è stato proprio quello di mettersi al servizio di tutti per aiutare a far fare dei passi avanti alle problematiche della sicurezza nelle aziende italiane affinché i loro investimenti siano quelli ‘giusti’, niente di più niente di meno”, spiega Alessandro Vallega di Oracle che ha coordinato il gruppo di lavoro.
“Con le costanti restrizioni ai budget d’investimento IT per i Chief Information Officer, infatti, il problema è soprattutto far percepire ai responsabili dell’azienda che ciò che si spende in sicurezza non è un costo ma un vero investimento sulla stabilità e continuità dell’azienda”, dice Andrea Longhi, director security and privacy service di Deloitte.
“I security manager hanno la necessità di utilizzare strumenti concettuali inattaccabili per comunicare ai decisori aziendali la necessità che vengano effettuati investimenti mirati e ben motivati. Ciò che con il ROSI abbiamo cercato di fare è guidare i security manager a utilizzare una metodologia che propone un punto di vista olistico, che comprende in sé sia gli aspetti organizzativi, sia quelli tecnologici, sia quelli procedurali”, aggiunge Fabio Lorenzo, IT security e IT effectiveness di PricewaterhouseCoopers.
Mauro Cicognini, di ClusIT, per rendere l’idea di quanto sia complessa e vasta la portata della sicurezza in un’azienda ha citato un caso reale, per quanto anonimo. “Alcuni amministratori di sistema dell’azienda s’erano presa la libertà di inventarsi un business parallelo: scaricavano film coperti da copyright e ne commercializzavano le copie tra i colleghi. Si erano, poi, lasciati prendere la mano ed entravano regolarmente nelle email dei manager per conoscere in anticipo le promozioni, confrontare gli stipendi, scavare nei pc dei colleghi dipendenti”.
“Una storia che non è finita né finirà sui quotidiani, ma per l’azienda il danno è stato molto consistente. Tutto il vertice del settore IT è stato rimosso. E’ stato necessario pagare qualcuno che seguisse le tracce delle intrusioni illecite. Per un certo periodo di tempo i progetti informatici sono stati per forza di cose congelati in attesa che le nuove persone incaricate ai vertici IT diventassero operativi. E’ stato necessario ripensare e rivedere le policy. Gli effetti economici delle azioni legali non sono ancora noti perché le cause si trascineranno per anni. Insomma, per l’azienda è stato un disastro”.
Cionostante è difficile, prima che il disastro accada, far percepire quali e quanti guai possono derivare da comportamenti e da misure di sicurezza inadeguati. “Una indagine specifica svolta dalla nostra società ha trovato che oltre il 40% dei Chief information officer e dei Security manager hanno problemi nel convincere i manager decisori nell’ottenere le risorse per mettere in atto adeguate misure di sicurezza. Non è vero, però, che servono necessariamente un sacco di soldi. Ciò che con il ROSI abbiamo cercato di fare non è inventare la formula magica e semplice che quantifica il ritorno dell’investimento in sicurezza. E’ un calcolo impossibile. Abbiamo invece voluto suggerire il metodo che porta a identificare le cose da fare e la quantità di investimenti ‘giusti’ per il caso specifico della propria azienda”, dice Andrea Mariotti, Security manager and financial advisor di Ernst&Young.
Il metodo proposto dal gruppo di lavoro che ha elaborato il ROSI ha cercato di far tesoro di quanto attualmente è accettato da tutti coloro che si occupano di gestione dei sistemi informatici.
Ne illustra i tratti salienti Alberto Piamonte dell’AIEA: “Abbiamo oltre venti anni di espereinza nella ricerca di standard e moltissima letteratura è disponibile per ogni aspetto informatico. Si tratta di dare un senso logico e una metodologia rigorosa nel rispetto degli standard operativi più accettati e consolidati. In ROSI proponiamo due percorsi diversi: uno che segua un approccio top-down e un altro che invece dallo studio dei casi risale verso l’alto. Ogni CIO o Security manager può seguire l’approccio che preferisce. Ciò che conta, però, è che quanto abbiamo prodotto non è che il rispetto di documenti elaborati da AbiLab per i processi di sicurezza. E’ stato pensato per il settore del credito, ma non dimentica nessun elemento essenziale e può essere letto e adattato a qualunque industria o attività”.
Inoltre il metodo ROSI fa tesoro delle indicazioni CobiT, il modello di Control objectives for information and related Technology, creato nel 1992 dal’Associazione americana auditor dei sistemi informativi. Lo schema serve ad assicurare l’allineamento tra l’IT e il perseguimento delle strategie d’azienda massimizzando i benefici delle funzioni aziendali, l’utilizzo responsabile delle risorse IT e le risorse sono gestie opportunamente.
Altro apporto vengono dagli standard internazionali ISO/IEC 2700x e dei documenti riguardanti le best practice nella sestione dei servizi IT, i processi e i mezzi per suportarli contenuti nei documenti ITIL (Information technology infrastructure library).