58
ottobre 2014
verso le istituzioni deve abbandonare
l’approccio italiano-centrico, perché
oggi, con molta probabilità, per esem-
pio nel travel security, si trova a dover
proteggere e tutelare i lavoratori della
sua azienda che vanno in giro per il
mondo e che generalmente non sono
solo italiani, ma anche cinesi, brasiliani,
indiani, tedeschi… Per ogni nazionalità
ci sono interlocutori, regole, metodi e
processi da attivare con le autorità dei
Paesi d’origine diverse”.
Un modello per implementare la buona
sicurezza non esiste, “così come non
esiste la sicurezza assoluta, e ammes-
so che esista verrebbe a costare tan-
tissimo”. Ciò non toglie che non sia
doveroso lavorare a ‘standard’ comuni: “Ne abbia-
mo bisogno e infatti oggi AIPSA è impegnata con
UNI a riscrivere la norma che riguarda il security
manager... L’ultimo aggiornamento risale al 1995”.
La continua crescita della complessità
“I confini della sicurezza informatica non cambia-
no – è anche questa l’opinione di
Gigi Tagliapietra
,
presidente CLUSIT – oggi la mobilità nei contesti
aziendali amplifica in modo rilevante il tema della
sicurezza informatica, ma questa non è diversa dal
passato: bisogna sempre proteggere reti e dati”.
Semmai la novità sta nella dimensione e nell’espan-
sione del problema che è una conseguenza dell’e-
voluzione tecnologica e che a ogni passo aumenta
la complessità in senso esponenziale: “La diffusione
della rete IP trasforma le cose che tocca. Pensiamo
per esempio alle nuove automobili che sempre più
saranno anch’esse soggetti collegati a internet…
Non è un paradosso dire che l’automobile di ultima
generazione non è più un semplice autoveicolo, ma
semmai è un computer con le ruote”.
Si va quindi verso uno scenario di complessità in
crescita costante e l’approccio non può più essere
quello di risolvere i problemi contingenti quando
questi si presentano in azienda. “È difficile percepire
il rischio di un bene intangibile, come l’informazione,
che non si vede fisicamente. Ci sono aziende che
oggi affidano in cloud informazioni critiche a terzi,
senza sapere dove sono e come sono fatti i data
center del fornitore. Ma oggi nessuno si sognereb-
be di affidare i libri contabili ‘cartacei’ dell’azienda
a un corriere che li porta in un magazzino che non
si sa dov’è e come è protetto... La sicurezza quindi
è sempre sottovalutata quando non si ha una reale
percezione ‘fisica’ del pericolo”.
Il ‘retaggio antropologico’ di non percepire il rischio
perché non si vede fisicamente il bene
può essere però superato attribuendo
un valore reale all’informazione. “Fatto
questo importante passo implemen-
tando in modo corretto le soluzioni
di sicurezza informatica che vanno a
proteggere le informazioni critiche,
allora la sicurezza diventa un proces-
so di coerenza che segue queste in-
formazioni nelle varie forme e utilizzi
che prenderanno nel percorso di evo-
luzione dell’azienda. Più le mie scel-
te saranno coerenti alla mia strategia
di sicurezza e più il security manager
avrà la probabilità di reagire in modo
giusto alle cose che prima o poi suc-
cederanno”. Certo perché nonostan-
te tutto l’impegno c’è sempre una vecchia regola
da tener ben presente: “La sicurezza non esiste.
L’obiettivo del security manager è semmai un al-
tro: farsi il meno male possibile. Ovvero, quando si
verificherà un problema sul fronte della sicurezza,
deve essere pronto a far ripartire l’azienda il più in
fretta possibile”.
La coerenza della sicurezza è un processo di miglio-
ramento continuo e non può che essere guidato da
una personalità poliedrica, aperta e curiosa, fatta
salva la necessità di avere, vista la complessità, un
team di due o tre esperti a supporto del security
manager: “È necessario sviluppare un pensiero non
lineare, divergente, creativo; come dopotutto dimo-
strano di avere gli hacker. Bisogna avere una visio-
ne sistemica, capire quali sono gli effetti di un atto
sull’ecosistema allargato dell’azienda... Per questo
credo che nel team del security manager ci debba
anche essere un biologo marino”.
La curiosità serve per capire i fenomeni del pre-
sente, e la curiosità è la base per costruire quella
consapevolezza che bisogna diffondere in azien-
da: “Non si può fare finta che Facebook o Twitter
non esistano e quindi pensare che con un divieto
generalizzato le cose si risolvono da sole… Un di-
pendente a casa la sera sui social network ci va, e
magari non è sempre attento a non divulgare in-
formazioni sull’azienda, sui colleghi e sui clienti”.
La sicurezza non può essere più vista come una
cosa a parte: “È talmente integrata nella vita delle
aziende e dei loro sistemi informativi che non può
non essere sempre presa in considerazione”.
Business Strategy – Sicurezza
Gigi Tagliapietra, presidente
CLUSIT
