IT Security: Sempre tutto importante, ma cosa fare?

L’ IT Security è un mondo sempre più discusso e gli argomenti che vengono toccati sono senza dubbio tutti importanti, si parla di tecnologie, dei problemi che risolvono, di come adottarle all’interno di strategie pluriennali e di molto altro.

Si è capito anche che per tanto che facciamo e per tanti soldi che spendiamo non possiamo essere certi che non ci succeda mai nulla per questo alle soluzioni tecnologiche si è accostato il tema delle procedure da seguire in caso di cyber-attacco, di trasferimento del rischio tramite polizze assicurative e tutto il mondo del nuovo regolamento sulla privacy, anch’esso con implicazioni che richiamano sempre più da vicino l’intervento della parte tecnica.

Anche quest’anno è iniziata la stagione degli eventi, dei meeting e presentazioni dei nuovi prodotti, tutte interessanti, variegate, ma tutte uguali, ognuna parte presentando un problema attuale e spiegando come il prodotto risolve quel problema, perché lo risolve meglio di altri e quindi perché è il migliore.   

Le presentazioni raramente lasciano adito a dubbi sul fatto che quella cosa sia da fare, purtroppo sono finalizzate a se stesse come se la loro tematica fosse l’unica sulla quale valga veramente la pena spendere tempo e denaro, perché tutelare quella significa proteggere ciò che veramente conta.

Peccato che secondo questa logica tutti dovremmo fare tutto perché viene amplificata talmente tanto l’importanza di ogni tema da concludere che per essere protetti dobbiamo pensare a tutto, cosa ovviamente impossibile per i limiti di budget, di tempo e molte altre motivazioni.

Insomma da un punto di vista assoluto è tutto importante e tutto da fare ma visto che non è possibile il compito più difficile spetta sempre a noi, essere realisti e pratici per definire sempre la solita scaletta delle priorità, il solito compromesso più adatto a noi.

Il bello del nostro lavoro è che non esiste una regola per fare questo, prima di tutto perché ogni azienda è un mondo a se stante con le sue caratteristiche che la rendono unica, secondo perché ognuno di noi fa le proprie scelte in base alla propria esperienza.

Ora provo ad elencare tutti gli aspetti della IT Security che mi vengono in mente e vorrei sapere chi di voi li ha gestiti tutti e se ho dimenticato qualcosa:

• Password management
• Firewall perimetrale con servizi classici di sicurezza (IPS, AV, URL Filt, App. Ctrl, Anti-Bot)
• Antispam evoluto(Mail Gateway)
• Antivirus endpoint(desktop, notebook, server)
• Antivirus mobile (Android, iOS)
• Piattaforma MDM (Mobile Device Management)
• Backup dati (client, server)
• Disaster recovery dei sistemi fondamentali
• Archiviazione della posta elettronica
• Protezione contro malware sconosciuto e zero-day
• Sync&Share per la condivisione documentale crittografata
• Gestione organizzata degli aggiornamenti firmware e patching dei sistemi
• Monitoraggio della rete e reportistica sugli eventi di sicurezza
• Definizione e stesura delle procedure da seguire in caso di attacco
• Polizza assicurativa personalizzata per il trasferimento del rischio
• Adempimenti del nuovo regolamento sulla privacy

Quel che è certo e che se delle persone hanno investito tempo e denaro per sviluppare queste soluzioni vuol dire che presumibilmente hanno individuato delle necessità importanti da soddisfare, hanno osservato l’evoluzione dei cyber attacchi per arrivare a proporre il rimedio migliore.

Potremo parlare giornate intere dei benefici di ognuna di queste soluzioni di sicurezza del perché sia importante adottarle e dei rischi che corriamo se non lo facciamo. Ci troveremo con una lunga lista di considerazioni più che giustificate, ma allora perché i punti scoperti sono ancora così tanti?

Le tecnologie sono mature, disponibili da tempo e l’importanza dei problemi che risolvono non si discute.

Allora perché qui in Italia forse solo il 5% delle aziende le ha adottate tutte?

Allora ci si confronta con i Vendor o con i distributori e le risposte sono sempre quelle, non c’è apertura, non c’è sensibilità all’argomento, non c’è la visione del problema, devono sbatterci la testa prima di capire che oggi è necessario fare qualcosa in più, oppure che la maggior parte del tessuto imprenditoriale è composto da aziende piccole quindi con rischio basso e l’esigenza non è sentita.

Secondo me l’importanza di ognuno dei punti che ho elencato sopra è fuori discussione, azienda piccola o grande che sia, il vero scoglio non è nemmeno il budget ma sono tutte le implicazioni che derivano dall’adozione di una nuova tecnologia, rispetto alle quali il prezzo è spesso poca cosa.

La conoscenza che i consulenti devono avere di un prodotto non può essere limitata alle caratteristiche del suo datasheet, ai problemi che risolve e ai rischi che permette di evitare ma deve anche aiutare i responsabili IT ad applicarlo nella propria situazione aziendale in modo di eliminare un rischio senza crearne un altro.

Tra gli aspetti più critici troviamo la produttività degli utenti, che non può essere compromessa ed è risaputo che non va proprio a braccetto con una security stringente, una conseguenza di questo tipo sarebbe un danno per l’azienda e metterebbe in cattiva luce chi l’ha adottata.

Un'altra considerazione riguarda la gestione del nuovo prodotto, il reparto tecnico dovrebbe imparare ad utilizzarlo e gestirlo, manutenerlo e in generale dargli attenzione e questo può necessitare di una risorsa, il tempo, molto preziosa.

Questi sono solo due esempi e tantissimi altri sono propri di ogni azienda e legati alle sue particolarità interne.

Considerazioni come queste in un processo di valutazione possono far scendere in secondo piano il rischio legato alla sicurezza per dare priorità ad altri che vengono ritenuti più palpabili, immediati e concreti.

Si tratta di un pantano dal quale poi risulta difficile uscire perché ha bisogno di un nuovo punto di vista, produttività e sicurezza sono valori di cui l’azienda ha bisogno per sopravvivere, hanno la medesima importanza e fare in modo che coesistano è compito delle persone, ognuna nell’ambito della propria mansione deve lavorare in modo da non costituire un ostacolo ma collaborare per un obiettivo.

La formazione, la condivisione delle necessità e il rispetto delle procedure sono la chiave per trasformare la visione dell’IT da semplice centro costo a portatore di innovazione, valore e vantaggio competitivo.

Certo bisogna dedicarci del tempo ma l’alternativa è continuare a fare solo quello che funziona nell’immediato e ciò che sarà sarà.   

In altri casi molto frequenti legati alle dimensioni del tessuto imprenditoriale medio qui in Italia, si ritiene che un’azienda di dimensioni ridotte sia soggetta a pericoli ridotti, è vero se consideriamo il valore assoluto del danno di un ipotetico attacco, ma fuorviante nella valutazione del rischio, perché è ridotta anche la capacità dell’azienda di sostenere il danno stesso.

In altre parole il rischio cresce o diminuisce in “valore assoluto” come il “potere” che ha l’azienda di attutire il colpo di un disastro, per questo la criticità degli aspetti sulla sicurezza in un’azienda piccola o grande non cambia.

Banalmente parlando l’investimento deve essere inferiore perché si spende meno in ognuno dei punti elencati e non perché possiamo tralasciarne.

Anche io sono convinto che il calcolo del ROI è più semplice in altri ambiti ma vivere sperando che non succeda mai nulla per evitare il rischio di spendere per nulla, non paga, contrariamente se iniziamo a concepire come l’IT Security può costituire un valore per l’azienda, di solidità e affidabilità ci sarà più chiaro come sfruttarla per ottenere un vantaggio.

 Se vuoi valutare lo stato della sicurezza della tua rete la prima mossa è eseguire un "Security Check Up" ,ti permette di ottenere un report dettagliato degli eventi sulla sicurezza. Il primo passo per scoprire gli aspetti da gestire con priorità.

Scarica il fac-simile del report e verifica tu stesso quante informazioni sul traffico della tua rete potresti ottenere grazie a questa attività.