Nel 2018 i temi connessi alla protezione dei dati personali e quelli correlati alla sicurezza delle informazioni sono in qualche modo entrati in contatto più di quanto non fosse mai successo prima.
In parte per le pesantissime sanzioni previste dal Regolamento Generale per la Protezione dei Dati Personali, in parte per l’inarrestabile penetrazione delle tecnologie digitali nella vita quotidiana delle persone, è stato indispensabile trovare modelli rapidamente applicabili per garantire una risposta fattiva in termini di compliance.
Se quindi per un verso si registra un’attenzione mediatica al cybercrime crescente ed incoraggiante, non senza alcune divulgazioni sensazionalistiche, dall’altro è possibile ancora notare una confusione concettuale e la carenza di alcuni elementi interpretativi fondamentali per avere un quadro di lavoro chiaro e cominciare ad operare in modo costruttivo ed efficiente.
In attesa dei report consuntivi per l’anno 2018 è quindi bene condividere alcune riflessioni fondamentali ed identificare dei validi obiettivi per l’anno in corso.
La prima questione linguistica, e di riflesso logica, riguarda il termine “sicurezza” ed il diffuso impiego dell’espressione “sicurezza informatica”. La seconda questione è relativa alla diffusione – ancora molto limitata – di una cultura umanistica del rischio. La terza questione riguarda l’assenza di indicatori condivisi per misurare ed interpretare la realtà ed i fenomeni connessi agli argomenti oggetto d’indagine.
La sicurezza informatica
Nell’utilizzo del termine sicurezza, molti professionisti ricercano ancora un proprio spazio ben delineato, evitando a tutti i costi di confrontarsi con l’ampiezza e la complessità che caratterizzano gli scenari attuali. La capacità di analisi delle concatenazioni di cause ed effetti che riguardano fattori geografici, politici, economici e sociali, oltre che normativi, giuridici e tecnologici rende profondamente obsoleto un modello di competenze frammentario. Eppure in molti seguitano a concentrare i propri sforzi nel vendere – e anche a caro prezzo – competenze one shot, ormai inutili, invece di promuovere un investimento a lungo termine finalizzato a configurare nuove conoscenze convergenti e sinergiche in materia di sicurezza. C’è ancora chi fa safety, chi fa security (fisica), chi fa cyber security o sicurezza informatica; ma in caso di emergenza o crisi, chi evita che il danno sia irreparabile, gestendo adeguatamente tutti gli aspetti? Nel momento in cui un centro elaborazione dati va a fuoco poco importa che un tecnico ci resti secco nel tentativo di salvare i dati (visto da chi fa sicurezza informatica) oppure poco importa che tutti i dati vadano distrutti (visto da chi fa sicurezza e salute). Anche se lo scenario esige un’analisi completa che salvaguardi la sicurezza delle persone e dei dati.
Basti inoltre riflettere al dualismo, che purtroppo ancora persiste nel linguaggio anche di fonti accreditate, tra le espressioni “sicurezza informatica”, per altro derivante da un’errata traduzione dell’espressione inglese information security, e “sicurezza delle informazioni” per comprendere meglio il problema. Esasperando il concetto, fare sicurezza informatica significa che nel momento in cui un foglio esce dalla stampante non è più nel perimetro controllato. Poco importa che su quel foglio ci siano dati riservati e poco importano i rischi derivanti da un inefficace gestione del dato se non è in formato digitale.
Insomma, di una visione olistica, matura e radicata nelle organizzazioni, in grado di rispondere alle differenti esigenze di sicurezza non ve n’è ancora traccia, fatti salvi alcuni casi virtuosi ma purtroppo isolati.
La cultura umanistica del rischio
Nella scatola cranica abbiamo un fantastico strumento in grado di svolgere analisi particolarmente complesse. Eppure, un po’ per pigrizia, un po’ per fretta, facciamo in modo di demandare alle macchine compiti che però non sono in grado di svolgere efficacemente. I software possono valutare autonomamente altri software o apparati, ma non sono in grado né di prevedere né di analizzare desideri, scopi e motivazioni dell’essere umano. Questi sono gli elementi che più di tutti contribuiscono a creare un effetto di incertezza sugli obiettivi stabiliti, concretizzandosi in veri e propri rischi, sia per mezzo di attacchi deliberati, sotto forma di minaccia, sia per mezzo di errori involontari, sotto forma di vulnerabilità. Esemplificando, una porta costituisce la vulnerabilità di un ambiente e la chiave per aprirla la minaccia. Ma è tutto veramente così meccanico? Non sarebbe più sensato riflettere sul fatto che la vera vulnerabilità è costituita dalla capacità di presidio delle regole applicate all’efficacia della porta e la minaccia le ragioni che inducono una persona a volerla passare?
Inoltre il fatto di riuscire a dare priorità ad alcuni scenari rispetto ad altri (analisi e valutazione dei rischi) diventa l’unico strumento di intervento utile, guida senza la quale l’applicazione della sicurezza sarebbe economicamente insostenibile, posto il fatto che tutti i sistemi, e specialmente le organizzazioni, hanno a disposizione risorse finite, il cui impiego deve essere sfruttato nel modo più efficiente possibile.
Indicatori della sicurezza
Sono fondamentalmente tre le aree da sottoporre a monitoraggio e misurazione per riuscire a rilevare in modo auspicabilmente oggettivo la situazione corrente. Ma l’attuale povertà di standard e metodologie di riferimento lascia il fianco di almeno due delle tre aree quasi del tutto scoperto. Infatti, se quasi tutte le organizzazioni hanno trovato il modo per misurare la sicurezza dei propri sistemi, spesso non v’è traccia di misurazioni relative al ritorno sugli investimenti fatti, né riferibili al business né tanto meno riferibili all’impatto sociale che generano. Proprio quest’ultimo aspetto merita molta più attenzione di quella che effettivamente riceve, considerando il ruolo centrale che rivestono i dati personali e le modalità con cui vengono trattati nel determinare non solamente le caratteristiche della società in cui viviamo, ma anche la percezione più o meno etica dei brand.
Conclusioni
Le consuete fotografie sulla sicurezza alle quali ci hanno abituato importanti agenzie internazionali, vendor di software e servizi, e le Telco sono indubbiamente strategiche per comprendere il contesto mutevole nel quale si opera. E’ però altrettanto fondamentale prestare più attenzione ad aspetti meno raffinati e complessi che determinano un peso significativo nel dirigere la forbice che si spalanca sempre più in modo veloce ed incontrollato tra efficacia delle attività condotte e crescita esponenziale dell’impatto tecnologico.