Da quanto viene diffuso in queste ore riguardo l’intervento di Mauro Orlando, manager di Gartner Consulting, riguardo al concetto di sicurezza integrata nella gestione d’impresa, emerge quanto evidentemente sia ancora abbastanza lontana la comprensione di determinate tematiche nell’ambito dell’imprenditoria italiana.

Orlando spiega che “la sicurezza riguarda tutta l’organizzazione non solo i sistemi informativi, il top management o una singola area. [...] Si fanno spesso degli interventi parziali, scoordinati o intempestivi. La regola d’oro invece è bilanciare singoli interventi coordinati, piuttosto che fare un singolo grosso intervento”.

Si dipinge quindi un quadro in cui le aziende intervengono in programmi di messa in sicurezza dei dati solo dopo aver subito un danno dall’esterno e non studiando misure ad hoc ma facendo affidamento a soluzioni tampone di tipo generico. Insomma, ne più e ne meno che quello che potrebbe fare un inesperto utente domestico (che installa l’antivirus dopo aver scoperto di avere il computer infetto).

Qui però non stiamo parlando di utenze domestiche ma di entità commerciali preminenti. Per Orlando la soluzione per riuscire a proteggere l’azienda e contemporaneamente garantire un business senza intoppi è sintetizzabile in otto punti.

1. definizione di una strategia di sicurezza: “La strategia di sviluppo del business deve guidare le scelte di sicurezza, tenendo presente che la gestione dei rischi è una responsabilità dell’organizzazione nel suo insieme”.
2. security governance: intesa però come non un appannaggio esclusivo dell’IT, degli operativi o di un comitato centrale, ma abbracciante tutti i comparti aziendali nel loro insieme, integrando la sicurezza a livello di organizzazione aziendale.
3. investimento e payback: giustificazione degli interventi ed evidenziazione dei costi. (N.d.A.: E’ un punto fondamentale che viene spesso sottovalutato, non solo nel valutare la security, ma anche nel generico acquisto di tecnologie. Sempre più spesso si tende a non valutare i vantaggi reali di un investimento, ma ci si attiene a tendenze di mercato che non rispecchiano le necessità aziendali).
4. policy e standard: per Orlando i destinatari della policy vanno individuati, classificati e gestiti in gruppi “omogenei” in modo da disegnare le regole per ogni area. Le policy seguono, per il security manager, un ciclo di vita fondato su sviluppo, approvazione, implementazione, verifica conformità e manutenzione. L’approvazione occupa una parte importante, intesa come approvazione formale (non solo sostanziale) di tutti i principali attori coinvolti: la policy non può essere un freno per le persone.
5. awareness e cultura: s’intende in queto caso una diffusione all’interno dell’azienda della cultura della sicurezza che coinvolga appunto tutte le sue parti.
6. auditing: investigare l’aggressione per determinare cosa ha funzionato o meno nel processo di sicurezza dell’azienda. Prevenire, controllare ed eventualmente reagire alle minacce.
7. architettura: per Orlando bisogna passare da un’architettura della sicurezza blindata (usa la metafora “a fortezzza”) ad un sistema a livelli sovrapposti di sicurezza. In questo modo aumentano i fattori che possono impedire o limitare un’agressione esterna.
8. tecnologia: l’azienda non deve esternalizzare l’amministrazione, gestione e controllo dell’hardware e del software preposti alla sicurezza, ma deve dotarsi di una struttura interna apposita.

Questi punti, a conti fatti, però, ricalcano informazioni in teoria consolidate. E’ vero che un approccio simile può essere oneroso e fors’anche complicato per una piccola e media impresa, ma appunto basandosi sul terzo punto, ci si aspetterebbe che le necessità di mantenere sicuri i propri strumenti di business dovrebbero spingere anche le aziende minori ad effettuare corretti investimenti per la tutela interna.

Forse il fatto di dover ancora oggi palesare concetti base è un campanello di allarme che ci deve far meglio capire qual’è il livello di conoscenze IT nell’imprenditoria italiana.