Sicurezza IT, la piramide del rischio a due facce
Fattore abilitante per nuovi business o peso per le attività produttive da digerire per necessità, la sicurezza resta al centro delle preoccupazioni delle aziende, e lo sarà ancora di più in un futuro che si prevede agitato dalla guerra senza quartiere al terrorismo internazionale.
In uno scenario in cui le prestazioni dei sistemi di connettività mobile consentono di veicolare su dispositivi portatili anche i servizi più sofisticati e in cui l’internet delle cose sta assumendo caratteri pervasivi, è naturale che su questo tema ci sia una crescita di interesse tale da giustificare previsioni che parlano, per il mercato della sicurezza, di 170 miliardi di giro d’affari a livello globale entro il 2020, contro i 75 attuali. Questo mentre le azioni criminali (fonte Nomisma) già ora costano alle aziende 400 miliardi di dollari l’anno.
Di questo si è parlato durante la tappa milanese del Check Point Security Tour, partendo da una ricerca Idc che ha riguardato specificamente le aziende con più di 100 dipendenti, coinvolgendo a livello europeo 1500 decision maker.
Ne ha illustrato i risultati Giancarlo Vercellino, Research Manager di IDC Italia, che ha chiarito qual’è il trend che sta aumentando i fattori di rischio: la mediatizzazione della business life, ovvero la pratica secondo cui tutti i lavori prevedono che si interagisca con strumenti propri dell’Ict e che si comunichino, spesso pubblicamente via social network, informazioni importanti relative alla propria attività. Questo semplifica il lavoro di chi costruisce trappole sofisticate anche con tecniche di ingegneria sociale.
Analizzando la serie storica dei 170 casi più eclatanti di data breach, dal dipendente AOL che ha venduto 95 milioni di record della sua azienda a società di spam, al più recente caso Sony, si nota che il numero medio di informazioni compromesse negli ultimi cinque anni si è moltiplicato almeno di un fattore due, e analogo andamento si riscontra anche nel numero dei casi di violazione.
Peraltro le statistiche sono rese parziali dal fatto che solo una piccola parte delle azioni di hacking andate a segno viene alla luce. Il resto, quando non porta a conseguenze impossibili da nascondere, rimane un segreto gelosamente costudito da molti amministratori.
Anche perché le situazioni peggiori, più che da attacchi esterni, sono causate da membri stessi dell’organizzazione, che avevano legittimamente accesso a informazioni riservate. Questa considerazione dovrebbe bastare per gettare lunghe ombre sulla reale sicurezza anche delle aziende considerate più affidabili. Si è premurato di sottolinearlo in questi giorni anche Tim Cook, che in visita nel nostro paese ha voluto farsi profeta di sventura, dichiarando di temere catastrofi future per il rischio di furto d’identità e abusi sulla privacy.
Per quanto si tratti di dichiarazioni interessate, sottilmente rivolte all’uso allegro dei dati che il Ceo ha spesso imputato a Google, la previsione è tutt’altro che campata in aria.
In questo campo, però, i manager hanno spesso dei preconcetti che li guidano a fare clamorosi errori di valutazione, o non conoscono davvero i rischi e le minacce attuali. Vediamo di seguito quali sono gli errori più comuni.