La sicurezza informatica è sempre stata importante, ma semplicemente, per decenni è stata ignorata...
Complici non solo gli utilizzatori finali delle applicazioni e dei servizi in uso, ma soprattutto coloro che hanno scritto e ancora scrivono codice vulnerabile.
Complici tutte quelle aziende che offrono software, piattaforme e servizi, senza investire in adeguati studi per la protezione dei dati.
Complici tutti coloro che vogliono fare interagire qualsiasi cosa ad ogni costo..., è il business del momento; piattaforme online..., servizi online..., automoblili interattive..., frigoriferi che ti fanno la spesa..., ma ogni cosa ha un prezzo...
Avete voluto far interagire tutto con tutto? Adesso sono guai!
I frigoriferi ci profilano, i televisori interattivi ci spiano ed i telefoni sanno tutto di noi, anche quando sono spenti...
Non ho mai creduto che si potesse fare sicurezza senza "blindare" il più possibile i dati, il tempo mi ha dato ragione. Gli ambienti militari e di intelligence hanno ancora molto da insegnare...
Nel frattempo, la sicurezza non è diventata solo una necessità, ma il business nel business, intanto, le grandi realtà, anche se non lo fanno volentieri, possono investire considerevoli somme per la protezione dei dati e delle informazioni, i piccoli ed i medi continuano a rimanere soli...
L'errore è nell'approccio!
Una piccola azienda non può permettersi un centro di sicurezza che analizza dalla mattina alla sera, codici e protocolli, non funzionerebbe neanche se il servizio fosse esterno. L'approccio sulla sicurezza che realizzi per le piccole imprese è molto diverso e corrisponde a necessità diverse dalle grandi infrastrutture. Non solo, la sicurezza non è un prodotto, a poco serve un firewall se non lo adatti regolarmente a quello che transita sulla rete, a poco serve un antivirus se gli deleghi la protezione di tutto.
A condire per bene l'insalata, ci sono alcuni commerciali disposti a vendervi qualsiasi cosa, facendo leva sull'ignoranza e l'allarmismo, così vi sentirete più sicuri senza sapere di essere nella stessa condizione iniziale, ma con qualche soldo in meno...
Ricordo ancora un "genio" che ho conosciuto anni fa, che vendeva proxy server con content filter assemblati da lui con vecchie versioni Linux, piene di bug e falle di sicurezza, i clienti però credevano di essere al sicuro.
Ma allora come fare?
Le grosse aziende, hanno processi e personale dedicato alla sicurezza IT, le loro infrastrutture non sono prive di vulnerabilità ma hanno mediamente un alto livello di sicurezza e capacità reattiva agli attacchi. Hanno un approccio mediamente globale ed una attività di controllo costante.
Le piccole e medie aziende, non hanno la stessa possibilità, soprattutto per una questione di costi, ma possono innalzare i loro livelli di sicurezza se insieme ad un bravo professionista, si sottopongono a valide analisi, controlli, attività di audit al fine di individuare almeno le maggiori criticità ed implementare le dovute protezioni. Mantenendo almeno revisioni cicliche e giocando quindi sulla prevenzione.
Individuare punti critici ignorati, implementare le dovute protezioni e attuare revisoni cicliche, non metterebbe al riparo da tutto ma consentirebbe di innalzare in media un livello di protezione informatica che mediamente è basso se non scadente.
Tempo fa, entrando nello studio di un professionista mi bastò fargli una domanda perchè non dormisse sonni tranquilli per un mese. Non aveva minimamente idea di alcuni pericoli a cui era esposto, da allora sta implementando, seppur gradatamente, una serie di processi che innalzeranno i criteri di funzionalità, resilienza e proattività della propria infrastruttura informatica. Non sarà mai totalmente immune, ma avrà gli strumenti adeguati per continuare a lavorare in situazioni critiche e avere sempre i dati a disposizione. Si, è vero, tutto ciò ha un costo che chiunque se potesse ne farebbe volentieri a meno, ma quando ti ritrovi con l'impossibilità di lavorare perchè i dati sono stati danneggiati, cancellati, criptati o quant'altro, allora quel costo che sembrava inutile o fastidioso, diventa un valore aggiunto in grado di permetterti di lavorare anche in un momento critico.
Prevenire dunque, costruendo delle soluzioni intorno ai dati al fine di proteggerli e variando con una revisione ciclica le soluzioni, al variare delle condizioni esterne ed interne alla propria infrastruttura.
Per fare questo è necessaria una certa esperienza, con competenze che non devono arrivare solo dal settore informatico, perchè l'approccio alla protezione dei dati deve essere globale e multidisciplinare.
Il particolare, fa la differenza...
Andrea Guzzo
