La sensazione che ho avuto in Infosecurity, e che più persone mi hanno confermato, è che quest’anno fosse un po’ più concreta dello scorso anno, e che le cose comincino, pian piano, a smuoversi. Ma se voglio vedere cosa della sicurezza interessa alle aziende, non lo cerco a Infosecurity, lo vedo nelle aziende. In molte aziende l’idea del governo dell’IT, se non la pratica, sembra aver attecchito. Questo si porta dietro parecchie cose, compresa l’idea di mantenere il controllo del proprio sistema, con un monitoraggio continuo delle prestazioni rispetto a quelle attese e richieste per il supporto ai processi aziendali, e naturalmente questo comprende la sicurezza. Insomma, per farla breve, mi sembra di vedere due tendenze: la maggiore attenzione a capire cosa succede nei propri sistemi informativi, in modo da poter intervenire in modo efficace, e soprattutto un ruolo sempre più “sfumato” della sicurezza, che si fonde sempre più con quella che è semplicemente la buona gestione di un sistema informativo. Non quindi sicurezza come collezione di strumenti strani e persone dedicate, ma sicurezza come aspetto di una buona gestione. Gestione non solo come prestazioni e aumento di fuzionalità, ma anche come affidabilità e protezione delle informazioni. Naturalmente c’è ancora tantissima strada da fare, ma potrebbe essere la strada giusta. In fondo, la sicurezza è una proprietà di un sistema, molto più di quanto non sia una collezione di funzionalità.
Una maggiore integrazione della sicurezza nella gestione del sistema informativo comporta però probabilmente nel tempo l’assorbimento di eventuali strutture separate dedicate alla sicurezza, o almeno di una parte. Lo specialista di sicurezza diventerebbe solo uno specialista come, ad esempio, l’esperto di dbms, che non ha certo bisogno di una struttura dedicata: la sua competenza è necessaria in modo trasversale, e in più ha la gestione specifica di alcune applicazioni e di alcuni sistemi dedicati.
Ma abbiamo visto tante volte che la sicurezza integrata nella gestione del sistema informativo ha un grosso problema, e cioè che la sicurezza è una proprietà che viene sacrificata con grande facilità. Il fatto di avere una struttura separata per la gestione della sicurezza garantisce un po’ più di autonomia decisionale. Io non ho mai pensato che la sicurezza ICT si potesse realmente integrare con la sicurezza fisica, ma ho sempre creduto che gerarchicamente dovesse dipendere dalla funzione security, in modo da avere l’autonomia necessaria.
Ora, per quanto possa aumentare la sensibilità alla sicurezza nella gestione del sistema informativo, dubito che la sicurezza smetterà presto di essere una proprietà sacrificabile. Se la sicurezza deve perdere la propria indipendenza, allora per compensare diventa importante sviluppare la funzione di audit ICT nell’azienda: in molte (grosse) aziende c’è, ma la sua capacità di incidere sulla gestione troppo spesso è minima. Naturalmente, molte imprese non si possono permettere un audit interno, e quindi si spera che si rivolgano all’esterno. L’importante è che questa richiesta venga dalla direzione e non dalla gestione del sistema informativo, altrimenti trovo tutto sommato poco probabile che eventuali grossi problemi vengano effettivamente riportati e risolti: anche in questo caso si perderebbe l’indipendenza.
E dopo tutto questo rimuginare sulle prospettive e le esigenze di sicurezza delle aziende, mi sono letto il resoconto di Punto Informatico e quello di Heise sul discorso di Bill Gates ed altri alla RSA Conference. A margine, trovo interessante che il CEO di Symantec usi proprio logiche di verifica indipendente per criticare Microsoft, e che il pubblico, che è quello di una conference di sicurezza e non del CES di Las Vegas, abbia subito afferrato e apprezzato (la cosa è più chiara nell’atricolo di Heise).
È interessante anche, da Heise: Adi Shamir was unexpectedly pessimistic about the future, saying that the security of the systems we use worsens as the systems become more complex. He even went so far as to say that we would conclude 30 years down the road, that cryptography had won many battles, but lost the war for greater security. In effetti è un discorso che colpisce, se fatto alla RSA Conference, ma effettivamente la logica che uno strumento possa di per sè portare a vincere la “guerra per una migliore sicurezza” è chiaramente fallimentare; la crittografia è uno strumento senz’altro fondamentale, ma il cui ruolo di panacea è stato e viene tuttora troppo spesso sopravvalutato.
Soprattutto però, leggendo del discorso di Gates, non vedo molto di quello che realmente potrebbe interessare ad una azienda. Certo, vende sistemi operativi e deve pubblicizzare le funzionalità che ha messo nel suo nuovo prodotto, ma non sarebbe stato male vedere qualcosa di un profilo un po’ più alto. Invece, cito da Punto Informatico, Gates ha insistito sul fatto che le reti aziendali non sono più “serre di vetro” isolate da proteggere semplicemente difendendone il perimetro. “Dobbiamo stabilire cosa si può connettere a cosa, e per farlo abbiamo bisogno di un paradigma più potente”. Cose che si dicevano ormai dieci anni fa (e si dicevano anche per dire che il firewall era morto, mentre è invece talmente vivo che ormai la sua presenza è scontata quanto quella del router). E naturalmente spinge il Trustworthy Computing, come soluzione a quelle che vede essere le sfide della sicurezza (sempre da Punto Informatico): connettere i propri network e i propri servizi ad Internet, e consentire ai propri dipendenti di accedere alla rete aziendale ovunque essi si trovino e con differenti tipi di dispositivo. Anche qui, complimenti per la novità. Ma soprattutto mi ha colpito questa frase: “Solo vincendo la cruciale sfida sulla sicurezza potremo creare una nuova generazione di connected experiences che consentano alle persone di accedere alle comunicazioni, ai contenuti e alle informazioni dovunque essi si trovino“. Connected experiences? Ma per favore. Davvero sarebbe questo quello di cui le aziende hanno bisogno in termini di sicurezza, secondo Gates? Connected experiences? Le aziende casomai cercano Working experiences, dove working vale sia per funzionante che per lavorare. E maggior controllo sui propri sistemi, altro che maggiore pervasività. Quelli riportati sono discorsi da trade show di consumer electronics. Da quanto ho letto e sentito, la singola funzionalità maggiormente apprezzata di Vista, e che non richiedeva certo un sistema operativo nuovo, è l’UAC, ovvero quello che dovrebbe finalmente rendere un po’ più difficile all’utente fare danni sul proprio sistema. Questo è quello che ci si aspetta da un sistema operativo, sia a casa che in azienda. E la sfida della sicurezza, come ha ben capito Shamir, non si vince certo aggiungendo qualche nuova funzionalità ai PC.
