Io non conoscevo ovviamente l’episodio citato in questo articolo, e trovo il tutto molto interessante. La prima cosa interessante è che l’episodio, accaduto negli anni ´80, sembra molto simile ad episodi di frode successivi per i quali un po’ tutti sono cascati dalle nuvole. Merita poi di essere citata una delle “lession learned”:
“Be wary of businesses that buck industry trends. While other electronic retailers were struggling to stay even, Crazy Eddie’s was enjoying double-digit growth.” <cut> “The auditor should ask herself or himself, “In today’s competitive international business environment, why is this client doing so much better than everyone else?” If you can’t answer that question to your satisfaction, keep digging. There could be a problem.” Questo naturalmente vale anche per l’audit IT: se un cliente vi dice che non ha problemi di virus, è bene verificare come stanno le cose 😉
A parte questo, c’è almeno un altro punto interessante:
“Determining the actual cost of occupational fraud and abuse may be difficult, if not impossible. That’s because many frauds remain undiscovered and unreported. That should come as no surprise: Most companies, given an alternative, will quietly discharge offenders without reporting the offense to the authorities. Estimates of the total cost of all forms of occupational fraud to the economy are equal to about 6% of the U.S. gross domestic product—more than $400 billion. There are no federal, state or local government figures published on the cost of these crimes.”
È vero che l’articolo è di sette anni fa, ma è anche vero che la sostanza del ragionamento rimane la stessa. Solo recentemente alcune leggi U.S.A. , solo per alcuni Stati e solo per alcuni tipi di problemi, obbligano le aziende alla comunicazione ai clienti di informazioni sulle frodi subite, ma è anche vero che alla fine tuttora dati affidabili sull’entità delle frodi subite dalle aziende ce ne sono pochi. Se è vero per le frodi interne in generale, possiamo immaginarci qual’è la situazione per quelle che coinvolgono i sistemi IT, dove spesso è difficile per l’azienda stessa riconoscere il problema. E sempre più frodi coinvolgono in qualche modo i sistemi IT. Tuttavia, forse questi numeri possono essere d’aiuto: proprio perché i sistemi IT sono coinvolti, è più immediata la relazione fra un miglioramento dei controlli sui sistemi IT e la riduzione del rischio di frode. I numeri presentati per le frodi in generale possono quindi essere portati più facilmente a favore di un miglioramento della sicurezza dei sistemi IT, e sono numeri con i quali l’alta dirigenza ha probabilmente più dimestichezza che con quelli relativi all’hacking o ad aspetti tecnologici. Naturalmente questi numeri possono servire per motivare un miglioramento complessivo dei controlli interni e del sistema di gestione della sicurezza, non certo per giustificare singole scelte tecnologiche. Inoltre, si tratta di migliorare la sicurezza riferita alle frodi interne. Tuttavia, è difficile che un sistema informativo in grado di resistere alle frodi interne sia poi molto vulnerabile agli attacchi esterni, sia perché molti processi coprono entrambi i problemi (si pensi alla gestione del ciclo di vita del software), sia perché molti attacchi esterni sono un sottoinsieme di quelli praticabili dall’interno e sono di più semplice gestione, a parte il problema della rintracciabilità dell’attaccante.
In effetti, l’attenzione ai controlli interni e alle relative conseguenze sulla gestione dei sistemi IT è evidente nelle normative sulla gestione del rischio operativo dei settori maggiormente regolamentati sotto questo aspetto. Negli altri settori, anche sentendo altri colleghi, sembra che la situazione sia tutt’altro che rosea. In particolare, come ho avuto modo di dire più volte, i controlli interni saranno secondo me il più grosso problema di sicurezza IT per le Pubbliche Amministrazioni nei prossimi anni.
