Devo dire che la prima volta che ho sentito il termine “Security Evangelist” mi ha fatto sorridere. Praticamente tutti quelli che si occupano di sicurezza sono sempre impegnati prima a “convincere” e poi a fornire il loro servizio, quale che esso sia. L’idea quindi che qualcuno usasse il termine “evangelist” per la sicurezza mi sembrava, dicamolo pure, pretenzioso, anche perché sono sempre molto scettico e sospettoso nei confronti di chi ritiene di avere una “verità” da raccontare agli altri. Inoltre, la prima volta che ho sentito il termine veniva da un’azienda che mescola molto sicurezza e marketing, e l’uso del termine mi sembrava pendere molto verso il secondo aspetto. Preferisco di gran lunga definizioni più alla mano come quella di Mastro Tecnologo 😉 A quanto pare però, il termine ha preso piede, e Linkedin mi ha appena informato che un’altro rispettabile professionsita si definisce Security Evangelist. Così penso che mi dovrò abituare.
A parte la terminologia, mi sembra comunque interessante l’idea che ci siano professionisti che hanno come attività quella di diffondere una cultura della sicurezza. Sarebbe semplice liquidare il tutto come marketing, ma il problema è più complesso. A quanto pare il termine “evangelist” è più usato di quanto mi aspettassi: ho scoperto con Google ad esempio che c’è una decina di persone che si definiscono “Business Intelligence Evangelist” (inutile dire che almeno uno lavora per la stessa azienda da cui avevo sentito per la prima volta “Security Evangelist 😉 ). Ho provato a fare qualche altra ricerca, ma non è facile, dato il significato più comune del termine. Tuttavia su Technorati ho trovato, nel settore, più che altro dei generici “Technology evangelist”. Comunque sia, sembra un termine utilizzato da chi promuove qualcosa su cui ritiene che “le masse” non abbiano ancora la giusta sensibilità: è ragionevole per i concetti nuovi o in rapida evoluzione, e per quelli noti ma che vengono accettati con difficoltà. Certamente la sicurezza rientra in quest’ultima categoria. È interessante al riguardo il nuovo sito di Ranum, Rearguardsecurity. Cito: “As a new “industry” computer security remains a very immature field. In spite of its increasing importance to our day-to-day lives, computer security remains an intellectual back-water dominated by hype, hearsay, and superstition. As each generation of new security practitioners arrive on the scene, they appear to be doomed to repeat the mistakes of past generations – a desperate situation when we’re confronted with a gigantic tsunami of insecure, poorly-designed, “mission critical” applications. In spite of the fact that computer security is now “on the map” for many senior managers and legislators, massive amounts of money are being spent and the problem is not showing any sign of improvement. Why is this? Simply put: while many refer to computer security as a “discipline” it shows none of the signs of intellectual vigor that would make it worthy of the name.”
Qui si vede una parte del problema. Tuttavia è solo una parte: se è vero che l’offerta di sicurezza ha i suoi difetti, e che il mercato è dominato da “hype, hearsay, and superstition”, è anche vero che spesso la sicurezza, nonostante sia “now ‘on the map’ for many senior managers and legislators”, spesso lo è solo a parole. Naturalmente è un discorso trito e ritrito, ma resta il fatto che finché non si capisce qual’è il motivo, il problema dell’accettazione della sicurezza nelle aziende, e corrispondentemente quello di un’offerta corretta, non si possono risolvere. Dato che chi dirige le aziende non è, in generale, uno sciocco, mi sembra chiaro che ha una percezione del rischio diversa da quella di chi si occupa specificamente di sicurezza ICT. Chi ha ragione? A sfavore di chi si occupa di sicurezza giocano due fattori: una paranoia “costituzionale” data dal tipo di attività, e la tendenza diffusa ad esagerare i rischi per vendere i propri prodotti. Purtroppo questi due fattori portano molti a sovrastimare i rischi: anche questo è un problema noto, come ne sono note le conseguenze. Negli ultimi anni si è sviluppato il concetto di sicurezza come gestione del rischio, che dovrebbe premettere di avere una valutazione più oggettiva dell’esigenza o meno di meccanismi di sicurezza. Tralasciamo per ora i limiti delle metodologie di valutazione del rischio: in molti casi diciamo che si arriva comunque a delle valutazioni quantomeno credibili. Tuttavia, non sembra che quelle valutazioni di rischio “credibili” bastino per convincere il dirigente medio. Scarsa comprensione del concetto di rischio? Non è ovvio. Ci sono contesti in cui il concetto di rischio è sicuramente molto più chiaro che al medio operatore della sicurezza ICT, ad esempio fra i vertici delle aziende di ambito finance. Tuttavia, anche in questi settori è stata necessaria la spinta della compliance per affrontare in modo rigoroso e completo il problema della business continuity, mentre per i problemi di sicurezza ICT la gestione è stata migliore, anche perché in caso contrario i danni sarebbero stati immediati. E forse il problema è tutto qui, e corrisponde anche a quanto ha rilevato Bruce Schneier da più parti e riportato in diverse occasioni nel suo blog (es qui e qui): la nostra percezione del rischio è influenzata da parecchi fattori, e non si fa dissuadere da “quattro calcoli” che ci mostrano che abbiamo torto. Per questo i problemi di business continuity sono stati tralasciati (rischio a lungo termine e di evento anomalo) fino a quando l’11 Settembre (e poi nel suo piccolo il black-out nazionale qualche tempo dopo) non hanno messo tutti di fronte ad un problema più tangibile. Per questo la sicurezza ICT viene affrontata solo dopo che c’è stato qualche grave incidente. Che spazio c’è allora per i Security Evangelist? Per ora poco, direi, almeno per quanto riguarda la prevenzione. Al più, si può spiegare come affrontare correttamente la sicurezza a quelli che si sono già scottati…
A proposito di affrontare correttamente, mi è finalmente arrivato l’attestato di BSI del corso (e dell’esame) di ISO 27001 Lead Auditor. Contestualmente, Next Hop S.r.l. chiude: l’interesse del mercato per l’offerta specifica per cui Next Hop era stata creata non è stato sufficiente, e le altre nostre attività hanno continuato ad essere prevalentemente di altro tipo. Così l’esperimento è concluso.
