In questo post (al quale sono arrivato dal blog di Spafford) ci sono alcune considerazioni poco lusinghiere sulla gestione della sicurezza IT (in particolare per quanto riguarda chi fornisce prodotti e servizi IT). Il succo del discorso si può riassumere così: Spafford critica il fatto che nonostante ci siano le tecniche e le metodologie per rendere più sicuri i sistemi attuali, queste tecniche vengono metodicamente ignorate realizzando sistemi molto meno sicuri di quanto potrebbero essere. Nella discussione su un blog di questa affermazione viene detto (traduzione approssimativa): “La gente non pensa che la sicurezza vada abbastanza male da spenderci soldi: le esternalità non sono intollerabili. Il pubblico non è in rivolta, l’attenzione alle violazioni di sicurezza ha raggiunto, se è tanto, il livello di attenzione degli attentati in Iraq: succedono tutti i giorni, tutti concordano che sia una brutta cosa e poi tornano ai propri impegni. Non decideremo di licenziare o riqualificare una generazione di programmatori a buon mercato per Fare La Cosa Giusta e ridisegnare i sistemi. Non fino a che non saremo abbastanza danneggiati e, diciamolo chiaramente, non lo siamo. Tutto il FUD è nell’industria della sicurezza. Stiamo facendo il nostro lavoro bene quanto basta perché non crolli tutto, quindi perché dedicare attenzione e soldi a qualcosa che è mediocre ma non un disastro?” Finora, nei diversi commenti, non ho trovato nessuno che dicesse che sono considerazioni sbagliate. Alcuni si sbilanciano del dire che si tratta di una valutazione del “rischio accettabile”. Su questo ultimo punto non sono d’accordo: c’è differenza fra valutazione di un rischio accettabile e valutazione sbagliata del rischio per mancanza di informazioni. Da questo punto vorrei partire per la “seconda puntata” delle riflessioni sulla sicurezza nel mercato delle PMI, perché le considerazioni sulla poca attenzione, sul “male ma non un disastro”, e sulla mancanza di informazioni per valutare il rischio mi sembra che si adattino bene a questo contesto. La prima puntata è qui.
In questi giorni ho avuto occasione di parlare con molte persone del problema di come portare le competenze di sicurezza alle PMI italiane. La prima considerazione è che il problema sembra poter riguardare molte competenze, non solo quelle di sicurezza: in generale, tutte quelle competenze specialistiche che i loro piccoli fornitori abituali non hanno. Tuttavia, la sicurezza è in condizioni un po’ peggiori, sia per i problemi riportati sopra, sia perché non è in realtà un problema strettamente tecnico.
La seconda è che ho avuto conferma che il problema esiste. La conferma è arrivata proprio dal lato PMI: in più occasioni mi è stato confermato che hanno la percezione che la sicurezza dei loro sistemi non sia adeguata. Tuttavia, in almeno un’occasione, di fronte alla critica al servizio offerto dai loro fornitori, questi hanno risposto che se l’unico criterio di selezione del fornitore e del servizio è il prezzo, allora si ottiene come risultato solo il minimo. Tuttavia, il problema che è emerso in modo più chiaro e diffuso riguardo alla possibilità di veicolare le competenze attraverso i piccoli system integrator locali è che questi vedono comunque il forntore di competenze come un potenziale concorrente e come una perdita economica. Questo è il primo punto che vorrei approfondire.
Ho avuto modo di parlare con alcune persone che si trovano a “mediare” fra system integrator e PMI, o che hanno occasione di incontrarli in un contesto “neutrale”. Da tutti mi sono stati sottolineati due problemi principali: il primo è che il system integrator vede comunque il consulente specialista come un potenziale concorrente, e quindi in particolare non lo porterà mai dal cliente. Se questo può essere accettabile per competenze strettamente tecnologiche, difficilmente può esserlo per quanto riguarda le problematiche di sicurezza, che richiedono spesso l’interazione con le persone. Il secondo punto, forse anche più interessante, è che comunque il system integrator vede il consulente come un proprio costo, che viene sottratto dal budget complessivo che il cliente dedica all’IT, e che il system integrator stesso ha interamente sotto controllo essendo di solito un “fornitore unico”. Sto un po’ semplificando, ma il succo di molti discorsi è questo. L’ultima informazione che ho avuto, anche questa da più parti, è che per “avvicinare” i system integrator locali bisogna proporre dei prodotti e non dei servizi, perché i prodotti sono una cosa che possono rivendere alle PMI.
Da questo quadro sembra che il problema siano i system integrator, ma naturalmente bisogna andarci cauti. Prima di tutto, bisogna vedere se le PMI, a parte lamentarsi, sarebbero davvero disposte a pagare un po’ di più per un servizio migliore. C’è la percezione che la sicurezza potrebbe essere migliore, ma poi quando si tratta di mettere mano al portafoglio le cose spesso cambiano. È chiaro che se l’aspettativa è che il fornitore dia allo stesso prezzo un servizio migliore… questa è una cosa che si potrebbe avere solo se il mercato fosse tale da premiare la qualità. Purtroppo, una delle conseguenze della poca sicurezza (e robustezza) dei sistemi attuali è che chi fa assistenza passa molto tempo a risolvere problemi banali e poco a dare servizi di valore, e quindi la concorrenza a basso prezzo è numerosa. Il risultato è che anche chi avrebbe le competenze per i servizi di qualità di fatto fa “la giornata” su attività di basso profilo, sulle quali si trova allo stesso livello di fornitori meno qualificati. E qui forse ci stiamo avvicinando alla sostanza del problema.