Sicurezza, ICT e altro

Un articolo del CERIAS che mi trova completamente d’accordo: disclosure, ma responsabile. Del resto, a me pare che la diatriba fra disclosure e non-disclosure si sia ormai conclusa con l’affermazione della prima, e quindi non c’è più niente da dimostrare.

Sempre dall’International Herald Tribune, uno dei pochi articoli che si chiede seriamente se le conseguenze del sisma di Taiwan non debbano suggerire qualcosa. Magari non mi piacciono le sue risposte, ma almeno si fa le domande, mentre tutti sembrano impegnati a dire che sì, si è bloccatato mezzo sud-est asiatico, ma in fondo non è grave.

Dal blog di Schneier: il governo USA decide di cifrare i dischi dei portatili, per ridurre le conseguenze dei furti. Evviva, evviva. Magari fra qualche anno ci penseranno anche altri 😉 “Certainly, encrypting everything is overkill, but it’s much easier than figuring out what to encrypt and what not to.” Quanto è vero!

E infine, sul bullismo nelle scuole, sempre dal blog di Schneier: “ID Cards to Stop Bullying“. Incredibile, quando vedo i film americani con i bulletti a scuola che si fregano le merende, pensavo fosse appunto roba da film… ovviamente “These ID cards will do absolutely nothing to address the causes of bullying”, nè insegnano a convivere civilmente: diventano solo un ostacolo che i bulli dovranno imparare ad aggirare; in caso contrario, troveranno qualche altra prepotenza.

Un articolo dell’International Herald Tribune sostiene di sì. La sostanza è che l’implementazione dell’internal audit è stata troppo costosa, e che alcune aziende hanno di conseguenza addirittura abbandonato Wall Street. Un altro problema, legato al “listing premium”, non sono in grado di afferrarlo. Altri problemi sono elencati nell’articolo, compresa una minore propensione al rischio da parte dei manager.

Naturalmente ci sono delle valutazioni quantitative da fare, che io non sono in grado di fare; tuttavia, per l’esperienza che ho avuto io riguardo alle problematiche di gestione del rischio e dei sistemi di audit in aziende interessate da questa norma, i costi di conformità erano legati soprattutto al fatto che l’audit interno e la gestione del rischio era a livelli inadeguati non solo per la norma, ma anche solo per una gestione del rischio che fosse degna di questo nome. Con questo non voglio dire che arrivare alla conformità non sia stato un incubo: del resto tutti questi processi che mettono in discussione la gestione dell’azienda sono degli incubi, ma questo non vuole dire che non siano utili, o necessari, vedi ad esempio la Business Continuity.

Sugli altri aspetti citati dall’articolo non sono in grado di esprimermi, ma è chiaro che maggiori rischi con meno repsonsabilità porta proprio alle situazioni che la SOX voleva contrastare. Magari ha esagerato…