Concludendo la trilogia di post a riguardo di investimenti nel settore della sicurezza informatica
non potevo che concludere con un messaggio di speranza.
Stravolgere il modo di pensare del management di un'azienda richiede un tempo ancora lungo
Leggi in merito e regulations faranno da propulsore ad una nuova cultura che possa vedere la sicurezza sotto un'ottica di risparmio e guadagno e non più come un fastidioso costo da sostenere.
Soprattutto in periodi di tagli ai costi per rimanere competitivi.
Può una spesa in favore di sicurezza informatica diventare un vero e proprio investimento?
Certamente si.
Tecnologie di sicurezza hanno negli anni reso possibile l'implementazione di altre tecnologie che
hanno a loro volta reso possibile nuovi processi di business e aumentato la produttività.
Un esempio lamapante sono le VPN.
Confidenzialità dell'informazione tra postazioni remote è stata la parola chiave senza la quale
connettere 2 locazioni tra esse lontane non sarebbe stato altrimenti possibile.
Chi andrebbe a connettere una postazione remota con scambio di dati critici senza la presenza
di metodi di cifratura affidabili. La sicurezza è stata la chiave per una enabling technology.
Le VPN hanno aperto a nuovi modi di concepire il lavoro. Avere l'ufficio in casa o connettere 2 branch in continenti diversi migliora l'efficienza e la produttività innegabilmente. E la sicurezza è condizione necessaria perchè ciò avvenga.
Firma digitale
Un'altra rivoluzionaria tecnologia che "potrebbe" fare da enabling technology.
Ho avuto l'opportunità di partecipare attivamente ad un progetto del CNR di Pisa il cui principale
obiettivo era quello di semplificare il più possibile la circolazione di documenti elettronici in una organizzazione andando ad abbattere i costi legati alla gestione dei cartacei che sono assolutamente rilevanti e paradossali nel 2008.
La firma digitale in ambiente privato aziendale velocizzerebbe molti processi di approvazione
di documenti senza dover passare di dipartimento in dipartimento in maniera cartacea solo per la necessità della firma.
Un repository dei documenti su un server + una certification authority interna andrebbe a liberare interi uffici e burocrati. Un enorme risparmio, a fronte di qualche policy in più.
Nella pubblica amministrazione lo Stato andrebbe a risparmiare un quantitativo enorme di denaro nella gestione delle pratiche che verrebbero altrettanto velocizzate.
Molti uffici scomparirebbero, molti posti di lavoro (inutile), si perderebbero.
A guadagnarci sarebbe lo Stato e il cittadino. Un po meno per chi dal timbra, protocolla e firma ne ha tratto stipendio.
Ancora una volta una tecnologia di sicurezza che permette un guadagno rilevante in termini di maggiore efficienza e abbattimento dei costi.
Il problema della firma digitale, in Italia sopattutto, è un problema di mentalità.
Lo Cnipa ha già regolarizzato la questione qualche anno fa.
Nonostante ciò, il timore della ripudiabilità della firma è sentito ancora forte.
L'ultimo esempio è quello del commercio elettronico "sicuro", che non esiste ma che nel migliore dei mondi possibili sarebbe stato reso possibile solo tramite l'uso di tecnologie di sicurezza operanti a vari livelli (dal 3 al 7 dell'OSI classico).
Prima chiariamo perché non esiste attualmente.
Navigando in uno dei siti di e-commerce europei più in vista
si leggono testuali parole:
"Grazie a questa tecnologia, che utilizza un complesso sistema di crittografia con chiave a 40 bit, le informazioni riservate, inviate al server sicuro X, viaggiano su Internet solo in forma criptata, ovvero codificate secondo un complesso algoritmo matematico che ne garantisce l'illeggibilità da parte di
chiunque voglia intromettersi durante la comunicazione tra Voi e X"
40 bit? Complesso sistema di crittografia? Qualcuno dica a questi signori che gli Stati Uniti,
dopo la seconda guerra mondiale, furono abbastanza lungimiranti nel proibire l'esportazione
di algoritmi di cifratura "troppo potenti" (per i loro cluster di decifratura).
Ma "40 bit" non è troppo potente. E' semplicemente troppo ridicolo e fuori anche dagli standard PCI che dettano un limite minimo di 128 bit.
Il commercio elettronico è stata un'onda cavalcata ancor prima che la sicurezza potesse fornirgli gli strumenti adeguati ad una sua legittima diffusione. La confidenzialità della comunicazione è solo la punta dell'iceberg di una serie di vulnerabilità a cui questi siti possono andare incontro.
A metterci una pezza, dopo anni in cui siti di ecommerce sono nati da realtà di ogni natura e dimensione, sono state le regulation per la PCI compliance che rende questi siti finalmente responsabili delle loro stesse inadempienze.
In un mondo ideale (quello in cui vivono la maggior parte degli appassionati di sicurezza)
sarebbe stata la sicurezza a fare da enabling technology per il commercio elettronico
e non il contrario. In questo caso un piano di sicurezza (per il cliente e per il fornitore) sarebbe dovuto nascere ben prima di qualsiasi carrello elettronico.
E' chiaro quindi che la PCI compliance, nel mondo reale a 40 bit, diventa un costo da sostenere e non più un opportunità.
