jump to navigation

Sull’approccio al business delle aziende italiane ed estere lunedì 21 febbraio 2011

Posted by andy in Internet e società.
add a comment

Una considerazione, del tutto personale, su una profonda differenza tra l’approccio al business delle aziende italiane da quelle estere.
Il fatto in realtà è culturale e profondo nell’essere di ogni cittadino, e la cosa può essere riscontrata in ogni contesto, nel come approccia la vita sociale, il voto politico, etc.

Il cittadino italiano è ormai abitutato a non puntare all’eccellenza, ma al meno peggio.
Di conseguenza, le aziende non puntano ad eccellere per essere scelte tra le concorrenti, ma semplicemente a non essere peggiori delle altre, per non essere escluse.
Sostanzialmente si punta ad una omologazione verso livelli qualitativi tendenti al basso, al minimo comun denominatore.

Questo non significa che non esistano aziende eccellenti, e che quelle estere che appaiono esserlo lo siano realmente.

Il problema, come al solito, è che si punta a fare il minimo indispensabile per non andare a fondo, invece che ad investire per emergere.

Annunci

L’Internet Kill Switch sta diventando un problema sempre più serio … Domani toccherà anche an noi? lunedì 21 febbraio 2011

Posted by andy in Information Security, Internet e società, tecnologia.
Tags: , , , ,
add a comment

Riprendo il tema di una discussione avviata altrove sul fatto che una democrazia reale non può basarsi su infrastrutture che possano divenire dei SPOF (Single Point Of Failure) – in sostanza, su infrastrutture che consentano a pochi di controllare la disattivazione (completa o selettiva) delle comunicazioni.

Questo include la Rete, le compagnie di telecomunicazioni, ma anche siti sociali quali FaceBook e Twitter.

I casi di oscuramento di Internet e delle telecomunicazioni si stanno facendo sempre più frequenti; poco tempo fa in Egitto; ora anche la Libia.
In passato la Cina, Cecenia, Lituania. …
Senza contare leggi italiane e non per mettere sotto controllo chi pubblica ed i contenuti, ai fini della censura.
E gli americani si stanno preoccupando di inserire un Internet Kill Switch in tutte le infrastrutture critiche di comunicazione (ISP, carrier, etc.)

Da sempre chi controlla il potere o vuole fare un colpo di stato mette tra gli obiettivi primari le telecomunicazioni.

La legge non difenderà certo la libertà delle persone.
Occorre che se ne (pre)occupino le persone stesse.

Stanno maturando i tempi per pensare a qualche soluzione.

A parer mio, ogni possibile soluzione deve avere, come minimo, le seguenti caratteristiche:
– non appoggiarsi su infrastrutture verticali che possono concretizzare dei SPOF (carrier, telecom, …)
– essere distribuite, e quindi non attaccabili se non con uno sforzo / costo immane;
– consentire l’anonimato (questo forse è un corollario, ma con IPv6 imminente, ove anche i frigoriferi avranno un proprio indirizzo pubblico …)

Perché l’Information Security non viene accettata? lunedì 21 febbraio 2011

Posted by andy in Information Security.
Tags: , , ,
add a comment

L’Information Security e’ un business enabler. Se fatta bene, aiuta a riportare a livelli gestibili i rischi a riservatezza, disponibilita’ e integrita’ dei dati.

Ragionando con il buon senso, chi può volere dati la cui riservatezza non puo’ essere garantita? E tali dati devono essere presenti e disponibili quando occorrono, e devono anche essere esattamente come ce li si aspetta.

La security e’ un business enabler anche sotto un altro punto di vista, piu’ strutturale: ogni rischio e’ monetizzabile. Questo implica avere una policy di (overall) information security, ossia lavorare in un framework.

È vero che la sicurezza delle informazioni, ma nella gestione di un’attività si è abituati a ragionare sui costi, a partire dalle graffette fino al personale da impiegare.

È ragionevole scontrarsi con il budget e cercare di ridurre i costi, ma ignorarli proprio?

Nessuno pensa di non acquistare più buste per presentare offerte in sede di gara, o programmatori per realizzare il software: dovrebbe quindi essere implicita l’accettazione di costi per la sicurezza delle informazioni.

Perché la realtà è diversa dalla teoria?
In effetti in parte la cosa forese dipende dal fatto che chi oggi ricopre le posizioni decisionali è probabilmente ‘nato’ in ambiente mainframe, dove la sicurezza esisteva sia intrinsecamente nell’infrastruttura e nella tecnologia, sia nello scarso know-how del personale, e nella minima accessibilità ai dati che esisteva (ovviamente la cosa è un po’ ‘tirata’, ma non credo di sbagliare di molto).

Tutte queste persone non concepiscono neppure l’idea che una persona possa portarsi via un hard-disk: un tempo erano grossi come scatoloni e pesavano molti chili.
Ed ancor meno concepiscono che l’hard-disk possa essere portato via in qualcosa che è ancora più piccolo di un floppy disk.

A corredo credo che debba essere considerata la concezione per cui il software vale il ferro che lo fa girare: non per niente ho visto firo di progetti in cui per dare valore ad un software sono state vendute caterve di server molto costosi, perché altrimenti il software che poteva stare su pochi floppy disk veniva apprezzato tanto quanto quello che si trova allegato nelle riviste in edicola.
Al software occorre naturalmente collegare, in senso più lato, tutte le discipline e le professionalità che girano intorno al software.

Il figlio dei dirigenti poi a casa con il PC e con il telefonino fa miracoli, per cui viene da chiedersi che il professionista che ti viene a parlare di sicurezza non possa essere sostituito dal figlio e dal nipote …

In effetti magari il figlio ed il nipote sono veramente bravi, ma la Qualità del servizio consiste nel know-how, nel metodo e nell’esperienza; in sostanza, nella completezza e nella ripetibilità dei controlli.
Credo che in fondo ciò che non viene compreso sia proprio questo fatto.

Sui professionisti della gestione della sicurezza delle informazioni venerdì 18 febbraio 2011

Posted by andy in Miglioramento, pensieri.
Tags: , , , , , , ,
add a comment

Leggo sempre più spesso commenti di persone e professionisti nel settore della gestione della sicurezza delle informazioni che manifestano insoddisfazione per quanto non sia riconosciuta l’importanza del problema e dei professionisti in grado di trattarlo.

Ma qual’è, in sintesi, la situazione? Quali i problemi di fondo?

E cosa si può fare per migliorare?

Un momento di sintesi ogni tanto non fa male.
Contesto / situazione
——————————-
Direi che la discussione parte dal fatto che più o meno tutti quanti, e più o meno razionalmente, ci rendiamo conto che la sicurezza delle informazioni è sottovalutata, e così la professionalità di chi è in grado di gestirla.
Non ho informazioni dirette su quanto accade all’estero, ma dai commenti che circolano, mi pare che il problema sia più accentuato in Italia che all’estero.

Problema/i
———————————
I problemi, di fatto, son sempre i soliti: veniamo messi in competizione con il nipote dell’amico, che è capace di installare un server ‘Windows’, e che sa usare Ubuntu.
Eppoi non si può andare dal cliente a dirgli che la sua infrastruttura va bene per scolare la pasta …

Altro problema è che gli investimenti nella sicurezza delle informazioni (certificazioni personali ed aziendali) non vengono riconosciuti come tali, e quindi sono soggetti a ribasso in sede di gara; al contrario, i costi / investimenti per la sicurezza sul lavoro non possono essere soggetti a ribasso.

Dal punto di vista normativo poi la situazione è che la Telecom di turno soggiace alla medesima normativa sulla protezione delle informazioni che si applica al tornitore con due operai nel garage sottocasa (OK, dovrà forse avere qualche nulla osta, o essere presente nell’ennesimo albo che certifica ex-lege che è bravo, a prescindere da quello che accade realmente).

E sempre rimanendo in tema normativo, le leggi vengono sempre pensate per lasciare ampio spazio all’arbitrio, in modo che non sia possibile stabilire requisiti minimi, confrontare i fornitori ed il loro modo di operare, ed anche in caso di pasticci seri, una decisione definitiva la si ha dopo una quindicina d’anni, quando ormai l’appalto è concluso ed i soldi sono stati portati a casa comunque, indipendentemente dalla quantità ed entità dei guai combinati.

Cause
———————————
Penso che una delle cause di fondo del problema sia da imputare al fatto che da noi la sicurezza viene vista come un costo e non come un investimento.
Altro aspetto è che la sicurezza non si può vendere: non si può misurare in Kg, in scatole di software, in linee di codice.
In sostanza, i commerciali, che di norma sono bravi a vendere, ma non sanno cosa vendono, non sono in grado di applicare un tariffario (2 computer = 2 licenze, questo lo sanno fare, ma …)

Altro aspetto per me rilevante è che sicurezza è una seccatura: se il professionista di turno scopre qualche vulnerabilità (o più probabilmente qualche voragine) nel software o nelle infrastrutture che ho messo in piedi dal cliente, questo mette in imbarazzo me fornitore, ma anche il cliente rischia la figuraccia per avermi dato il lavoro.
In pratica alla fine è meglio nascondere la polvere sotto al tappeto, e la si chiude a tarallucci e vino.

Ed infine agli occhi del management la sicurezza esiste a priori, fino a prova contraria.
Il professionista lo pago quando ormai è troppo tardi ed è accaduto qualcosa per cui si è finiti sui giornali).
Di conseguenza la sicurezza ordinaria può essere tranquillamente gestita da chi sa amministrare un server (i.e creare utenti e fare un backup).

Ecco, qui colgo l’essenza del problema: noi italiani siamo reattivi e non proattivi; in sostanza, non guardiamo avanti.

Sulle certificazioni
—————————
C’è chi le ritiene indispensabili, chi privilegia l’esperienza e le referenze, e chi ritiene le certificazioni soltanto un minimo sindacale.
La realtà probabilmente è un insieme delle tre visioni.
Da persone, e da professionisti, tendiamo a valorizzare al massimo la persona e le sue capacità: se uno è bravo e competente, lo è anche senza un pezzo di carta appeso al muro.
Ma d’altra parte proprio noi che dobbiamo basarci su criteri oggettivi per poter fare affermazioni sullo stato della sicurezza (o non sicurezza) delle informazioni, difficilmente possiamo pretendere che i clienti ritengano qualificate le persone che gli mandiamo, ‘perché lo diciamo noi’.
La certificazione non è garanzia della validità della persona, ma garantisce un livello minimo di competenze, così come la licenza elementare garantisce che una persona sappia leggere, scrivere e far di conto, ed il liceo classico che una persona conosca latino e greco.

Associazione / lobby / cartello
——————————————–
Certamente il peso che abbiamo come singoli non è quello che potremmo avere come associazione.
Purtroppo il cartello ex-lege (leggi: l’ordine professionale che certifica per legge che siamo gli unici bravi a fare certe cose) ce lo possiamo scordare.
Si possono fare associazioni, e tante già ne esistono.
Come qualcuno ha osservato, le associazioni si riducono ad essere l’ennesima tassa da pagare, per avere un ulteriore bollino sul proprio biglietto da visita.

Il problema è che, da bravi italiani, ci aspettiamo che l’associazione faccia qualcosa per noi. Purtroppo invece la cosa deve essere vista da un altro punto di vista: cosa possiamo fare noi per l’associazione?

E in aggiunta: un’associazione si costituisce in quattro e quattr’otto: il problema non è costituirla, ma sapere il perché costituirla.
Cosa possiamo (o vogliamo) fare come associazione che non possiamo fare come singoli?
Cosa vogliamo? Sederci in modo autorevole ai tavoli di chi legifera? Stabilire i canoni per la gestione della sicurezza nelle gare e nell’esecuzione degli appalti?
O semplicemente vogliamo il nostro tariffario, come notai ed avvocati? (cosa assolutamente lecita, ma forse un po’ riduttiva della nostra professionalità).

Certamente deprime già in partenza il sapere che, anche arrivando a sedersi ai tavoli giusti, qualsiasi cosa rimane aleatoria, indefinita per anni, senza arrivare a decisioni concrete entro tempi utili, e che la politica è in grado di vanificare anche la migliore proposta tecnico-operativa.

E quindi, che fare?
—————————
C’è molto da fare.
I tavoli giusti esistono, e si può pensare di poterci arrivare presentandosi con un cappello che non sia soltanto la propria referenza personale.
Di associazioni già ne esistono (leggi: CLUSIT), per occorre chiedersi se diversificare ulteriormente o dare maggior peso ad essa.
Divide et impera, dicevano i romani; l’ennesima associazione farebbe certamente un favore agli interlocutori, che si troverebbero a doversi interfacciare con tanti attori, e a non poter/voler dire a nessuno che non è quello con cui ci si può relazionare ufficialmente.

Se abbiamo voglia di rimboccarci le maniche, di proposte concrete da fare ce ne sono.