jump to navigation

Sui professionisti della gestione della sicurezza delle informazioni venerdì 18 febbraio 2011

Posted by andy in Miglioramento, pensieri.
Tags: , , , , , , ,
trackback

Leggo sempre più spesso commenti di persone e professionisti nel settore della gestione della sicurezza delle informazioni che manifestano insoddisfazione per quanto non sia riconosciuta l’importanza del problema e dei professionisti in grado di trattarlo.

Ma qual’è, in sintesi, la situazione? Quali i problemi di fondo?

E cosa si può fare per migliorare?

Un momento di sintesi ogni tanto non fa male.
Contesto / situazione
——————————-
Direi che la discussione parte dal fatto che più o meno tutti quanti, e più o meno razionalmente, ci rendiamo conto che la sicurezza delle informazioni è sottovalutata, e così la professionalità di chi è in grado di gestirla.
Non ho informazioni dirette su quanto accade all’estero, ma dai commenti che circolano, mi pare che il problema sia più accentuato in Italia che all’estero.

Problema/i
———————————
I problemi, di fatto, son sempre i soliti: veniamo messi in competizione con il nipote dell’amico, che è capace di installare un server ‘Windows’, e che sa usare Ubuntu.
Eppoi non si può andare dal cliente a dirgli che la sua infrastruttura va bene per scolare la pasta …

Altro problema è che gli investimenti nella sicurezza delle informazioni (certificazioni personali ed aziendali) non vengono riconosciuti come tali, e quindi sono soggetti a ribasso in sede di gara; al contrario, i costi / investimenti per la sicurezza sul lavoro non possono essere soggetti a ribasso.

Dal punto di vista normativo poi la situazione è che la Telecom di turno soggiace alla medesima normativa sulla protezione delle informazioni che si applica al tornitore con due operai nel garage sottocasa (OK, dovrà forse avere qualche nulla osta, o essere presente nell’ennesimo albo che certifica ex-lege che è bravo, a prescindere da quello che accade realmente).

E sempre rimanendo in tema normativo, le leggi vengono sempre pensate per lasciare ampio spazio all’arbitrio, in modo che non sia possibile stabilire requisiti minimi, confrontare i fornitori ed il loro modo di operare, ed anche in caso di pasticci seri, una decisione definitiva la si ha dopo una quindicina d’anni, quando ormai l’appalto è concluso ed i soldi sono stati portati a casa comunque, indipendentemente dalla quantità ed entità dei guai combinati.

Cause
———————————
Penso che una delle cause di fondo del problema sia da imputare al fatto che da noi la sicurezza viene vista come un costo e non come un investimento.
Altro aspetto è che la sicurezza non si può vendere: non si può misurare in Kg, in scatole di software, in linee di codice.
In sostanza, i commerciali, che di norma sono bravi a vendere, ma non sanno cosa vendono, non sono in grado di applicare un tariffario (2 computer = 2 licenze, questo lo sanno fare, ma …)

Altro aspetto per me rilevante è che sicurezza è una seccatura: se il professionista di turno scopre qualche vulnerabilità (o più probabilmente qualche voragine) nel software o nelle infrastrutture che ho messo in piedi dal cliente, questo mette in imbarazzo me fornitore, ma anche il cliente rischia la figuraccia per avermi dato il lavoro.
In pratica alla fine è meglio nascondere la polvere sotto al tappeto, e la si chiude a tarallucci e vino.

Ed infine agli occhi del management la sicurezza esiste a priori, fino a prova contraria.
Il professionista lo pago quando ormai è troppo tardi ed è accaduto qualcosa per cui si è finiti sui giornali).
Di conseguenza la sicurezza ordinaria può essere tranquillamente gestita da chi sa amministrare un server (i.e creare utenti e fare un backup).

Ecco, qui colgo l’essenza del problema: noi italiani siamo reattivi e non proattivi; in sostanza, non guardiamo avanti.

Sulle certificazioni
—————————
C’è chi le ritiene indispensabili, chi privilegia l’esperienza e le referenze, e chi ritiene le certificazioni soltanto un minimo sindacale.
La realtà probabilmente è un insieme delle tre visioni.
Da persone, e da professionisti, tendiamo a valorizzare al massimo la persona e le sue capacità: se uno è bravo e competente, lo è anche senza un pezzo di carta appeso al muro.
Ma d’altra parte proprio noi che dobbiamo basarci su criteri oggettivi per poter fare affermazioni sullo stato della sicurezza (o non sicurezza) delle informazioni, difficilmente possiamo pretendere che i clienti ritengano qualificate le persone che gli mandiamo, ‘perché lo diciamo noi’.
La certificazione non è garanzia della validità della persona, ma garantisce un livello minimo di competenze, così come la licenza elementare garantisce che una persona sappia leggere, scrivere e far di conto, ed il liceo classico che una persona conosca latino e greco.

Associazione / lobby / cartello
——————————————–
Certamente il peso che abbiamo come singoli non è quello che potremmo avere come associazione.
Purtroppo il cartello ex-lege (leggi: l’ordine professionale che certifica per legge che siamo gli unici bravi a fare certe cose) ce lo possiamo scordare.
Si possono fare associazioni, e tante già ne esistono.
Come qualcuno ha osservato, le associazioni si riducono ad essere l’ennesima tassa da pagare, per avere un ulteriore bollino sul proprio biglietto da visita.

Il problema è che, da bravi italiani, ci aspettiamo che l’associazione faccia qualcosa per noi. Purtroppo invece la cosa deve essere vista da un altro punto di vista: cosa possiamo fare noi per l’associazione?

E in aggiunta: un’associazione si costituisce in quattro e quattr’otto: il problema non è costituirla, ma sapere il perché costituirla.
Cosa possiamo (o vogliamo) fare come associazione che non possiamo fare come singoli?
Cosa vogliamo? Sederci in modo autorevole ai tavoli di chi legifera? Stabilire i canoni per la gestione della sicurezza nelle gare e nell’esecuzione degli appalti?
O semplicemente vogliamo il nostro tariffario, come notai ed avvocati? (cosa assolutamente lecita, ma forse un po’ riduttiva della nostra professionalità).

Certamente deprime già in partenza il sapere che, anche arrivando a sedersi ai tavoli giusti, qualsiasi cosa rimane aleatoria, indefinita per anni, senza arrivare a decisioni concrete entro tempi utili, e che la politica è in grado di vanificare anche la migliore proposta tecnico-operativa.

E quindi, che fare?
—————————
C’è molto da fare.
I tavoli giusti esistono, e si può pensare di poterci arrivare presentandosi con un cappello che non sia soltanto la propria referenza personale.
Di associazioni già ne esistono (leggi: CLUSIT), per occorre chiedersi se diversificare ulteriormente o dare maggior peso ad essa.
Divide et impera, dicevano i romani; l’ennesima associazione farebbe certamente un favore agli interlocutori, che si troverebbero a doversi interfacciare con tanti attori, e a non poter/voler dire a nessuno che non è quello con cui ci si può relazionare ufficialmente.

Se abbiamo voglia di rimboccarci le maniche, di proposte concrete da fare ce ne sono.

Annunci

Commenti»

No comments yet — be the first.

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: