La sindrome di Fort Apache – un estratto

Quello che segue è un estratto dal primo capitolo di La sindrome di Fort Apache, il libro sul management della sicurezza delle informazioni scritto da Corrado Giustozzi e ripubblicato in formato ePub da Mont&Ambrosini editori.

1. La sindrome di Fort Apache

È sorprendente quanto le esigenze di sicurezza di una moderna azienda siano oggi diverse, più estese e complesse rispetto a quelle di soli dieci o vent’anni fa. In poco tempo il mondo è davvero molto cambiato, e le organizzazioni di oggi (o meglio, i loro responsabili della tutela aziendale) si trovano ad affrontare uno spinoso dilemma: come affrontare una realtà ostile fatta di rischi e minacce interamente nuovi, che spesso non si è neppure in grado di comprendere a fondo?

C’è da dire che la mentalità e gli schemi di approccio che funzionavano in passato – anche in un campo relativamente giovane come quello della “sicurezza informatica” – oggi non vanno più bene: semplicemente essi non sono più adeguati al modo di funzionare della società contemporanea e, soprattutto, ai nuovi rischi che la caratterizzano.

Tale peculiare situazione discende dal concorso di un gran numero di fattori diversi, ma i principali – anche se non gli unici – sono stati la virtualizzazione delle attività produttive e la smaterializzazione dei documenti: proprio quei princìpi fondamentali che, sul finire dello scorso millennio, ci hanno portati nella cosiddetta “società dell’informazione”. Questo termine, ancorché trito e abusato, è tuttavia sostanzialmente vero: oggi il bene principale della società postindustriale in cui viviamo è davvero l’informazione; essa, però, contrariamente a quanto comunemente si ritiene, è assai elusiva e soprattutto difficile da proteggere e preservare. Purtroppo la maggioranza delle organizzazioni appare ancora legata a paradigmi e comportamenti non più adeguati alle moderne esigenze di tutela e protezione, in quanto legati al vecchio concetto della protezione fisica.

L’informazione digitale è ovunque, tanto che spesso non ci si rende nemmeno conto della sua presenza; la Rete veicola ormai ogni interazione sociale, sia quelle dei singoli cittadini (dagli acquisti ai rapporti di lavoro, dagli hobby ai rapporti con la pubblica amministrazione ecc.) sia quelle delle aziende e delle organizzazioni. 2 Tuttavia, proprio per la sua natura immateriale, l’informazione digitale è difficile da confinare, ad esempio per proteggerla contro il rischio di diffusione indesiderata; nel contempo è fragile e vulnerabile, in quanto basta davvero poco per comprometterla o distruggerla in modo irrevocabile.

In questo scenario di vero e proprio conflitto trasversale, spesso latente ma non meno pericoloso, a essere più esposte al rischio di cadere vittima di azioni ostili sono soprattutto le aziende e le organizzazioni simbolo e quelle che in qualche modo rappresentano gli interessi del proprio Paese: in primis ovviamente le organizzazioni governative o paragovernative, le grandi aziende (soprattutto multinazionali), gli organi di informazione radiotelevisiva, ma purtroppo non solo quelle.

È chiaro che un’efficace azione di prevenzione nei confronti di eventuali attività ostili rivolte contro un’azienda del settore civile non può prescindere dall’istituzione di funzioni e sistemi di protezione e controllo ben più sofisticati rispetto a quelli che sarebbero sufficienti a contrastare fenomeni di criminalità comune, per i quali è necessario prevedere il mantenimento di un adeguato coordinamento con le opportune strutture dello Stato. Le aziende di oggi si trovano dunque nella necessità di dover affrontare – almeno in parte – problematiche che fino a poco tempo fa appartenevano quasi esclusivamente al mondo militare, non avendo tuttavia la necessaria esperienza né l’adeguato background per farlo. Senza contare che talvolta gli stessi militari si dimostrano impreparati nei confronti delle più sofisticate tecniche di cyberwar impiegate nei nuovi teatri operativi di tipo non convenzionale.

Purtroppo, la gran parte delle aziende sembra aver adottato soprattutto uno dei comportamenti seguenti: o non ha fatto proprio nulla di particolare per adeguarsi alla situazione, non ritenendola particolarmente critica; oppure ha reagito in modo tattico e spesso emotivo, magari sulla scia di uno dei tanti episodi eclatanti riportati dalla stampa o dalla televisione, dotandosi in tutta fretta di un’imponente schiera di tecnologie alla moda per proteggersi dal mondo esterno.

Entrambi questi atteggiamenti sono errati, ma oltretutto nel secondo caso è elevatissima la probabilità di aver adottato misure inutili, ossia non efficaci e spesso neppure efficienti. In entrambi i casi l’azienda finisce per crogiolarsi in un senso di sicurezza (purtroppo falso) che la porta ad abbassare la guardia dormendo sonni tranquilli quando invece non dovrebbe.Due sono gli errori principali commessi dalle moderne aziende nell’affrontare i rischi della società dell’informazione: il primo – e più grave – è quello che dà il titolo a questo libro; il secondo è la troppa fiducia nella tecnologia.

Entrambi sono, in ultima analisi, causati da una visione ultra-manichea della vita, la quale porta a pensare che il mondo si divida sempre e comunque in due (in questo caso: persone e tecnologie) e che tutto sia sempre e necessariamente buono o cattivo, senza mezze misure.

 

Possibly Related Posts: