Alcune riflessioni sul Cyberspazio e sui rischi per le organizzazioni dove è diventato fondamentale l’utilizzo dei sistemi informatici per sopravvivere. Il Cyberspace è intrinsecamente insicuro. Purtroppo la terminologia di “cyberspazio” è ambigua e può portare a incomprensioni e confusione. Lo stesso vale per i concetti di “sicurezza delle informazioni” e “sicurezza informatica”.
- La “dipendenza” dai sistemi informatici e dalle tecnologie informatiche è diventata irreversibile. Esistono adeguate metodologie su come proteggere i sistemi informatici, best practice e linee guida, tuttavia, è ancora complicato passare dalla teoria alla pratica e rendere un sistema informatico “sicuro”.
- I soggetti che compromettono i sistemi informatici e in generale le proprietà intellettuali (Black Hat) sono ovunque e sono a distanza di un click dalla organizzazione. Sono dotati di talento, sono bene informati e motivati, forse molto di più di coloro che dovrebbero proteggere i sistemi informatici di una organizzazione.
- La professione di responsabile della sicurezza dei sistemi informatici è diventata stabile e riconosciuta, ma non è regolamentata. A differenza di un medico in medicina o di un pilota di aerei, chiunque può essere un responsabile della sicurezza dei sistemi informatici. Spesso il responsabile della sicurezza dei sistemi informatici di una organizzazione è impreparato e ancor più grave, inconsapevole di esserlo.
- Un problema grave è che il responsabile della sicurezza e i manager hanno diverse percezioni dell’importanza della sicurezza informatica. Spesso esiste uno scarso dialogo e la direzione è “debole”. Per questo motivo molte organizzazioni non sono impreparate alla gestione di un problema legato ad un sistema informatico.
- La sicurezza delle informazioni al 100% è irraggiungibile, in quanto richiederebbe una organizzazione “perfetta” nelle quattro componenti su cui si basa:
- direzione
- persone
- processi
- tecnologia
- Spesso la velocità di innovazione e i costi per la produzione di un sistema informatico vanno contro il principio della “security by design”, che è in gran parte assente nei sistemi su cui si basa cyberspazio.
- Comprendere e quantificare l’impatto degli eventi che intaccano la sicurezza su un’organizzazione (Business Impact Analysis) è di fondamentale importanza per garantire che le misure di prevenzione e protezione siano adeguate dove conta di più.
- Essere consapevoli di avere un problema di sicurezza su un sistema informatico è il primo passo, il successivo è la risoluzione del problema, per il quale è necessario l’aiuto di ogni singolo componente umano e non, che interagisce con quel sistema
