I fattori che fanno decollare gli investimenti in sicurezza
di Stefano Caviglia
Affari & Finanza - La Repubblica
Lunedì 3 novembre 2003
Nella più generale crisi di crescita dell'economia europea, non si
salva neppure il settore dell'Information Technology, che le ultime stime
danno in decremento del 2 per cento. C'è però un subcomparto dell'It che
cresce invece a ritmi travolgenti, con una media prevista fra il 22 e il
24 per cento medio annuo da qui al 2005: si tratta della sicurezza. Già da
vari anni si parlava e si scriveva di micidiali attacchi ai software
aziendali di hacker sempre più agguerriti e risoluti. E da anni le imprese
erano costrette a prendere in considerazione i classici rimedi, dagli
antivirus ai firewall. Dunque la sicurezza era già da tempo sotto i
riflettori. Il vero punto di svolta, però, quello che ha dato
un'accelerazione al subcomparto della sicurezza, è avvenuto in virtù di un
evento catastrofico, che nessuno si sarebbe augurato: l'attacco dell'11
settembre alle Torri Gemelle che, con il suo tragico bilancio di morti, ha
dimostrato per altri versi la vulnerabilità dei sistemi informatici di
fronte a improvvise catastrofi.
Ma l'attacco alle Torri Gemelle non è
l'unico driver della crescita degli investimenti in sicurezza. Ce ne sono
anche altri. Ne abbiamo parlato con Roberto Lorini, amministratore
delegato di VP Tech, la società del gruppo Value Partners che si occupa di
consulenza sulla sicurezza informatica.
Quali sono i "driver" che hanno prodotto il forte sviluppo degli investimenti
in sicurezza da parte delle aziende?
«Ce ne sono diversi e certo non solo l'attacco alle Torri
Gemelle, tanto per intendersi».
Però quell'avvenimento ha dato
l'impulso più forte: improvvisamente si è capito che i sistemi informatici
aziendali sono vulnerabili non soltanto a causa degli attacchi degli
hacker ma anche a causa di eventi traumatici che nulla hanno a che vedere
con l'informatica. Non a caso, dopo quell'avvenimento, è diventato di uso
comune il termine "disaster recovery", ovvero la protezione dai
disastri.
«Non c'è dubbio. E se si continua su questa strada anche il
recente black out elettrico italiano ha dato un nuovo forte impulso a
questa problematica. Tuttavia i driver sono anche altri. Uno di questi è
manifesto da anni: mi riferisco a professionisti che si occupano di
sicurezza da diversi punti di vista e che hanno cominciato finalmente a
dialogare fra di loro. La sicurezza informatica, da problema singolo da
affidare a un esperto, diventa un problema organizzativo e dunque
dell'intera azienda. Questo è un vero driver del cambiamento».
Vuol dire che anche chi ha la responsabilità dell'azienda deve porsi questo
problema?
«Certo, e non soltanto per un problema organizzativo
generale, ma anche per una questione di responsabilità diretta».
Che vuol dire?
«Vuol dire che la "security governance" è un problema che si
affronta a livello di amministratore delegato. È lui che deve garantire
agli azionisti la sicurezza dell'intelligence e delle più delicate
operazioni di cui lui è responsabile. Tra l'altro se il sistema IT si
ferma e ciò causa danni, le responsabilità di ordine legale sono
dell'amministratore delegato».
Ci sono altri driver che guidano la crescita degli investimenti in sicurezza?
«Sì, certo. C'è un driver
importante ed è quello costituito dalle innovazioni legislative. Ci sono
varie leggi che sono già state approvate e che indicano alcuni standard da
raggiungere».
Quali, ad esempio?
«Premetto che da punto di vista
della legislazione l'Italia è già uno dei paesi più avanzati...».
E allora qual è il problema?
«Il problema è che molte cose esistono soltanto sulla carta».
Ad esempio?
«Prendiamo la firma digitale. La
legge c'è ma non è ancora operativa perché non sono state realizzate tutte
le applicazioni che la sfruttano. Ad esempio, le fatturazioni tra aziende,
il lavoro dei notai, quello dei farmacisti, ecc. Facciamo un altro
esempio: nel settore della sanità circolano informazioni personali
delicatissime, ma non c'è alcuna norma che preveda una completa tutela
della privacy».
Chi è che, in azienda, tira le fila di tutto ciò che
riguarda la sicurezza, il risk manager?
«No, il risk manager si occupa
soltanto di fare l'analisi dei rischi e di cosa bisogna fare per ridurli o
assicurarli. Nelle grandi imprese si sta facendo strada la figura del
crisis manager, il cui compito è quello di prevenire ed eventualmente
gestire la crisi o l'incidente».
E le piccole e medie imprese cosa fanno?
«Comprano in genere in outsourcing un servizio di sicurezza
invece di crearlo all'interno, cosa che sarebbe più costosa e complicata».
Nota: il contenuto del documento deve essere interpretato in relazione al periodo
in cui è stato redatto.
|
