Quando non basta più l'estro italiano

La sicurezza? Verrà dopo

di

thumbnail

23

apr

2015

Troppe aziende interpretano la sicurezza come preoccupazione da applicare retroattivamente. E finisce come per il backup.

Le cose non vanno mai come si vorrebbe. Così accade regolarmente, molti dei lettori percepiranno una sorta di deja-vu, che spesso la gestione dei progetti avvenga, nel migliore dei casi, in regime di emergenza.

Sysadmin e system architect vengono subissati di richieste pressanti e che in genere richiedono la messa in produzione di un nuovo sistema per ieri.

Chi si sforza di gestire un progetto per fasi distinte invece si ritrova a vedere il Proof of Concept, tirato in piedi solo per test, a passare in produzione nonostante non possieda nessuna delle caratteristiche necessarie (è stato fatto con hardware d’avanzo, presenta colli di bottiglia o single point of failure).

Purtroppo temo che questo sia un tipico retaggio della nostra cultura, dove la gestione organizzativa è lasciata al tipico estro italiano piuttosto che ad una procedura rigorosa e verificata.

Un tipico esempio mi è capitato da poco in un’azienda dove mi sono recato. Si tratta del solito progetto colossale, di cui tutti parlano e al quale tutti si stanno preparando con facce speranzose e qualche preghiera. Parlando con un po’ di gente mi dicono anche che il committente sulla sicurezza non scherza e che il documento di requisiti in merito ha lo spessore de Il Signore degli Anelli, pur essendo molto meno affascinante da leggere. Sono tutti un po’ sgomenti per il costo che la sicurezza avrà sull’intero progetto.

Blueprint

Grande progetto, sicurezza complessa. E inizia a fare paura con effetti negativi.

Si sa come vanno le cose. Progetto grande, tempi lunghi. Quando tutti stanno per perdere la speranza ecco che i due amministratori delegati si trovano, firme, strette di mano, foto di rito e si parte. Solo che ora la cosa è sotto l’attenzione degli alti vertici e quindi quello che prima era previsto per un anno, bisogna che sia pronto in quattro mesi.

E la sicurezza? Verrà dopo. Ora non c’è tempo. Bisogna forzare la macchina burocratica che gestisce gli acquisti, contattare i fornitori, i consulenti, predisporre il tutto e preparare fior di presentazioni e report che mostrano al management come tutti stiano procedendo a tappe forzate per terminare il lavoro.

Si possono citare tutti i manuali di management e di gestione che si vogliono: quando si ricevono pressioni dall’alto, spesso e volentieri tutti cominciano a correre come schegge impazzite. Rimane fuori regolarmente tutto quello che esula dalla mera operatività. Ma non è un atteggiamento intelligente, per una serie di motivazioni sia tecniche sia economiche.

Troppo interconnessi

Quando si devono gestire progetti con requirement complessi (specialmente dal punto di vista della sicurezza) non si può pensare alla sicurezza come un drop-in che si può installare a cose fatte. Tutto è semplicemente troppo interconnesso per ragionare in questo modo. Quando si parla di concetti come storage cifrato, separazione dei compiti, controllo delle utenze amministrative, cifratura delle connessioni (perché sono richieste dal committente finale), non puoi ignorarli fino alla fine. Significa sconvolgere tutta l’architettura già installata, provocando se va bene dei down di sistema e, se va male, dovendone riconfigurare gran parte.

Inoltre includere la sicurezza in fase progettuale è vero, fa lievitare i costi e il tempo di deployment (solitamente un 10-20 percento) ma quello che si ottiene è un sistema funzionale e gestibile. Intervenire nel prosieguo significa non solo veder lievitare i costi oltre ogni aspettativa ma anche rischiare di introdurre problematiche che potrebbero rivelarsi bloccanti.

La sicurezza non è una scatola magica o una serie di fogli di carta utili solo per passare un’ispezione ISO o di qualche altro ente. È un processo che richiede continui adattamenti e aggiustamenti. Prima lo si include più sarà efficace e di basso impatto. Più si ritarda più il risultato sarà deludente, costoso e non funzionale.

Ricordiamo quindi che la sicurezza non è sempre e solo una spesa da procrastinare. È un modo di gestire uno degli asset più vitali di ogni azienda, ovvero i dati. Non deve diventare come i backup, problema che si affronta solo ed esclusivamente quando i dati sono già stati persi.




Andrea Ghirardini (@darkpila) è uno dei precursori della Digital Forensics in Italia. Sistemista multipiattaforma – anche se con una netta preferenza per Unix – con una robusta esperienza in materia di sicurezza informatica, si occupa in particolare di progettare sistemi informativi di classe enterprise. È Chief Technical Officer in BE.iT SA, società svizzera facente parte del gruppo BIG, specializzata nella gestione discreta e sicura di sistemi informativi aziendali. Per Apogeo è autore di Digital Forensics edito nella collana Guida completa.

Letto 3.033 volte | Tag: , , , , , ,

Lascia il tuo commento