INTERVENTI

La multilateralità della sicurezza

di Alessandro Curioni*

(AdobeStock)

4' di lettura

Nel mondo delle tecnologie dell'informazione, “cyber security” appartiene a quella particolare categoria di espressioni che hanno “fortuna”, come “cloud computing” e “digital trasformation”. Se trascuriamo il dettaglio che pochi hanno chiaro il significato, e non di rado quando si affronta l'argomento gli interlocutori si riferiscono a cose diverse, chi si occupa della “vecchia” sicurezza informatica deve pragmaticamente gioire di come migliaia di organizzazioni in tutto il mondo si sono lanciate in una folle ricorsa per recuperare il tempo perduto. Tuttavia viviamo in un mondo che cambia fin troppo rapidamente e molti speranzosi di essere in vista del traguardo potrebbero scoprire che qualcuno ha spostato altrove la linea di arrivo. Questo per una ragione molto semplice: l'idea stessa di sicurezza sta cambiando radicalmente, e continuare a pensare si tratti di una questione unilaterale non soltanto è errato, ma può essere anche molto pericoloso.

Da almeno un decennio nel mondo delle tecnologie dell'informazione si parla della “scomparsa del perimetro” secondo cui il livello di interconnessione e interdipendenza di sistemi e dati ha reso praticamente indistinguibili le aree di pertinenza dei singoli attori, siano esse organizzazioni o singoli. Tutte le filiere produttive si sono adeguate, basta pensare all'home banking (il cliente non va in filiale, ma accede alle applicazione e quindi si trova “dentro” la banca), al commercio elettronico, alle soluzione di cloud computing in cui interi blocchi di un sistema informatico si trovano al di fuori dell'organizzazione. L'elenco potrebbe essere ancora molto lungo, ma risulta evidente che la sicurezza di un singolo soggetto è ormai indissolubilmente legata a quella dell'intera società dell'informazione.

Loading...

Su queste premesse come si può configurare una sicurezza che sia effettivamente adeguata? Ci sono almeno quattro requisiti che devono essere rispettati.

L'integrazione delle misure già nel momento in cui si progetta qualsiasi oggetto o servizio. Non solo per via dell'esistenza di vincoli di carattere normativo (il Cyber Security Act per i prodotti e il GDPR in generale), ma per la banale ragione che cercare di porre rimedio in seguito può essere impossibile o, nella migliore delle ipotesi, molto costoso. Se progettiamo un'auto senza impianto frenante aggiungerlo in seguito non sarà banale.

La sostenibilità nel tempo, che richiede una corretta pianificazione degli investimenti per evitare di avviare progetti troppo ambiziosi destinati ad essere abbandonati con un duplice effetto negativo. Da un lato si sono sprecate risorse, dall'altro si deve affrontare l'impatto negativo del fallimento che certo non metterà in buona luce quelli successivi nello stesso ambito.

La fluidità nell'adeguarsi alla realtà del contesto in cui deve trovare applicazione. La sicurezza potrebbe diventare troppo invasiva e nel tempo rendere difficoltosa la fruizione delle informazione e dei servizi tecnologici.

La comprensibilità per superare la resistenza al cambiamento. Un caso classico è la percezione negativa delle misure di sicurezza che hanno gli utenti dei sistemi informatici aziendali: per superarla si stanno tentando diverse strade. Spesso i migliori risultati sono stati riscontrati facendo appello a un aspetto non propriamente nobile della natura umana: l'egoismo. Le persone si interessano soprattutto di quello che può colpirle direttamente, per questa ragione si punta a far comprendere che le vere vittime di un incidente di sicurezza sono loro e non di rado… i loro figli.
Per approcciare la nuova sicurezza si impone alle organizzazioni di non limitarsi a considerare gli incidenti che potrebbe subire direttamente, ma anche quelli che potrebbero interessare i propri clienti, utenti e fornitori. Allo stesso tempo i privati cittadini dovranno cambiare il loro approccio, iniziando a concepirla non diversamente da quella stradale. Per questa ragione si deve parlare di sicurezza multilaterale che deve mantenere un equilibrio tra le esigenze di protezione interne ed esterne di qualsiasi soggetto. Verso tale approccio spingono sia la scomparsa del perimetro sia le evoluzioni normative che segnano la fine dell'epoca della sicurezza dell'informazione intesa come difesa dei propri interessi all'interno di uno spazio sotto il proprio controllo: di conseguenza, organizzazioni sia private sia statali dovranno tenere in debito conto le esigenze di tutte le parti interessate. Parlare oggi di sicurezza multilaterale significa un ritorno al passato perché il termine è stato utilizzato fin dal 1994 da Kai Rannenberg, professore alla Goethe University di Francoforte, che così la descrive: “La sicurezza multilaterale ha quindi l'obiettivo di bilanciare i diversi e conflittuali requisiti di sicurezza delle diverse parti interessate. Questo significa tenere in considerazione i requisiti di sicurezza di tutte le parti coinvolte, ma significa anche considerare tutte le parti coinvolte come possibili minacce. Questo è particolarmente importante nei sistemi di comunicazione aperti, in cui non ci si può aspettare che i diversi attori abbiano un rapporto di reciproca fiducia”. A titolo puramente esemplificativo, una delle aree tecniche indicate come critiche si riferisce all'impossibilità per gli utenti di sapere con certezza se i dispositivi e i servizi che utilizzano rispondano ai loro requisiti di sicurezza. Per quanto le basi per la costruzione di una metodologia capace di rispondere alla sfida di una nuova sicurezza delle informazioni siano disponibili da ormai oltre un ventennio, la maggior parte delle organizzazioni è ancorata all'idea che la conformità alle leggi sia condizione necessaria e sufficiente per essere sicuri, e questo nonostante le stesse leggi non spieghino in alcun modo cosa esattamente debbano fare.

*Presidente DI.GI. Academy

Riproduzione riservata ©

loading...

Brand connect

Loading...

Newsletter

Notizie e approfondimenti sugli avvenimenti politici, economici e finanziari.

Iscriviti