Chi controlla i controllori?

Sicurezza

Giornalmente affidiamo a collaboratori temporanei e personale esterno attività chiave per la nostra attività. E’ sicuramente una questione di fiducia. Ma i rischi esistono.

In una società come la nostra dove si cerca di certificare qualunque cosa, restano comunque alcune curiose lacune. Per quanto fondamentali i professionisti informatici sono ancora una delle categorie che non dispone di un Albo Professionale ufficiale. E’ vero che in molti campi e in molte occasioni gli Albi di categoria si sono dimostrati fallaci e hanno causato più problemi che soluzioni. Ma è altresì vero che la presenza di un organo certificatore ufficiale potrebbe contribuire a organizzare un settore ancora piuttosto confuso, elevandone la qualità e garantendone in qualche modo l’operato. A un medico affidiamo la nostra salute e ci fa piacere sapere che in qualche modo è controllato, certificato, garantito e in qualche modo obbligato a una costante formazione. E al professionista informatico al quale affidiamo la nostra azienda e in qualche modo il nostro futuro? Fortunatamente non è frequente, ma a volte accade che collaboratori o responsabili informatici abbiano ‘abusato’ della fiducia accordata. E’ proprio a causa delle delicate posizioni che occupano e delle potenzialità dei loro interventi che nascono alcuni interrogativi e si evidenziano almeno un paio di problemi: 1. Il secolare dilemma di chi dovrebbe certificare i certificatori 2. quella individuata è solo la punta dell’Iceberg. Il primo problema costituisce uno dei più grandi dilemmi che da sempre affliggono non solo la categoria informatica, ma numerose altre attività che richiedono l’utilizzo di figure ‘super partes’ certificate e investite dell’autorità di emettere giudizi o prendere decisioni che, almeno in teoria, dovrebbero essere considerate le migliori possibili nel contesto considerato. Stiamo parlando di giudici, medici, revisori, periti e molti altri. Forse non è un caso che tali figure dispongano, nella maggior parte dei casi, di un Albo di categoria o almeno di un organismo di coordinazione. Forse sarebbe il caso di istituire qualcosa di simile anche per la figura del consulente della sicurezza informatica o del consulente informatico in genere. Purtroppo, per quanto molti continuino ad affermare il contrario, la situazione della sicurezza informatica in Italia è ancora in una fase pionieristica. Molti dei fornitori di prodotti hardware e software dedicati alla sicurezza hanno iniziato ad estendere la propria offerta a 360°, coprendo anche settori dove effettivamente non avevano maturato la stessa esperienza accumulata nello specifico settore verso il quale erano orientati i prodotti offerti. Molte società di formazione hanno capito che finalmente la cultura della sicurezza inizia a prendere piede anche nel nostro paese ed hanno iniziato a inserirla nella propria gamma di corsi. Consulenti e liberi professionisti, costretti per sopravvivere ad agganciarsi di volta in volta alle nuove tendenze con la speranza di acquisire sul campo l’indispensabile esperienza, vi si sono buttati a capofitto.

Giungla informatica Ci troviamo di fronte a una numerosa e variegata comunità di ‘addetti’ che in un modo o nell’altro cerca di emergere in questo nuovo settore cercando di conquistarsi posizioni di predominio o sfruttandolo fino a quando ci sarà margine di manovra sufficiente. Inoltre, a causa dell’esplosione dell’utilizzo di Internet, la richiesta di amministratori di sistema competenti con l’esperienza tecnica necessaria supera di molto la disponibilità di figure professionali debitamente preparate disponibili. Di conseguenza, vengono assunte o promosse persone che non sono qualificate in modo adeguato. Questa tendenza è accentuata dal fatto che alcuni di questi professionisti cambiano spesso lavoro per guadagnare di più. Purtroppo, il settore della sicurezza informatica è di per sé piuttosto critico e mal si presta ad approcci improvvisati o forzature. L’approccio metodologico deve essere rigoroso e soprattutto seguire standard affermati. Interventi approssimativi o improvvisati possono lasciare pericolose lacune o peggio ancora aprire nuove falle. Siamo ancora in una fase dove i vari interpreti lottano per accaparrarsi una congrua fetta di mercato e ciascuno, pur di entrare in lizza vi si getta con proposte, esperienze e prodotti non ancora calibrati. In tutto questa confusione quello che rischia di rimetterci più di tutti è il cliente. Già è stato arduo far comprendere che la sicurezza non rappresenta un costo inutile ma un investimento necessario. Gli interlocutori più sensibili hanno compreso il messaggio, ma ora si trovano a dover scegliere tra numerose proposte che possono confondere e che spesso possono condurre a casi come quello della banda di hacker sgominata agli inizi di agosto. Non c’è rischio maggiore di quello che possa portare a incrementare nuovamente la diffidenza dei possibili clienti nei confronti della sicurezza. Per risolvere il problema si potrebbe pensare quindi alla costituzione di un Albo che certifichi i propri iscritti come responsabili preparati, aggiornati e fidati ai quali affidare con tranquillità la gestione della sicurezza informatica della propria azienda. La certificazione per accedere a tale Albo dovrebbe essere alla portata (economica) anche dei singoli professionisti e non solo delle grandi società, questo per evitare la nascita di monopoli e lasciare spazio alla libera concorrenza. Hacker mercenari? Il secondo problema è nello stesso modo ovvio e irrisolvibile. Irrisolvibile perché come dimensioni e filosofia si avvicina molto a quello del software copiato. Probabilmente non sarà mai possibile eliminare definitivamente il fenomeno hacker ma solo prevenirlo, limitarlo e ridurlo a un semplice rumore di sottofondo. Internet è vasto come il mondo e se in millenni non si è riusciti a debellare la violenza dal globo non vedo come vi si possa riuscire a livello telematico. In giro per Internet vi sono centinaia, migliaia di geni, smanettoni, perditempo e professionisti che dedicano il proprio tempo ad accettare e cercare di vincere sfide sempre più difficili il cui superamento possa gratificarli, farli sentire potenti e perché no…portarli alla ribalta. Chi lo fa per spirito di emulazione, chi per motivi politici, chi per guadagno, chi perché non ha nulla da fare, chi perché è incosciente e chi per gioco. Le figure che possono dare vita a un hacker sono semplicemente troppe, troppo motivate e dotate di risorse intellettuali non trascurabili. Una buona soluzione potrebbe essere costituita dal coinvolgimento diretto di alcune delle figure precedentemente menzionate nella lotta a ciò che avrebbero potuto diventare. Perché arruolare gli hacker solo dopo averli colti in flagrante. Molte delle figure precedentemente descritte desiderano inizialmente mettersi alla prova e in qualche modo trovare una gratificazione. Naturalmente entra in gioco anche il gusto del proibito ma inizialmente le motivazioni di molti che, con il passare del tempo diventeranno hacker, non sono tanto raffinate, motivate o politicizzate. Perché non offrire una taglia a chi con le proprie segnalazioni porta a scoprire un sito di materiale pedo-pornografico oppure aiuta a individuare figure criminali che utilizzano Internet per traffici illeciti? Ci sono a disposizione figure geniali che cercano solo un motivo, una sfida per mettersi alla prova e che sicuramente potrebbero essere ulteriormente motivate dall’idea di una ricompensa. L’idea potrebbe quindi essere quella di incentivare queste figure di ‘frontiera’ per innescare ‘lotte intestine’ alla categoria degli hacker. Quale sfida può apparire più gratificante e quale obiettivo può risultare più ‘difficile’ da violare di quello il cui possessore è un vero e proprio hacker? Il problema è che anche in questo caso, la categoria degli hacker sembra ancora una volta più organizzata delle stesse istituzioni e protetta da quella che è una vera e propria ‘etica’ di comportamento. Forse, cercare d’incrinare questa etica potrebbe essere possibile e, alla lunga, produrre i risultati sperati.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore