Sicuri nella rete

NetworkProvider e servizi Internet

Approfittando dell’occasione fornita da Infosecurity 2005, Network News ha incontrato Gigi Tagliapietra che, nella duplice veste di amministratore delegato di Siosistemi e presidente neo-eletto del Clusit, è sicuramente uno degli osservatori privilegiati e maggiormente accreditati per fornire un punto preciso della sicurezza in Italia

Network News: Parliamo di nuove minacce e nuove tecnologie. Qual è il suo punto di vista sulla situazione attuale della sicurezza informatica, le prospettive future e che cosa si dovrebbe fare per migliorare questa situazione? G.T.: Intanto dobbiamo partire da un assunto: la sicurezza assoluta non esiste. Non ci può essere la garanzia assoluta di essere al riparo da qualunque rischio. Una tale certezza non c’è nella vita reale, quindi non c’è di sicuro nemmeno nel mondo della tecnologia. È chiaro che siamo costantemente di fronte alla gestione di un rischio. Qual è il fatto? Il fatto è che viviamo in un mondo che cresce molto velocemente e che diventa sempre più complicato; ed esattamente come nella vita normale, quando un sistema diventa complesso, i rischi che appaiono in questo mondo crescono. Non possiamo pensare di frenare questo sviluppo tecnologico. Dobbiamo fare dei conti e capire che la virtualizzazione della rete e la sua diffusione ci impone assolutamente maggior attenzione. Questa credo sia la minaccia più grossa. La seconda grande minaccia penso sia quella della crescita enorme della velocità di comunicazione. Ovviamente è una grossa opportunità il fatto che io possa avere velocità sufficiente per scaricare dati e contemporaneamente avere maggiori informazioni, ma è anche un rischio, perché altrettanto più velocemente posso venire colpito o posso diventare strumento inconsapevole di attacchi da parte di altri. La realtà è che dobbiamo mettere in conto il fatto che la creazione di un ambiente sicuro dipende da tutti noi. Dobbiamo assolutamente capire che la sicurezza in rete è un atteggiamento responsabile, è un fatto che riguarda ciascuno di noi, e non solamente gli esperti, i guru, i soloni della tecnologia, ma davvero deve diventare materia nostra di tutti i giorni. NNI: Spesso i dati sono il bene più prezioso per un’azienda, ma altrettanto frequentemente le aziende non sono in grado di attribuirvi il loro valore effettivo. Secondo lei qual è la causa di questa situazione? G.T.: È chiaro che nel nostro immaginario collettivo, tutti i beni materiali possiedono un valore, quindi le aziende sono naturalmente preparate a difendere e a proteggere i propri valori ‘concreti’. Sempre di più il valore si sta spostando da beni materiali a beni immateriali. Quanto vale un brevetto, quanto vale una conoscenza, quanto vale un profumo? Noi sappiamo che questo spostamento del valore da beni materiali a beni immateriali è un processo che caratterizza quella che oggi chiamiamo la società dell’informazione. Il valore non è più nemmeno quasi nel dato, ma nel fatto che quel dato, messo in relazione in un certo modo, rappresenta un bene molto prezioso, che è l’informazione. Dopo l’11 settembre con l’attentato alle torri gemelle, si è capito che le infrastrutture informatiche sono critiche per un paese esattamente come gli acquedotti o la linea elettrica. Abbiamo capito che è accaduto qualcosa, cioè c’è stato questo spostamento di importanza. Un processo che è avvenuto molto velocemente, e quindi il fatto che non ci sia ancora una percezione diffusa deriva soltanto dal fatto che è accaduto così in fretta che non ho avuto il tempo di sedermi, pensarci e dargli la giusta attenzione. Ma nel momento in cui cresce la cultura, la conoscenza e la consapevolezza, di sicuro ci sarà un forte recupero, e l’Italia è assolutamente appieno in questo processo NNI: Leggi e sicurezza. Secondo lei leggi come quelle sulla privacy possono contribuire attivamente all’affermarsi di una cultura della sicurezza informatica? G.T.: Di sicuro il fatto di avere un quadro di riferimento, di avere delle regole, è un aspetto positivo. Ci mancherebbe altro! Molti confondono il mondo della rete con il mondo dell’anarchia. Invece, se c’è proprio una grandissima lezione che la rete sta dando a tutti è che si tratta di un mondo in cui l’autoregolamentazione spesso funziona con delle leggi non scritte, ma che pure esistono e guai a cercare di violarle. Io credo che ci siano due atteggiamenti: uno è quello che io chiamo solitamente la “sicurezza passiva”. Cosa vuol dire? Faccio delle cose perché me lo impongono. In realtà questo atteggiamento ci rende sempre vulnerabili, perché rispondiamo delle cose che ci vengono imposte. Invece, il secondo che ritengo l’atteggiamento più giusto e che chiamo di “sicurezza attiva” è di capire che anziché devo, il mio verbo deve essere voglio. Io voglio proteggermi perché capisco che, per esempio la tutela delle mie informazioni è un mio sacrosanto diritto, e quindi voglio proteggermi. Poi il fatto che lo dica la legge mi darà un elemento in più, ma io proteggo la privacy perché credo che sia un valore etico, e allora voglio farlo. Ciò che penso debbano fare le aziende non è solo di rispettare e seguire le leggi, ma di darsi delle regole proprie, che tecnicamente si chiamano policy. Devono dichiarare qual è la loro legge, quali sono i principi in ambito di sicurezza, rispetto e tutela che l’azienda si dà e che i collaboratori, sentendo come propria, vogliono rispettare. E questo credo sia un cammino lungo ma assolutamente inevitabile. NNI: Autenticazione e firma digitale. Qual è lo stato dell’arte e le prospettive future? G.T.: Perché avvengano delle transazioni di valore occorre che gli interlocutori si identifichino. Tecnicamente questa cosa si fa con la firma digitale, che è un sistema assolutamente sicuro, molto più sicuro di quello “analogico”. Qual è il problema? Il problema è che l’aspetto tecnologico viene vissuto molto fortemente, anche perché fa spettacolo e notizia. Ciò che veramente risulta difficile è l’aspetto organizzativo, cioè fare in modo che non ci sia solo l’introduzione della tecnologia, ma ci siano anche i cambiamenti organizzativi che vi stanno alla base. NNI: Lei è appena stato eletto presidente del Clusit. Che cos’è, quali sono state le principali attività e quali gli obiettivi futuri? G.T.: Il Clusit è un’associazione che raggruppa aziende, istituzioni, singoli individui, che hanno a cuore il tema della sicurezza informatica. Da qui il nome di Associazione italiana per la sicurezza informatica. Nasce quattro anni fa in seno al mondo accademico, principalmente a Milano, ma in questi anni ha già superato i 400 membri e, quindi, rappresentiamo il punto di riferimento più importante in questo momento nel mondo della sicurezza informatica. Cosa cerchiamo di fare? Principalmente di far comprendere che la sicurezza è un bene di tutti, e quindi è qualcosa che deve coinvolgere le istituzioni, le aziende e i singoli individui. Per questo motivo abbiamo un intenso programma di convegni, di incontri e di corsi. Il Clusit ha come scopo anche quello di essere un interlocutore per le istituzioni che hanno bisogno di comprendere meglio. Abbiamo in questo momento un obiettivo molto importante che è quello di allargare la partecipazione agli utilizzatori, quindi alle aziende e ai singoli, perché il Clusit non resti un mondo accademico pur essendo di alta qualità. Non vogliamo nemmeno che diventi un’associazione di fornitori e, pur avendo nel mondo dell’industria una grossa base e un grosso peso, resti un ambiente in cui dal dialogo tra utilizzatori, fornitori e istituzioni nasca un ambiente e un paese più sicuro.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore