Questo articolo fa parte della serie Spiegare la sicurezza.
Un recente articolo di Jeremiah Grossman mi ha fatto riflettere. Ne segnalo un passaggio:
In the aftermath of a breach, employee dismissal and business collapses are rare, more often than not security budgets are expanded. Few things free up security dollars faster than a compromise, except for maybe an auditor.
Voglio lasciar stare la parte relativa agli incidenti, ma mi focalizzerò sulla compliance. Gli audit (cosa molto anglosassone) o la compliance legislativa (cosa molto europea) sono gli argomenti che più possono spingere il top management ad attuare molto velocemente delle politiche e/o degli strumenti di enforcement di sicurezza informatica.
Ma questo perché succede? Perché persone a cui dobbiamo spiegare bene l’importanza della sicurezza informatica, all’improvviso diventano estremamente determinati ad ottenere il risultato? Semplice: perché rischiano in prima persona.
Quando un’azienda fallisce un audit, o non è compliant ad una norma di legge, sono i direttori, gli amministratori delegati, insomma i CxO a pagarne le spese. Anche penalmente in alcuni casi. È ovvio quindi che siano altamente determinati a raggiungere il risultato, spronino i propri responsabili della sicurezza e mettano in campo un numero di risorse e budget elevatissimo.
Questa situazione incontrollata, si potrebbe pensare, è un bene? Purtroppo no.
No perché il commitment che viene da questo tipo di necessità non è una forza positiva, non nasce da una volontà di crescere e migliorare i propri processi di sicurezza. Nasce invece dall’obbligo di rispondere ad una normativa che può danneggiare l’azienda, insomma è un fastidio. E un fastidio non fa crescere, non fa ragionare, fa solo pensare al modo più veloce ed meno costoso per levarselo di torno. E il fastidio non è solo dei dirigenti, ma anche (e soprattutto) delle persone su cui impatterà l’obbligo, magari cambiando il loro operato quotidiano.
Però sarebbe stupido non cercare di sfruttare comunque questa forza. Visto che comunque il risultato va portato a casa, allora sta al professionista della sicurezza guidare il progetto verso lo scenario migliore. Soprattutto, cosa molto importante a mio avviso, è necessaria un’adeguata analisi della normativa in questione: leggetela bene! Sembra scontato ma non lo è. Considerate che probabilmente i vostri dirigenti non l’hanno (giustamente) fatto. Il più delle volte avranno solamente ricevuto un rapporto da parte dell’ufficio legale che elencava i rischi per loro.
Il problema però non è tanto che l’AD vada in galera, ma quanto la normativa impatta sull’operatività normale dell’azienda.
Prendiamo il recente provvedimento dell’Autorità Garante per la Protezione dei Dati Personali sui cosiddetti Amministratori di Sistema.
Prima di tutto, voi professionisti della sicurezza che sicuramente ne avete avuto a che fare (e magari l’avete maledetto) nei mesi passati: l’avete letto?
Dopo averlo letto, non correte subito a focalizzarvi sugli obblighi di legge, i rischi, le sanzioni, insomma tutte quelle cose che spaventano tanto i piani alti…
Piuttosto in una normativa di questo tipo è fondamentale focalizzarsi sull’impatto che avrà sul lavoro quotidiano. In dettaglio il provvedimento del Garante come ha cambiato la vita dei vostri colleghi sistemisti? Quali cose sono diventate più complicate e burocratiche?
Rispondere a queste domande vuol dire fondamentalmente scrivere i requisiti che dovrà avere la soluzione da voi scelta. Perché solo in questo modo si riuscirà a trovare non solo un percorso che soddisfi la norma, ma anche che semplifichi procedure aziendali complesse.
Proprio così: semplificare. Perché applicare la professionalità di un esperto di sicurezza quando si tratta di rispondere ad una normativa di compliance vuol dire approfittare del regolamento per innalzare il livello di sicurezza della propria azienda, e allo stesso tempo risolvere tanti problemi quotidiani che magari erano lì fermi da anni.
Qui sta la vera sfida. È difficile e necessita di parecchio lavoro, studio e un’attentissima analisi di mercato. Ma soprattutto è necessario parlare con tutti i colleghi interessati, che siano i legali o l’ultimo degli installatori di Windows, ma dovete sentire tutte le loro esigenze.
Alla fine, se l’impresa avrà successo, con un unico progetto risolverete due problemi:
- i vostri capi saranno contenti perché la loro azienda è in regola;
- i vostri colleghi supereranno le paure e lavoreranno meglio e con maggior sicurezza.
Insomma, la compliance è inarrestabile, ma è domabile. Ed è anche un’occasione da non farsi scappare. Buon lavoro!
Bye!
Glamis on Security 
Come al solito l’articolo è interessante e soprattutto centra uno degli aspetti decisivi dell’ ICT.
Non mi trovo però sul punto che riguarda gli obblighi. Effettivamente il
decreto del garante ha una valenza legale e meriterebbe un discorso diverso, ma tutti gli altri standard e regolamenti richiedono un atto volontario di adesione da parte del top management di un’organizzazione.
La cecità di molti CxO in ambito IT riduce gli audit ad un interrogazione di uno scolaretto svogliato anziché ad un’attività necessaria per individuare le aree di miglioramento.
Ogni audit, in genere, dovrebbe prospettare un cambiamento e per questo spaventa in quanto visto come un problema anziché come un’opportunità. Tanto varrebbe, in assenza di un auto-commitment rinunciare a tutti gli standard e gli audit visto che, organizzati così, non portano alcun beneficio se non qualche timbro da apporre sul sito istuzionale o sulla carta intestata. Anche perché a seguito di un audit nessuno può:
giudicare i livelli di performace del lavoro
imporre nuovi requisiti di prodotto/servizio
ricondurre a modelli predefiniti i processi o i risultati
Unica richiesta : dimmi cosa fai, come e perché e vediamo insieme se ci riesci!
Molti vanno in crisi già nella prima parte: Cosa faccio? Come? Perché?
Nel caso del decreto sulla privacy la cosa è poi paradossale: valutare i rischi di aderire o meno alle prescrizione di una legge formale ordinara, accessori inclusi, dello stato italiano non può essere certo una scelta opportunistica visto che rappresenta, ad esempio, un requisto cogente per gli standard ISO!
Per concludere: molti dei prolemi di sicurezza, e più in generale della produzione, solo legati al mancato controllo e al dilagare varianza. Gli audit dovrebbero correggere progressivamente una situazione reale attraverso cambiamenti e miglioramenti continui. Parlare di sicurezza e produzione in ambienti eterogenei è arduo.
Qui non sono in gioco le poltrone dei manager, che in molti dei casi reggono meglio delle infrastrutture IT che i loro occupanti dirigono, ma come realizzare modelli efficienti per la gestione dell’informazione.
Hai perfettamente ragione, infatti ho posto all’inizio la differenza tra quella che è la compliance ad un audit (PCI, SOX, ecc.) e quella che è la compliance ad una legge (Privacy, Amministratori di sistema, ecc.).
Però anche lì, è vero che c’è un’adesione volontaria, ma è anche vero che in determinate circostanze (tratti carte di credito? PCI-DSS! Fai affari con USA? SOX! Devi certificare un perimetro per fare una gara? ISO21001!), si tratta di una volontarietà quasi obbligata…
Il punto del mancato miglioramento poi è la chiave: chi sta in alto ha interesse solo a levarsi la certificazione nel minor tempo e sbattimento possibile. Semmai sono gli altri a contorno che possono, auspicabilmente, prendere la palla al balzo e cercare sì di migliorare qualcosa.
Che poi la situazione italiana sia al livello di ignoranza anche sulle attività di base… non posso che tristemente concordare.
Ciao!