Prima di partire in analisi di settore sull’ IT è necesario mettere le carte in tavola subito: quindi cosa significa esattamente il termine “Sicurezza”? Citando da Wikipedia : La sicurezza (dal latino “sine cura”: senza preoccupazione) può essere definita come la “conoscenza che l’evoluzione di un sistema non produrrà stati indesiderati”… In termini più semplici è: sapere che quello che faremo non provocherà dei danni. Il presupposto della conoscenza è fondamentale da un punto di vista epistemologico poiché un sistema può evolversi senza dar luogo a stati indesiderati, ma non per questo esso può essere ritenuto sicuro. Solo una conoscenza di tipo scientifico, basata quindi su osservazioni ripetibili, può garantire una valutazione sensata della sicurezza. Come potete vedere nella definizione stessa di sicurezza è guià presente il seme della risposta alla domanda auto-posta nel topic; in realtà si osserva sempre più spesso un trend del tutto opposto, ovvero la ricerca spasmodica del prodotto “ultimo grido” che garantisca il controllo degli accessi, il monitoring delle attività in rete, il filtraggio dei contenuti web e così via, come Firewall, IPS, IDS e prodotti del genere che garantiscano una “end point protection” prima del perimetro aziendale. Senza voler nulla togliere all’utilità di questo genere di prodotti (Fortinet e Checkpoint sono in questo momento al top della gamma soprattutto per la ricerca effettuata che non per la tecnologia pura) per un CSO è più importante il rapporto costi - benefici a vantaggio della sicurezza attiva della propria rete che non avere una serie di dispositivi all’avanguardia. E forse è bene pensare che il pericolo molto spesso (per non dire quasi sempre) per un’azienda arriva dall’interno; centinaia di usb-pen, altrettante centinaia di usb-link su cellulari e magari palmari che portano informazioni all’esterno senza nessun tipo di controllo…e altrettanto fanno nel verso opposto. Come far fronte a questo problema? I principali problemi strettamente interconnessi sono:1) La scelta accurata di policy di sistema atte ad inibire le utenze all’utilizzo indiscriminato dei suddetti dispositivi basate su “best practice” derivate dall’interpretazione di standard e framework derivati.2) La formazione e l’educazione degli end-users ad un utilizzo più consapevole del mezzo informatico. Negli anni del boom economico la FIAT quasi “affiliava” gli operai alla loro macchina e loro la conservavano come se fosse un bene prezioso; senza arrivare a questi estremi è necessario sensibilizzare le ditte affinchè provino ad investire sull’educazione degli utenti e sulla loro formazione non tanto all’utilizzo “tecnico” del mezzo informatico (assolutamente necessario comunque) quanto più ad un’ “etica del PC” che è mezzo di lavoro sì, ma “de facto” proprietà dell’utente. In questo senso è fondamentale che i top manager (statisticamente tra le prime 3 fonti di debolezza interna di una rete aziendale assieme ad utenti generici ed utenti shopfloor) siano i primi ad essere “educati” da un lato al rispetto delle policy e dall’altro ad un corretto utilizzo del loro strumento di lavoro che molto spesso ha alcune “appendici” vieppiù pericolose per la sicurezza come blackberry o similari.In conclusione, come deve essere gestito correttamente un’ambiente composito LAN/WAN ? Pensando probabilmente prima alla salute “interna” della rete ed utilizzando ogni sistema preventivo efficace basato su formazione del personale ed istruzione di policy precise. E solo in un secondo momento intervenendo sulla chiusura di canali web e porte su firewall verso l’esterno.