Login utenti registrati | Login Aziende Associate 
  
Vai al sito Federcomin Vai al sito Confindustria
                                                                           A R E E     I N T E R A T T I V E
Ritorna alla Homepage
Dove siamo
 Associazione
» Profilo
» Struttura
» Gruppi di lavoro
» Aziende Associate
» Accordi/Convenzioni
» Parlano di noi
 Aree per i Soci
» Area Riservata
» Tavolo eGovernment
» RapportoAssinform.it
 Eventi/iniziative/stampa

» Gli eventi
» I comunicati stampa
» Gli interventi

 Pubblicazioni

» I rapporti

 Per contattarci

» La sede
» Come contattarci 
» Per aderire
 AREE INTERATTIVE » I CONTRIBUTI DEGLI UTENTI 

Articoli, interviste e riflessioni relativamente a "La Net economy che c'è"

La parola agli utenti della comunità Assinform
Commenta l'articolo

I costi della security
a cura di Marco Pacchiardo
Business Consultant , Secure Group

Come tutto ciò che riguarda l'informatica, anche la sicurezza impone dei costi non indifferenti; l'acquisto degli strumenti necessari per avere un buon livello di sicurezza informatica non è certo impegno dissimile da tutti gli altri costi; forse la relativa giovinezza dell'argomento e la sua repentina esplosione e diffusione non offrono ancora un preciso quadro di quali siano gli effettivi costi da sostenere.
Questo articolo non vuole essere un trattato su quale sia il corretto budget da destinare alla sicurezza informatica, quanto piuttosto un modo per ricordare quali siano e come considerare gli investimenti necessari quando si intende affrontare questo problema.

Prime considerazioni
Per paradossale che possa sembrare, il primo costo che spesso ci si trova ad affrontare è quello derivante dalla perdita di dati e informazioni fondamentali per la produttività aziendale.
Spesso esso non viene considerato in quanto si considera costo o investimento soltanto ciò che segue la partenza di un progetto di security, ma quanto ingente è stata la perdita che ha decretato l'inizio di tale progetto?
È aver subito ciò che si riteneva che mai potesse accadere, che è sprone per consultarsi con degli esperti per intraprendere il percorso di messa in sicurezza dell'azienda. A questo punto è chiaro che tale procedimento comincia già con un forte svantaggio economico che difficilmente potrà venire colmato: la perdita è ormai avvenuta e recuperare diventa quasi impossibile.
Quanto ingente sia la perdita è sicuramente calcolabile e nel prosieguo dell'articolo ne vedremo un esempio; per il momento è importante sottolineare che il conto totale parte già con un debito. Interessante sarebbe dimenticare il passato e dedicarsi unicamente al progetto di sicurezza, ma è altrettanto vero che un'azienda che voglia essere produttiva non può prescindere da questa considerazione. Questo ragionamento porta, ed è importante che sia sottolineato, ad un processo di contenimento dei costi per il quale, per poter meglio ammortizzare la precedente mancata produttività o perdita, si tende a cercare di mantenere più bassi possibili i costi necessari per realizzare un sistema di sicurezza.

Costi di acquisto e realizzazione
Per poter meglio valutare quali siano i reali costi d'acquisto necessari per ottenere un sistema di sicurezza efficiente bisogna prima valutare quali siano i più comuni scenari in cui ci si trova all'inizio di un progetto. La migliore delle situazioni in cui si possa ricadere, che peraltro è la migliore sia da un punto di vista del lavoro da svolgere, sia dal punto di vista economico, è quella in cui la sicurezza deve venire costruita dal principio, in concomitanza con la realizzazione della struttura informatica aziendale. In questo caso tutti i processi di sicurezza possono essere pensati poco per volta, mano a mano che la parte più strettamente tecnologia cresce e prende forma.
In altre parole significa che chi è preposto a pensare e realizzare la sicurezza, può farlo contemporaneamente all'introduzione delle tecnologie di rete che devono essere protette.
Avere l'opportunità di pensare ad un segmento di rete, ad un database, ad altri strumenti tecnologici potendo già immaginarne la messa in sicurezza, è un lavoro molto più agevole ed economicamente vantaggioso. In pratica questo procedimento offre l'opportunità di "spostare" parte della sicurezza sullo strumento informatico che è necessario acquistare; decidere quale sia il modello di router migliore da inserire nell'architettura di rete valutandone anche scopi e funzionalità di sicurezza necessari permette di poter decidere per uno strumento che abbia già quelle particolari operatività che ne consentono un agevole e mirato inserimento nella struttura di sicurezza generale; in questo modo al costo di un normale apparato di rete si acquistano già delle caratteristiche di sicurezza.
Se questo processo viene eseguito per tutto il periodo di realizzazione della rete aziendale, è facile capire come, ad operazioni terminate, si siano scelti strumenti che completano ed integrano la sicurezza, contribuendo a mantenere bassi i costi, e integrando al meglio tutte le funzionalità necessarie, sia sul piano networking che su quello security.
Un caso peggiore è quello in cui una struttura di rete è già esistente, in quanto quasi sempre questo è il caso in cui non sono stati pensati a priori gli elementi di sicurezza che potessero integrassero nel piano generale di networking.
Il lavoro necessario, in questo caso, è chiaramente più importante sia in termini di attività per chi deve operare la sicurezza che in termini economici, in quanto non è stato valutato quello "spostamento" che permette di selezionare gli apparati di rete anche in funzione della sicurezza.
In questa situazione non soltanto è necessario pensare a come integrare tra loro le tecnologie, ma diventa necessario anche un'accurata selezione delle contromisure anhe in relazione all'aspetto economico. L 'obiettivo è quindi duplice: da un lato è necessario stabilire se una determinata contromisura sia facilmente integrabile all'interno dell'architettura di rete, dall'altro bisogna fare attenzione all'effettiva necessità di tale contromisura, rapportandola ai suoi costi di acquisto e messa in servizio.
La prima considerazione in questo scenario è quella di valutare quali siano i computer e i dati che generano del fatturato: ciò che deve essere messo in sicurezza è infatti, in primo luogo, ciò che genera un vantaggio economico.
Una delle prime regole della sicurezza è quella che afferma che bisogna rendere sicuro ciò che serve per mantenere o aumentare il vantaggio competitivo, la quota di mercato o il fatturato di un'azienda; tutto il resto può venire considerato in un secondo momento.
Naturalmente questa operazione non è né semplice né immediata, ma è un'informazione importante per chi costruisce la sicurezza, e vitale per l'azienda.
Immaginate che qualcuno vi chieda a bruciapelo: "quanto del tuo fatturato dipende da quel determinato server?"; la risposta è un punto di partenza per valutare le contromisure.
Terminata questa fase, che necessariamente viene concertata con il cliente, bisogna individuare le vulnerabilità alle quali un elemento informatico che produce vantaggio è soggetto, comprendendo quindi un'attenta analisi del valore economico che si perde nel caso in cui un determinato elemento della rete subisca un danno.
È necessario analizzare, in questa fase, quali siano i costi di mancato fatturato per ogni giorno in cui l'elemento non è disponibile; questa informazione determina chiaramente il peso economico che tale fattore ha in rapporto al fatturato aziendale.
Il terzo elemento che entra in gioco nella valutazione economica delle contromisure, che è da combinare con i due precedenti, è quale sia il costo totale per la contromisura.
In questa analisi è fondamentale non trascurare i costi correlati all'acquisizione della contromisura, quali i costi di gestione, di installazione e configurazione, di manutenzione e tutti quei costi che normalmente siamo abituati a sottovalutare e con i quali poi ci troviamo a combattere.
Soltanto a questo punto si è in possesso dei dati necessari per la corretta valutazione di una contromisura: fatturato che un computer produce, perdita economica derivante dal fallimento di tale computer e costo necessario per l'implementazione della contromisura stessa.
Per quanto riguarda invece il valore di un dato, bisogna ricordare che durante la valutazione entrano in gioco valori spesso trascurati ma di fondamentale importanza per poter misurare il reale peso di un elemento. Ogni dato ha infatti un proprio valore intrinseco che dipende da un insieme di considerazioni che devono essere pesate correttamente.
Sicuramente il costo per acquisire il dato (dove per acquisire si intende anche il costo di creazione), è uno dei principali elementi che concorrono nella valutazione economica di un dato.
C'è poi un secondo valore, indipendente dal mercato, che è quello che il possessore del dato gli assegna: un dato considerato economico può acquisire un peso strategico enorme.
Un ultimo peso è quello dettato dal mercato e cioè, in termini molto pratici, ci si riferisce al valore che il mercato attribuisce a quel dato e ad un eventuale costo per la proprietà intellettuale (copyright, ecc...) Completato questo ciclo di valutazioni, la selezione delle contromisure diventa un ragionamento semplice al quale tutti noi siamo usi: la valutazione costi e benefici permette di poter scegliere, almeno da un punto di vista economico, la migliore delle contromisure possibili.
In questa operazione diventa fondamentale tenere conto in modo preciso di tutti i costi che concorrono a creare il peso della contromisura.
Accanto al costo per l'acquisizione vi sono infatti tutti i costi di implementazione, di manutenzione e non ultimo quello legato alla perdita temporanea di produttività legata all'integrazione della contromisura all'interno dell'architettura esistente.
Come ultima considerazione in merito all'adozione di contromisure o di valutazioni di sicurezza è importante sottolineare come molte aziende siano o si stiano strutturando per offrire la sicurezza o aspetti di essa in forma di servizio: dall'outsourcing fino a veri servizi ASP.
Queste iniziative hanno come principale scopo quello di svincolare le aziende dai costi necessari per la gestione di parti, o di tutta la struttura tecnologica di sicurezza.
Esistono quindi aziende che forniscono servizi di analisi di vulnerabilità, di outsourcing di security, di adeguamento legale e normativo e, da poco tempo, esistono servizi di autenticazione sicura e di gestione delle VPN.

Selezionata la contromisura...il lavoro è appena cominciato!

Costi non legati alla tecnologia
Quanto esposto finora ha coinvolto computer, apparati e dati ma è importante sapere che essi non sono gli unici costi legati alla sicurezza informatica; anzi spesso possono esserne soltanto una frazione.
Ciò che non è ancora stato valutato è tutta la parte organizzativa di sicurezza informatica che, avendo costi non immediatamente immaginabili, assume un peso fondamentale in un progetto.
È infatti noto che gran parte degli attacchi provengono dall'interno della rete; senza entrare nello specifico dettaglio, è sufficiente sapere che non sempre i danni vengono originati dalla determinazione di distruggere, ma più spesso derivano da un non corretto uso della tecnologia.
Questo è il motivo per il quale un progetto di sicurezza ha successo soltanto se il personale aziendale viene formato e informato riguardo alle politiche di security che l'azienda ha inteso adottare.
Cosa accadrebbe, infatti, se un dipendente perdesse la sua smartcard che serve a garantire l'accesso sicuro al server aziendale e se tale dipendente non conoscesse il motivo per cui gli è stato assegnato tale strumento, ma soprattutto se avesse chiuso in un cassetto senza leggerla la norma interna che intima di avvisare non appena ci si accorge di averperso la propria smartcard?
Ne consegue che un piano di security deve necessariamente prevedere un piano di formazione basato sulla conoscenza dell'architettura di sicurezza presente e della normativa aziendale di riferimento.
Ecco quindi come, oltre ai costi di ottimizzazione della sicurezza da un punto di vista tecnologico, entrino qui in gioco altri costi che sono più legati alla parte organizzativa e formativa.
Parlando poi di normativa non si può assolutamente prescindere dall'adeguamento dell'azienda rispetto alla legislazione e alla normativa internazionale di sicurezza.
In quest'ambito spesso ci si avvale di consulenti che hanno dimestichezza con questi argomenti e che sono quindi in grado di valutare il grado di aderenza della sicurezza aziendale rispetto, ad esempio, al D.P.R. 318/99 che si occupa di misure minime di sicurezza nel caso del trattamento di dati sensibili.
A livello internazionale assume sempre più importanza la normativa ISO 17799, che discende dalla più nota BS7799 del British Standard Institute, che indica quali siano i parametri da seguire per ottimizzare i processi e i flussi logici di sicurezza.
È una norma che affronta aspetti organizzativi più che tecnologici, indicando, per esempio, come sia formato un corretto team di sicurezza, quali figure ne devono far parte e quali ruoli e responsabilità debbano avere; anche il flusso di informazioni necessario per riportare un attacco o un danno è materia dell'ISO 17799.


(Articolo pubblicato su Office automation, Maggio 2003)

 
Invia il tuo commento
La tua e-mail



Il tuo commento:

Per essere aggiornati sugli interventi e ricevere il Digest mensile, iscriviti alla mailing forum Assinform. Clicca qui

Ritorna agli articoli della comunità Assinform

 

Copyright © 2005 ASSINFORM - Tutti i diritti riservati