Come vincere la guerra agli hacker
«Il campo di battaglia è una prova alla quale nessun piano sopravvive».
In questa mirabile sintesi di Von Clausewitz si riassume tutta la difficoltà del tradurre nel mondo reale quelli che sono principi e regole apparentemente indiscutibili. Recentemente Wall & Street vi hanno fornito alcuni consigli utili per proteggere il vostro pc dagli attacchi hacker. Seguire alcuni principi prudenziali ridurrà notevolmente la possibilità che la vostra privacy possa essere minacciata dai pirati informatici. Tuttavia è necessario anche confrontarsi con la realtà della Rete in un modo totalmente nuovo: seguire pedissequamente percorsi che sono stati sperimentati non esclude la possibilità che il nostro «nemico» virtuale ci sferri un attacco secondo modalità nuove che al momento non possiamo prevedere. Questa è una regola che non vale nel campo dell’informatica, ma soprattutto in quello della strategia militare o del marketing. Ecco perché abbiamo chiesto ad Alessandro Curioni, fondatore di Di.Gi Academy, azienda specializzata nella formazione e nella consulenza nel settore della sicurezza delle informazioni, di fornirci qualche altro suggerimento.
«Il presupposto è la relatività di qualsiasi indicazione o principio e l’impossibilità di passare dalla teoria alla pratica senza un profondo processo di revisione di quanto ci viene offerto da norme, regolamenti, esperienze». Il metodo, spiega Curioni, è assimilabile al piano per la battaglia: deve confrontarsi con la realtà e adattarsi ad essa. La vera difficoltà, quindi, consiste nel fare in modo che il metodo non si infranga, ma si plasmi attorno al nostro contesto, senza turbare il suo equilibrio. Nell’ambito informatico, le regole per la sicurezza vengono solitamente definite con l’anglismo best practices. Si tratta di raccolte di esperienze e di norme internazionali che hanno dimostrato un sensibile livello di efficacia e spesso anche di efficienza (su tutto spiccano gli standard ISO della serie 27001). Queste raccolte di best practices offrono una serie “suggerimenti” sul migliore approccio possibile alla disciplina della sicurezza nel contesto delle informazioni.
«L’avvertenza per il corretto uso di questi parametri standard si riassume in due parole: “adotta e adatta”. Tuttavia, se la leva per evitare che le nostre informazioni e le tecnologie che le gestiscono siano compromesse è costituita dalla paura di sanzioni, si tenderà ad applicare pedissequamente quanto richiesto dalla legge nel modo più semplice e meno costoso. A questo punto addio all’idea di adottare e adattare, che richiede tempo per analizzare, comprendere le necessità e su queste acquisire il consenso della popolazione aziendale, essenziale perché si possa aspirare a un certo grado di sicurezza (a cosa serve mettere in piedi un sistema di accesso governato da username e password se poi gli utenti le scrivono su un post-it che lasciano attaccato alla tastiera?). Un approccio che parte dalla paura porterà il più delle volte a introdurre regole che nessuno capisce, quindi non condivise, a spendere dei soldi male, pochi o tanti, a essere conformi alle regole, in teoria ma non in pratica perché quando si parla di sicurezza, in qualsiasi contesto, sono le persone e i loro comportamenti che fanno la differenza». La guerra contro la pirateria informatica, pertanto, sarà difficile da vincere se il risultato dell’esperienza viene codificato secondo normative e leggi che non lasciano margini di manovra. Nei «buchi» della legge l’hacker si infiltrerà indisturbato, mentre ciò che serve veramente è l’atteggiamento vigile di chi sa che la propria sicurezza informatica è costantemente esposta a un attacco.
Wall & Street