Premetto che in questo pezzo vorrei far cadere qualche tabù, temi che tutti conosciamo bene ma che talvolta causano un po’ di imbarazzo. Mettiamolo da parte e guardiamoci serenamente in faccia… siamo tra professionisti.
Parte della mia ricerca in relazione allo studio delle tecniche di attacco è focalizzata sulla “percezione di sé”, ovvero come ognuno di noi interpreta la propria realtà. Quando osserviamo il nostro contesto abbiamo una percezione parziale di ciò che esiste dettata da molteplici aspetti: la nostra capacità di osservazione, il nostro grado di conoscenza del contesto, le nostre competenze… ma anche le nostre abitudini, la nostra esperienza, la nostra scala di valori. Analizzarsi è complesso e, pur non essendo impossibile, è estremamente inefficiente. Diventa più sensato, ritengo quasi in tutti i casi, sfruttare un punto di vista terzo e possibilmente non interessato, indipendente, agnostico. Su questo assunto ho basato parte del mio approccio in tema di gestione della sicurezza cyber delle organizzazioni.
Il punto di vista dell’organizzazione (del team IT di solito, ma in generale di chi ha ruoli di responsabilità) da solo non basta: è limitato a ciò che si conosce di sé e difficilmente è oggettivo, o quanto meno al sottoscritto non è ancora capitato di leggere un’analisi auto-prodotta oggettiva negli ultimi 20 anni.
Il punto di vista di chi vende, implementa e gestisce soluzioni (indispensabili, non lo dirò mai abbastanza) non è sufficiente a superare il traguardo dell’obiettività in quanto esiste un interesse specifico, soprattutto da parte dei vendor che producono soluzioni tecnologiche, di vendere la propria tecnologia.
Nota sui vendor: non me ne vogliate, fate cose meravigliose e ogni giorno che passa non mancano novità strabilianti, ma è un dato di fatto che ognuno porta la propria bandiera a prescindere da tutto… non ho mai visto un vendor non dire “la mia soluzione è quella migliore”. Non è una critica, è un dato di fatto, teniamolo in considerazione.
L’elemento terzo, indipendente e non legato ad interessi specifici, diventa necessario per portare un punto di vista disinteressato, o meglio, interessato ad un miglioramento della postura dell’organizzazione in tema di sicurezza cyber, a prescindere dal logo delle soluzioni che l’azienda vorrà adottare e dalla posizione dei team interni. L’obiettivo è migliorare e transita necessariamente per un cambiamento, fattore che tende a spaventare molto.
Dobbiamo scrollarci di dosso un po’ di paura. Dobbiamo voler cambiare. A chi leggerà queste quattro righe chiedo di fare una riflessione e, per chi lo vorrà, si potrebbe anche organizzare una chiacchierata tra attori interessati al tema.
Rocco Sicilia 