Milano – Quali sono i problemi di sicurezza informatica che si trovano ad affrontare le piccole e medie imprese in Italia? Che tipo di investimenti tecnologici e di formazione sono convenienti per ridurre il rischio di rimanere vittime di attacchi informatici?
E’ veramente difficile dare una risposta a questi due quesiti poiché la letteratura scientifica e il mercato della sicurezza informatica si sono finora concentrati sui problemi delle grandi aziende o, in alternativa, su quelli degli utilizzatori finali.
Gli studi e le statistiche sui crimini informatici che colpiscono le aziende sono quasi tutti di provenienza statunitense e si basano su campioni composti essenzialmente da multinazionali o da enti pubblici con migliaia di dipendenti, e di conseguenza analizzano e descrivono uno scenario decisamente lontano da quello che riguarda le piccole e medie imprese italiane.
Capita quindi di leggere che tra i principali problemi di sicurezza vi siano lo spionaggio industriale o la frode finanziaria telematica.
Quando invece si ascoltano le preoccupazioni e le disavventure informatiche dei piccoli e medi imprenditori italiani si realizza che i principali timori sono legati all’interruzione dell’operatività del sistema informatico a causa di virus o di intrusioni (che talvolta bloccano completamente l’attività aziendale), al rischio di vandalismi sul proprio sito web, alla scarsa protezione dei dati fiscali-contabili, al rischio di incorrere nelle sanzioni penali previste dalla legge per la mancata adozione delle misure minime di sicurezza, all’utilizzo abusivo delle risorse informatiche da parte dei dipendenti (è dimostrato che quasi il 60% del tempo dedicato all’utilizzo del web in orario di lavoro è spesso utilizzato per fini esclusivamente personali).
I rimedi che vengono proposti sulla base di questi scenari completamente estranei alla realtà italiana, prevedono o delle soluzioni molto costose che possono essere acquistate solo da pochissime aziende oppure soluzioni che si limitano alla sicurezza informatica dell’utilizzatore finale, tipicamente dell’utente domestico collegato ad Internet.
Questa situazione è ben rappresentata dall’offerta esistente di firewall, ossia di quegli apparati che hanno la funzione di proteggere la rete aziendale da intrusioni informatiche: da una parte troviamo una categoria di firewall per uso aziendale di fascia medio alta che richiedono investimenti minimi di diverse decine di migliaia di euro, dall’altra incontriamo dei firewall per utilizzo personale che sono basati solamente su software e che si possono acquistare con poche decine di euro.
Nel caso l’azienda decidesse di acquistare un firewall di fascia medio alta, non solo dovrebbe sacrificare gran parte del suo budget per il sistema informatico ma sarebbe costretta poi a gestire una macchina estremamente complessa che richiede una continua manutenzione e aggiornamento.
Nel caso contrario in cui l’azienda si affidasse a prodotti per uso domestico sarebbero purtroppo gli stessi hacker a dimostrare rapidamente l’inadeguatezza della scelta.
Quali consigli dare quindi all’imprenditore italiano che ha bisogno di proteggere il proprio sistema senza sacrificare l’intero budget per l’informatica e senza dotarsi di tecnologie troppo complesse da gestire?
La risposta innanzitutto è di affidarsi ad aziende che non vendono semplicemente dei prodotti, spesso molto costosi e difficili da amministrare, ma di trovare dei partner in grado di fornire soluzioni al problema sicurezza.
Questi sono di solito in grado di offrire i cosiddetti security managed services, ossia dei servizi di protezione della sicurezza informatica gestiti in outsourcing che consentono un livello molto elevato di sicurezza senza comportare degli investimenti iniziali insostenibili e soprattutto senza dover affrontare ulteriori costi di aggiornamento e di manutenzione.
Nel caso di un servizio di firewall in outsourcing, ad esempio, a fronte di un canone di servizio, la piccola o media azienda potrà dotarsi di un apparato di protezione all’avanguardia, con personale qualificato esterno che da remoto provvederà alla configurazione, all’aggiornamento e al controllo delle anomalie del traffico.
Un altro suggerimento che può rendere meno onerosi gli investimenti in sicurezza è di orientarsi, ove possibile, verso soluzioni che con un altro neologismo inglese vengono chiamate added value security services, ossia dei servizi di sicurezza informatica che, assieme alla protezione, offrono dei servizi aggiuntivi in grado di creare valore per l’azienda.
Ritornando sempre all’esempio del firewall, un added value security service si otterrebbe se il servizio di firewall consentisse allo stesso tempo di creare anche una rete aziendale virtuale protetta (VPN) tra le diverse sedi aziendali. Questa soluzione permetterebbe, a fronte di una maggiore sicurezza, di sfruttare la rete virtuale per ridurre, ad esempio, i costi telefonici o ancora per condividere uno stesso gestionale tra le diverse sedi.
Incremento della sicurezza e allo stesso tempo riduzione dei costi in questo modo diventerebbero un obiettivo raggiungibile.
C’è da stare sicuri che proprio le soluzioni di questa natura troveranno i favori dell’imprenditore italiano, da sempre maestro in concretezza e abile nel trasformare rischi imprenditoriali in valore per l’azienda.
Alessandro Scartezzini
Data Security
Ti potrebbe interessare
6 mar 2002