Sicurezza, il controllore imbroglia

Procedure approssimate, verifiche superficiali, risoluzioni di problemi rimandate. Non sempre i responsabili della sicurezza sono ligi al proprio dovere. Ma la colpa, spiegano, è sovente del datore di lavoro

Roma – Il dubbio avanzato dal poeta latino Giovenale “Quis custodiet ipsos custodes?”, ovvero “Chi controlla i controllori?”, e rinverdito di recente dal fumetto Watchmen di Alan Moore, trova piena attualità in uno studio diffuso da Tufin Technologies , azienda specializzata in sicurezza IT e intitolato appropriatamente “Reality Bytes”.

Il campione preso in esame è significativo, 151 professionisti tra i presenti alla conferenza InfoSecurity Europe 2009 di Londra, molti dei quali responsabili della sicurezza di multinazionali e agenzie governative comprese nella fascia dai mille agli oltre cinquemila dipendenti. Lo scopo della ricerca era di rilevare quali procedure fossero messe in atto nel garantire la sicurezza delle aziende loro affidate. In barba alle premesse, il loro comportamento si è rivelato ben poco deontologico: il 20% degli interpellati ha ammesso di imbrogliare di fronte alle verifiche o di conoscere qualcuno che lo fa, i problemi non vengono solo aggirati ma rimandati o dilazionati. Di contro a un 70% che esamina i firewall in pochi giorni c’è un disarmante 22% che impiega settimane quando non mesi per lo stesso compito, e un 39% che durante la finale di campionato rimanderebbe la risoluzione di un problema a dopo il triplice fischio dell’arbitro!

A questo punto la sfida si fa duplice, da un lato assicurarsi che l’autocertificazione non diventi una palestra di menzogne sia per chi la redige che per chi dovrebbe esserne tutelato, dall’altro che i revisori non prendano per oro colato le relazioni consegnate dai responsabili IT: un bravo amministratore è capace di produrre documenti falsi molto convincenti, e costui non farebbe altro che rispondere alle richieste pressanti di scenari rassicuranti per quanto non corrispondenti a realtà, almeno secondo Andy Bokor COO di Trustwave . Steven Fox della SecureLexicon invita ad adottare lo scetticismo come strumento professionale citando passi da “L’Arte della Guerra” di Sun Tzu, implicando così la necessità di un clima di diffidenza tra le parti coinvolte, Kevin Nixon di ISR, in risposta, arriva ad essere ancora più pessimista: ribaltando le percentuali sostiene che l’onestà tra questi soggetti sia l’eccezione e non la regola.

Ruvi Kitov, CEO della summenzionata Tufin, ha paragonato il mentire in queste ispezioni al “guidare senza cinture” e ritiene che i casi di imbrogli siano molto maggiori di quelli ammessi: alcuni passaggi del protocollo di sicurezza vengono saltati ma dichiarati come compiuti solo per sbrigarsi e accorciare i tempi. Sempre secondo Kitov non è però tutta colpa dei sysadmin: spesso sono i tagli nei turni e nel budget a disposizione a impedire di adempiere a tutti gli obblighi necessari, come indica il 48% degli intervistati nel questionario.

Fabrizio Bartoloni

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • robinson scrive:
    poveri illusi......
    Riformare la PA digitalizzandola??Ma dove??Ma quando??Nella PA la digitalizzazione significherebbe dover poi lavorare...e credetemi nemmeno se lo vedo ci credo!!!Ho avuto a che fare con le PA di Cs di Rm e di MC...beh signori miei è una cosa pazzesca che cosa si inventano pur di NON lavorare....A CS per es. dovevo starci 5 giorni per aggiornare la LAN del comune...quindi dal lun al ven.L'orario era dalle 8.30 alle 12.30 e dalle 14 alle 16.30.beh che ci crediate o no gli impiegati che dovevo istruire si presentano alle 10...alle 10.30...stavano lì una mezzora poi pausa caffe.tornavano belli belli alle 12 ed alle 12.30 se ne andavano a mangirare.Il pomeriggio di 6 che dovevano essere non si vedeva MAI e dico MAi nessuno.Il mercoledi si sono presentati e mi hanno firmato il foglio per i 2 giorni restanti...praticamente il loro corso finiva mercoledi anche se era stato pagato fino a venerdi.Alle 14 di mercoledi ripresi il volo per Rm e amen.Poi se sapevano usare la LAN ed i pc che avevano preso non l'ho saputo MAI.A Rm stessa solfa...5 giorni corso ma ne hanno fatti solo 2.Anche lì orari come minimo alle 10 nonostante il corso partisse alle 8.30.Anche lì stessa cosa...mercoledì un bell'arrivederci e grazie e se poi non sapevano un tubo poco gliene importava.A MC si è sfiorato il ridicolo...Siccome lì avevano udite udite!! un capo che controllava se facevano il corso e come lo facevano si sono inventati un bel trucchetto.Carta stagnola nella rpesa ETHERNET e PC fuori uso...Alèèèèèè....così tra chiamare il tecnico e rimettere su la LAN praticamente hanno fatto anche lì poco e nulla.naturalmente quando veniva il tecnico la LAN ripartiva miracolosamente perchè 10 minuti prima che arrivasse lui la stagnola veniva magicamente rimossa!!!Eppure signori queste PA avevano preso tutte dei pc abbastanza buoni...avevano messo LAN e switch...il tutto spendendo diversi soldini.Eppure per la rpeparazione la voglia di fare che avevano sarebbe bastato un commodore...credetemi!!Questo è lo squallido spettacolo che mi ha offerto la PA...eppure i soldi dei pc delle lan degli switch erano soldi levati a noi..dalle ns. buste paga!!!
    • z f k scrive:
      Re: poveri illusi......
      - Scritto da: robinson
      MC...beh signori miei è una cosa pazzesca che
      cosa si inventano pur di NON
      lavorare....[snippone]*sigh*Mi spiace leggere queste cose, perche' so che se non sono vere sono certamente verosimili.La mia esperienza non e' cosi' radicalmente negativa, il massimo a cui ho assistito e' la timbratura differita (pausa pranzo? si timbra l'uscita, si resta dentro , mezzora dopo si timbra il rientro e si esce ; si rientra con... comodo) e qualche caso di "scorciatoia" o "facilitazione" burocratica dietro compenso (es. timbri apposti da chi non ne aveva titolo et similia).Questi ultimi casi, come credete che siano andati a finire? Qualcuno ha detto "licenziamento"?? HAHAHAha virgola HA! Povero illuso.Di solito si arriva al trasferimento in altra sede.C'e' cmq tanta brava gente, volenterosi che fanno piu' di quanto dovrebbero; ma in un clima del genere, capite bene quanto entusiasmo ci voglia per non perdere ogni voglia di fare.Senza contare che gli incentivi vengono distribuiti a pioggia, ripartiti a seconda del livello, mentre tutto il resto, premi, punteggi, carriera, segue logiche di anzianita' o altro, tutto tranne un qualunque metro meritocratico.That's PA for you.E' un mondo malaaaaato...CYA
      • Lcua Bari scrive:
        Re: poveri illusi......
        Lavoro nella p.a. più digitalizzata (o quanto meno tra le più digitalizzate) d'Italia ovvero l'Inail e ti posso assicurare che se non avessimo a disposizione il protocollo informatico (ogni documento cartaceo viene scannerizzato e poi lavorato digitalmente in procedura) non avremmo raggiunto il grado di eccellenza riconosciuto dallo stesso Brunetta. Se poi un o non ha voglia di lavorare è un altro paio di maniche
    • MegaJock scrive:
      Re: poveri illusi......
      Dovevi usare l'approccio corretto.[yt]-TAGNCEHM6g[/yt]
  • Danilo Cocco scrive:
    Re: aut aut?
    Ahimé, non volevo scendere nei particolari, ma sono daccordo: le diverse forme (tradizionale, online, progetto "reti amiche" e quant'altro la fantasia può suggerire) sono e saranno complementari finché i vari ostacoli (digital divide, ma anche basso tasso di diffusione della banda larga presso le famiglie italiane, basso tasso di alfabetizzazione e, last but not least, costo degli strumenti insostenibile per chi, ad esempio da precario, deve già fare i salti mortali per arrivare alla fine del mese) ad una fruizione dei servizi online non sarà in gran parte rimossa. Ma non bisogna pensare ai fruitori dei servizi soltanto in termini di persone fisiche: ci sono anche le persone giuridiche, e in questo settore gli ostacoli sono già molti di meno. Resta comunque il fatto che il periodo quotato è proprio pessimo...
  • z f k scrive:
    aut aut?
    la sanzione potrebbe anche consistere nel divieto di erogare al cittadino su canali tradizionali servizi che sono già disponibili in via digitale In una realta' "digital divisa" come quella italiana? Metteranno delle postazioni (totem/chioschi) a mo' di bancomat nei Municipi? Cosi' la coda la spostiamo di qualche metro e liberiamo una risorsa (impiegato) che potra' occuparsi d'altro, lasciando una larga fetta di popolazione over-anta in preda all'ansia mentre si dibatte sperduta nell'intricatezza delle varie normative (lasciapassare A38, anyone? www.youtube.com/watch?v=gSUrtIcuAhs all'ennesima potenza)? CYA
    • Funz scrive:
      Re: aut aut?
      - Scritto da: z f k
      la sanzione potrebbe anche consistere nel
      divieto di erogare al cittadino su canali
      tradizionali servizi che sono già disponibili in
      via
      digitale

      In una realta' "digital divisa" come quella
      italiana? Metteranno delle postazioni
      (totem/chioschi) a mo' di bancomat nei Municipi?Basterebbe avere biblioteche con postazioni collegate a internet, che spesso ci sono già, informazione della gente e un po' di di formazione del personale. Niente di impossibile, in un Paese serio...
      Cosi' la coda la spostiamo di qualche metro e
      liberiamo una risorsa (impiegato) che potra'
      occuparsi d'altro, lasciando una larga fetta di
      popolazione over-anta in preda all'ansia mentre
      si dibatte sperduta nell'intricatezza delle varie
      normative (lasciapassare A38, anyone?
      www.youtube.com/watch?v=gSUrtIcuAhs all'ennesima
      potenza)?Ecco, quando vai su un sito della PA per qualsiasi ragione ti perdi in una babele di link. Ci vorrebbe un'interfaccia semplice e uniforme, che indirizzi la gente al servizio voluto in maniera efficace... questo mi sembra già molto più difficilee.
  • Danilo Cocco scrive:
    la giusta leva
    Personalmente, e dopo diversi anni di esperienza condotta sia in ambito privato che pubblico, credo che le presunte "sanzionabilità" dei comportamenti (o delle omissioni) siano di fatto, in un paese come il nostro ma non solo, risibili. Il problema andrebbe affrontato, secondo me, sotto un duplice aspetto: da un lato (con la consapevolezza dell'incertezza della pena) prevedere misure sanzionatorie e responsabilità personali per danni allo stato laddove si verifichino comportamenti e/o omissioni che causino un effettivo danno (ed è facile, ad esempio, dimostrare che si arrechi un danno allo Stato o ad una Amministrazione laddove non si operi per abbassare il TCO, non si implementino standard quali ITIL e via discorrendo), da un altro legare una cospicua parte della retribuzione dei dirigenti al raggiungimento di obiettivi legati alla riduzione dei fattori di rischio, alla erogazione di servizi in modalità alternative a quelle tradizionali di "sportello", alla partecipazione a corsi di formazione e specializzazione organizzati e tenuti ad hoc dal Formez o dalla Scuola Superiore della PA, alla partecipazione ed alla promozione di iniziative di riuso e/o collaborazione a progetti speciali nazionali, regionali o locali che stimolino la cooperazione tra PPAA diverse per l'interoperabilità e la fornitura di servizi alternativi o in forma alternativa.E quando dico "cospicua" intendo davvero una parte rilevante, almeno il 60 per cento. Demandando poi la valutazione dei risultati ad un organismo terzo e non intrinseco alle varie amministrazioni... insomma, se il legislatore volesse, i passi avanti si farebbero; del resto, in periodi di crisi come questi, si sa che la necessità aguzza l'ingegno.
Chiudi i commenti