Sicurezza, ma anche comunicazione, comprensione della tecnologia e possibili trends nel mondo corporate e nelle organizzazioni internazionali
Laurent Chrzanovski: In quanto specialista della sicurezza a 360° che ha lavorato e lavora sia per grandi gruppi multinazionali sia per organizzazioni internazionali, come può descriverci l’ambiente di sicurezza che vi regna? Come spiega, ad esempio, la nostra comune ”risatina” quando recentemente, al giorno del smartphone-pay, delle NFC, non siamo riusciti a pagare i nostri caffè al bar di una grande Istituzione specializzata dell’ONU Ginevra se non frugandoci le tasche per trovare franchi svizzeri in contanti mentre la stessa Istituzione usa esclusivamente il net per le gare d’appalto, i concorsi per i posti di lavoro, etc.? Per Lei, è’ un gigantesco ”bazar” che bisognerà prima o poi ricominciare da zero oppure ci sono ancora possibilità di armonizzare sistemi e garantirne una sicurezza di qualità?
Luca Tenzi: Ritengo che bisogna dividere i problemi. All’interno di ogni azienda, ormai, ci sono diversi players, ognuno con la propria concezione della tecnologia e della sicurezza. Tutti vanno dal CTO o il CIO per chiedere e far validare l’acquisto dei prodotti di cui avrebbero bisogno. Sono queste le figure che ormai dovrebbero coordinare, vedere le sincronie dei progetti principali e mettere in azione un piano di sviluppo.
Purtroppo, in molte aziende, piccole, medie o grandi, questo non avviene, perché la domanda viene dal business o da una facility e nella facility, come ad esempio la necessità di un POS/NFC per la caffetteria. Ora, questa facility non comunica né con le risorse umane, né con il CIO.
La grande sfida è di coordinare meglio i progetti tecnologici, un’azione che purtroppo non sta avvenendo. Bisogna cominciare a parlare di tutti i progetti, assolutamente tutti, come ”progetti tecnologici” che dovrebbero quindi essere trattati come tali, sotto una piattaforma unica di gestione. Non esistendo ad oggi una tale struttura, c’è una cacofonia dei mezzi tecnologici nel seno della stessa azienda o organizzazione.
Se non iniziamo, con il coordinamento di questo ”ufficio di gestione”, a fare ”cantare” il coro tecnologico dei diversi servizi e bisogni allo stesso diapason, continueremo ad avere questa cacofonia, vettore evidentemente di problemi di sicurezza.
Laurent Chrzanovski: Sulle disfunzionalità dell’ultra-coordinamento troviamo invece, tipicamente, i siti degli enti pubblici (ad esempio il portale unico della Confederazione svizzera o quello del cantone di Ginevra) che sono stati voluti omogenei e non permettono a nessuna struttura (ministeri, unità) di sviluppare nemmeno a livello di identità grafica il proprio contenuto… Come evolveranno questi portali di stato verso una gestione unica?
Luca Tenzi: E’ un esempio classico di siti, ideati quando dietro al portale web c’era, come in una piccola rivista, una coperta (la homepage) e qualche pagina (le pagine web). Ormai, nel web 3.0 e 4.0, questo non sarà più possibile. La digital portability esige pagine dinamiche adattative.
Ad esempio, ho assistito ieri allo smarrimento di una cassiera di una grande libreria di Ginevra, di fronte ad un cliente che voleva pagare con lo smartphone. Questa tecnica, adottata dalla libreria, non era stata ben spiegata al personale ed il cliente ha dovuto aiutare la cassiera a svolgere l’operazione.
Questo fa ben vedere che i portali devono essere integrati; non comunicano più solo la corporate identity ed il messaggio che l’azienda o l’ente vuole fare passare ma ricevono messaggi: devono essere connessi ai social media, ad esempio.
Un ente o una multinazionale che non ha profili social media profilati in maniera giusta, oramai è come se non comunicasse. Ancora una vota, come per la libreria, il privato da il tono. Il miglior esempio recente è l’ultimo single di Adele, ”Hello”, che è ufficialmente uscito due settimane dopo essere stato reso disponibile su YouTube. E’ diventato subito una hit, anche perché rinviava come un ”joke” ad una vecchia melodia di Lionel Richie. Il risultato è che quando il pezzo è andato in onda sulle radio e televisioni, è diventato subito numero uno senza che un centesimo di pubblicità aggiuntiva o campagna promozionale sia stato fatto dalla star o dalla casa discografica.
Le aziende devono diventare molto dinamiche, specialmente con le giovani generazioni, che sono nate col multimedia. La difficoltà è che il top management, delle istituzioni e aziende, deve fare un salto enorme e non ne hanno coscienza. Non ho potuto trattenere un sorriso quando, l’altro giorno, all’eccesso opposto ho visto l’MI5 che cercava proprio sulle reti social i profili di professionisti per migliorare la sua dinamica di comunicazione e ricezione verso e dal cittadino. È uno degli estremi che mostra a che punto convivono pacificamente quelli che rimangono al web 1.0 e quelli che, quasi esageratamente, vorrebbero velocemente fare un salto quantico.
Laurent Chrzanovski: Ed in termini di security? Verso che tendenze ci orientiamo? Uno spaccamento definitivo tra la parte di visibilità e di dialogo e quella di lavoro oppure altro?
Luca Tenzi: Si andrà verso delle pagine uniche. Un ”cosmo” di soluzioni. Ad esempio, presso molti Enti internazionali e aziende moderne, è possibile già sottoporre una candidatura di lavoro tramite il proprio profilo pubblico di Linkedin. Ma il problema subentra poi, durante la fase di trattamento della candidatura quando il candidato viene assunto, con l’obbligo per il datore di lavoro di trattare questi miei dati personali come confidenziali, trasferendoli in un altro database. E’ esattamente quello che succede con le gare d’appalto.
Nei prossimi anni, ineluttabilmente, si dovrà a tutti i livelli fare pulizia e separare bene i quattro assi fondamentali: pubblico, privato, professionale e divertimento. Questi saranno i vettori fondamentali per costruire il web 4.0. In questo senso, oggi assistiamo ancora ad una confusione totale dei generi; ad esempio mi fa sempre sorridere quando vedo nella pubblicità di una marca di pasta o di frutta ”seguiteci su Facebook”: sono ovviamente imperativi commerciali delle ditte, per mandare delle offerte, ma capiti male perché non vedo il senso di fare sapere a tutti che oggi ho mangiato una banana di tale marca dopo gli spaghetti della ditta tal dei tali.
Nel futuro, le stesse società capiranno che questo tipo di link non è più necessario. Parimenti, non credo che in certe organizzazioni la mentalità sia già pronta per questo salto e ci dovremo aspettare un salto generazionale nell’area dirigente per osservarlo.
Leggevo in un libro di management che nel 2020 avremo 4 generazioni completamente diverse che collaboreranno negli stessi ambienti di lavoro, per cui l’arrivo degli ”indigeni del web” farà fare un grosso salto qualitativo sulle piattaforme. In più, tutto quello che è quality data (e non big data) farà si che ci saranno sempre più scenari previsibili e quindi una facilitazione per trovare le giuste soluzioni tecnologiche.
Laurent Chrzanovski: Ho l’impressione, condivisa da tanti esperti, che c’è ormai un fossato sempre più grande tra chi si occupa o interessa di security e la massa dei cittadini, che non ha ricevuto la minima educazione sull’uso delle tecnologie, inclusi i responsabili IT che non hanno avuto una cultura di security. Non andiamo da qualche parte ”nel muro” tra esplosione di nuove tecnologie ogni giorno e (quasi) inesistenza di un minimo awareness?
Luca Tenzi: Credo che la contraddizione del business model attuale verrà sempre più soggetta a contestazione. Oggi ancora, dei giovani talentati possono adunare centinaia di migliaia e talvolta milioni di dollari tramite il crowdfunding per elaborare una app, e nel giro di 2 anni hanno una società che può interessare una grande multinazionale.
C’è una sovrapproduzione di applicazioni e sono sicuro che andiamo verso una saturazione di queste apps. La tecnologia ci obbliga a fare abbonamenti dappertutto, attivare la geo-localizzazione per avere le ”notizie” in modo tempestivo etc. Si va verso una saturazione del pubblico e tra non molto vedremo una divisione netta tra chi è visibile e chi, invece, deciderà di ”non esistere” sul web oppure giocherà sul numero di profili, alias, indirizzi. Le società inizieranno a riflettere, e a rifiutare nuovi prodotti col semplice ragionamento di ”ma questo non ne ho bisogno, ho vissuto benissimo senza”.
Laurent Chrzanovski: La sicurezza degli IoT sembra sfuggire ad una stragrande maggioranza di direttori di ditte e di governanti, e pure negli stati asiatici come Taiwan o Singapore, dove i consumatori hanno cominciato a scartare IoT che non portavano più valuta alla loro vita, essi non l’hanno fatto per motivi di sicurezza. Come spiegare questa ”beata incoscienza”?
Luca Tenzi: L’incoerenza delle conoscenze sulla sicurezza è enorme, e l’asimmetricità tra miglioramento tecnologico e numero di minacce aggiuntive diviene gigantesca. Ogni volta che si sviluppa un’applicazione che non fa che un qualcosa in più di quella precedente, questo qualcosina in più moltiplica esponenzialmente il numero dei rischi aggiuntivi. Negli IoT vediamo, in Asia, un push-back.
Certi sviluppi sono di nicchia e prettamente inutili, se non nell’ottica del consumerismo ad oltranza; leggevo di un’app sviluppata per una ditta che produce sci per sportivi, e che permette di leggere la temperatura della neve, la direzione delle curve della pista. Come ottimo sciatore, posso dire che questa applicazione mi sembra assolutamente superflua.
Il problema delle applicazioni e della spinta commerciale fa sì che molti giovani si lanciano nello sviluppo di tecnologie che non integrano in nessun modo un minimo di sicurezza perché non sono capite da questi giovani. Se guardiamo le numerose applicazioni che permettono di vedere che ristoranti ci sono, o che cinema, dove mi trovo, si vede bene che chi le ha ideate non aveva idea che queste sarebbero state usate non per la loro utilità dal consumatore, ma come una vera e propria spia per raccogliere sempre più dati su di lui, volutamente o tramite malware.
Gli attacchi sulle automobili spente e chiuse fanno ben vedere che l’aggiunta di tecnologie ha solo portato ad un’insicurezza maggiore.
Un dubbio atavico dell’uso delle nuove applicazioni è quello della sicurezza. Recentemente, in un congresso internazionale, uno dei massimi esperti di IoT paragonava i prodotti sul mercato con un’auto che noi compreremmo accettando che le portiere posteriori verranno montate tra due mesi, con la versione 2.1, le ruote tra sei mesi con la versione 2.4, il freno verrà tra un anno con la versione 2.6, e così via, ovvero che accettiamo dei prodotti non finiti nell’ambito della tecnologia nello stesso tempo che non accetteremo mai questo tipo di rischi nei nostri acquisti fisici.
Laurent Chrzanovski: Se osserviamo la Svizzera e i paesi vicini, e se studiamo i codici, gli obblighi e le misure di evacuazioni in caso di incendio, nonché i vari tipi di estintori obbligatori, vediamo che essi sono stati spesso aggiornati negli anni. Nello stesso tempo, non si è vista ancora la minima proposta, anche minimalista, di regolazione sulla sicurezza IT degli uffici. Come mai?
Luca Tenzi: Innanzitutto le ICT sono effimere. A differenza dell’estintore che è un’oggetto fisico, omologato, per delle condizioni estreme (incendio) che si producono in luoghi che non sono poi tanto cambiati col tempo, un ”estintore” ICT valido oggi non lo sarebbe già più domani.
Il secondo punto di questa mancanza di regolamenti risiede nell’internazionalità dei vari prodotti, servizi, software ed applicazioni utilizzati, facendo in modo che un regolamento nazionale non avrebbe successo. Anche se sono svizzero, lavoro in Svizzera per una firma svizzera, ma uso regolamentare un hosting e dei siti, per non parlare dei codici fonte, che sono ”domiciliati” altrove.
Ci sono invece grandi attività da parte di organizzazioni internazionali e ditte di peso per tentare di allinearsi su di un minimo di sicurezza, ma si torna troppo spesso alla mancanza di una visione chiara e comunemente accettata di che cosa entra o meno nel mondo ”cyber”. Nell’ambito ancora più piccolo della sicurezza, non c’è ad esempio una linea chiara di divisione tra le azioni di attacco e gli errori. La difficoltà comunicativa quindi viene a rafforzare i paesi che possiedono tecnologie e che hanno una volontà geopolitica non solo di controllarli ma anche di espanderne l’uso.
Laurent Chrzanovski: Proprio su questo, si sentono sempre più voci nell’Unione europea che vorrebbero imitare il sistema americano, con uno stato presente per aiutare le ditte e la società a livello di raccomandazioni ma con la responsabilità reale in caso di danni lasciata alla vittima ed all’assicurazione. Come europeo, cioè vivendo in sistemi dove il cittadino accetta di pagare un certo numero di tasse ed imposte per far si che lo stato lo tuteli, questa tendenza non la preoccupa?
Luca Tenzi: E’ il trend. In Svizzera un tale sistema non farebbe dibattere perché siamo abituati a pagare assicurazioni private su tutto, sentivo proprio l’altro giorno che dovremo pure pagare una nuova polizza per coprire eventuali danni a terzi imputabili ai nostri animali domestici…
Però, a parte questa battuta, la volontà di passare ad un sistema assicurativo senza altri attori nel mondo della cyber-security è molto pericoloso. In primis, un danno ”cyber”non ha limiti nel tempo (immagine, perdita di dati, etc.) e quindi non può essere valutato in termini di costi reali e nemmeno realistici dopo un attacco.
Poi, rischiamo di ritrovarci, ed è lì che subentra la componente europea, con delle assicurazioni che rifiuteranno il rischio se un’incidente avviene od è legato agli Stati Uniti d’America, dove le multe sono esorbitanti e non ci sono limiti per i danni morali. Basti guardare le clausole delle assicurazioni malattia svizzere: siamo coperti dovunque nel mondo tranne negli Stati Uniti, dov’è fissato un massimo quantificato di rimborso.
Con un po’ di fortuna geopolitica, si arriverà a un consenso almeno europeo, speriamo globale ad minima però con dei criteri omogenei di che cosa deve fare una ditta, in materia di sicurezza, per beneficiare di questa copertura. Ma siamo ben lontani, ragion parlando, da questo momento.
Autore: Laurent Chrzanovski
Luca Tenzi
Biografia
Vice president CLUSIS Svizzera - esperto di sicurezza aziendale con quasi 20 anni di esperienza in aziende quotate in borsa – ha condotto operazioni di sicurezza in ambienti diversi. La sua esperienza si estende su più settori, tra cui, manifatturiero, farmaceutico, tecnologie dell’informazione e della comunicazione, istituti finanziari tutte aziende Fortune 100 e 500. Completata da esperienze in agenzie specializzate delle Nazioni Unite, tra cui l’agenzia leader delle tecnologie dell’informazione e della comunicazione. Forte sostenitore per la convergenza della sicurezza fisica e sicurezza ICT. Innovativo pensatore strategico, con una comprovata esperienza di cooperazione, attualmente si occupata di progetti di convergenza e integrazione tecnologica. Ha pubblicato articoli in materia di sicurezza fisica, organizzazione e ICT, ed è stato invitato a presentare osservazioni in riviste di settore o di geopolitica e seminari internazionali presentando i rischi emergenti o latenti per la sicurezza delle attività di business esponendo le nuove minacce asimmetriche. Ha conseguito un Post Graduate in gestione della sicurezza e le emergenze presso l’Università Bocconi, un Master in Criminalità e gestione del rischio alla Leicester University, e un DAS in gestione dei Rischi Aziendali presso l’HEG-SO (Geneve). Presente come lectuer in diverse scuole specialistiche tra cui HEG-SO Ginevra.