La sicurezza informatica come garanzia di solidità
Riflessioni sull'importanza crescente della sicurezza informatica e sul significato che potrebbe assumere nei prossimi anni.
Ad oggi il 99% delle notizie che leggiamo, scriviamo e ascoltiamo vengono veicolate attraverso canali digitali. Troppo spesso diamo per scontato che l'informazione digitale possa essere consultabile e accessibile in ogni momento; per renderla tale, si rende invece necessario porre in atto una serie di comportamenti e procedure finalizzate al raggiungimento dell'obiettivo.
Cosa succederebbe però a tutte queste informazioni se tali comportamenti venissero bellamente ignorati?
Per provare a spiegarlo, vorrei cominciare raccontandovi un storia accaduta realmente.
Poco tempo fa un amico, che per privacy chiameremo Marco, dovendo stipulare un mutuo per l'acquisto della prima casa, si recò in banca per fare domanda. Marco aveva solo due anni di attività lavorativa autonoma alle spalle, il che lo rendeva, agli occhi della banca, un cliente poco affidabile quanto a capacità di estinguere un eventuale debito. Suo malgrado, dovette quindi chiedere aiuto al padre per avere un garante.
Quest'ultimo, anch'esso titolare di un attività in proprio, gestiva un'azienda di quindici dipendenti; pur avendo una scarsa liquidità bancaria, gli era stato concesso un fido di svariate migliaia di euro (che era stato ampiamente utilizzato). Nonostante questo biglietto da visita, a mio parere non particolarmente positivo, la banca concesse il mutuo a Marco ritenendo adeguata la garanzia fornita dall'attività del padre.
L'azienda in questione si occupava di sviluppo e progettazione di illuminotecnica stradale, in gran parte basata su progetti brevettati. A livello informatico conoscevo bene l'ambiente; l'ufficio era composto da quattro computer non particolarmente recenti (il più nuovo con 6 anni di attività alle spalle). Il backup veniva effettuato solo sul pc fisso del titolare e sporadicamente sulle cartelle più utilizzate degli altri computer, senza alcun apparente senso logico. Oltre a non effettuare il backup quotidianamente, anche le altre misure di sicurezza informatica erano carenti: non risultava infatti installato alcun antivirus o firewall perimetrale.
In una situazione del genere, qualunque minaccia ai dati, perfino la più banale, come una rottura del disco fisso, avrebbe potuto mettere in difficoltà l'azienda, causando il blocco dell'attività col conseguente danno economico, se non addirittura la compromissione o la perdita totale dei progetti in lavorazione. Se pensiamo poi a quanto stiano diventando frequenti gli attacchi informatici alle aziende, la situazione appare in tutta la sua drammaticità.
Probabilmente tali carenze nella sicurezza informatica erano dovute a mera incoscienza, ma perdere i progetti brevettati, gli schemi, i contatti e tutto quel che può consentire la solita routine aziendale, cosa avrebbe comportato per il padre del mio amico?
Riflettevo poi su questo altro aspetto, senza avere una risposta certa: se la banca avesse saputo quanto l'azienda fosse carente dal punto di vista della sicurezza informatica, l'avrebbe ancora considerata una valida garanzia per il mutuo da concedere a Marco?
Se le regole definite dalle banche per accertare la solvibilità di un soggetto fossero riviste, personalmente inserirei tra queste delle misure minime di sicurezza atte a garantire un piano di disaster recovery e di business continuity. Potrebbe addirittura essere stabilito un vero e proprio indice di sicurezza, dando ai soggetti che vi investono di più una maggiore considerazione in termini di solidità.
In fin dei conti, se l'azienda basa la propria attività su dei dati, perché non dovrei sincerarmi che gli stessi siano adeguatamente tutelati?
Se considerate il fatto che quello appena descritto non è certo un caso isolato, appare tutt'altro che remota la possibilità di dare credito a soggetti solidi in apparenza, il cui status è però in balia di un semplice evento fortuito.