La sempre maggiore integrazione dei sistemi e dei processi fornisce alle aziende grandi opportunità di incrementare la loro competitività. Allo stesso tempo, questo crea anche nuove minacce per la sicurezza dei dati. Per rispondere in modo adeguato, devono essere previste ed estese protezioni a difesa delle minacce informatiche, che comprende sia internet che altre reti locali o propietarie, come pure deve includere tutte le moderne tecnologie di informazione e comunicazione. Ma come si può ottenere questo risultato?
L'esperienza passata dimostra che soprattutto i protocolli proprietari, specifici dei produttori, sono particolarmente vulnerabili agli attacchi informatici. Il motivo di ciò sta nel fatto che su questi protocolli lavora un gruppo di persone relativamente piccolo, a differenza dei protocolli standard. Per ottenere una maggiore sicurezza contro l'avanzare di attacchi alla rete, questi si dovrebbero implementare nei prodotti, fin dall'origine, protocolli standard liberamente accessibili, come RFC (request for comments), per esempio. Questi protocolli, infatti, sono stati progettati e sviluppati da molti esperti fin dalla nascita con lo scopo di salvaguardare le reti e la sicurezza. Essi offrono quindi la migliore sicurezza possibile, a tutto vantaggio degli apparati e, conseguentemente, delle aziende, delle reti di comunicazione e dei processi.
Inoltre, le aziende dovrebbero parlare apertamente dei problemi che si presentano nell'area della sicurezza informatica. Naturalmente, soprattutto all'inizio, è necessaria una certa discrezione, informando i partner ed i clienti che non dovrebbero essere tenuti all'oscuro. Ma, allo stesso tempo, questo periodo di discrezione deve essere utilizzato per realizzare patch per rimediare alle vulnerabilità della sicurezza. Inoltre, dovrebbe essere preparata un'adeguata comunicazione verso l'esterno, in coordinamento con tutte le parti interessate. Infine, una vulnerabilità dovrebbe essere annunciata, coordinata e accompagnata da una patch di sicurezza risolutiva.
La politica dello struzzo conduce a un vicolo cieco
Questo approccio crea difficoltà a molte aziende, specialmente nel settore industriale. La ragione di ciò può attribuirsi al fatto che il problema della sicurezza informatica non è comparso per molto tempo, e quindi la loro capacità di controllare i problemi di sicurezza informatica è spesso insufficiente o del tutto assente. Hanno messo la testa sotto la sabbia, come si dice, per cui è meglio non parlarne i perché altrimenti si aprirebbero tanti altri problemi. Tuttavia, questo atteggiamento può rapidamente rivelarsi penalizzante se specialisti esterni scoprono la vulnerabilità in questione - per caso o deliberatamente - rendendola di pubblico dominio, in questo caso, non soltanto i problemi diventano visibili a tutti, ma vi si aggiunge un danno all'immagine della società.
Al contrario, le società che affrontano le vulnerabilità con decisione guadagnano in credibilità. Considerando la complessità di molti prodotti,è ovvio che i problemi non posso mai essere esclusi del tutto, anche dopo lunghi cicli di prove prima del lancio. È molto più importante affrontare questi problemi con rapidità, tenendo sempre conto del cliente; in altre parole, dimostrare competenza e controllo.
Chiudere le "porte aperte"
Che altro si può fare in termini di sicurezza informatica? Questo tema costituisce un ostacolo impegnativo soprattutto per aziende di medie dimensioni. Dopotutto, le misure richieste e lo sviluppo delle necessarie competenze sono costosi. Tuttavia, non è indispensabile mettere in piedi, fin dall'inizio, una soluzione integrata, con una protezione completa contro tutti i possibili attacchi di rete. La sicurezza informatica è piuttosto un processo continuativo. Per prima cosa, è necessario prendere coscienza dei rischi potenziali. In Germania, per esempio, molte società di medie dimensioni - tra le migliori al mondo nel loro settore - possono avere le porte spalancate dal punto di vista della protezione del loro know-how tecnologico. Dopo aver identificato le minacce più serie, occorre fare qualche passo avanti nell'implementazione della sicurezza informatica.
Inoltre, potrebbe essere avviato un processo di miglioramento continuo, proprio come nella gestione della qualità, nel quale il livello di sicurezza viene progressivamente alzato passo dopo passo. Inoltre potrebbe essere utile creare una piattaforma, dove sia l'autorità pubblica, che il mondo degli affari possano discutere insieme dell'argomento della sicurezza informatica. Questo approccio può avere successo soltanto se partecipano tutte le parti in causa. L'esperienza ha dimostrato che quando non è così, possono costituirsi piattaforme parallele in competizione fra loro senza vantaggi per nessuno. In secondo luogo, i compiti devono essere divisi chiaramente tra l'autorità pubblica e il mondo degli affari. Un buon esempio è quello del National Institute of Standards and Technology (NIST), che fa parte del Dipartimento del Commercio degli Stati Uniti. Il NIST annuncia pubblicamente lo sviluppo di nuovi algoritmi crittografici, che vengono successivamente sviluppati dal mondo degli affari. In altre parole, l'agenzia governativa incentiva in modo mirato le aziende a trovare soluzioni innovative, contribuendo così a sviluppare automaticamente la loro esperienza nella sicurezza informatica. L'Europa e le singole nazioni dovrebbero adottare questo approccio in modo da mettersi al sicuro con successo dalle minacce delol cyberspazio.
Conclusioni
In conseguenza della sempre maggiore integrazione dei sistemi e dei processi, la sicurezza informatica sta diventando un fattore decisivo per il successo economico. Quindi, le aziende devono agire, prima che sia troppo tardi, e sviluppare prodotti sicuri, comunicando apertamente l'esistenza di problemi, e integrando la sicurezza informatica in una cultura societaria in continuo miglioramento. Inoltre, il governo e il mondo degli affari hanno il dovere di fornire soluzioni standardizzate perché questo è l'unico modo perché tutti i partecipanti del mercato se ne possano avvantaggiare ugualmente.
