Il contesto evolutivo delle reti e delle applicazioni di e-business vede una crescente complessità del sistema informativo, che estende i propri confini in infrastrutture intranet ed extranet. Le nuove tecnologie, non ultimo il wireless, contribuiscono a espandere tali confini.

Il bene aziendale più prezioso è sempre più la conoscenza che ogni impresa è in grado di tradurre in business. Questa conoscenza viene trasformata in informazioni, come pure tutti gli elementi necessari a svolgere l’attività stessa dell’azienda. Il trattare queste informazioni in modalità elettronica costituisce il paradigma stesso dell’e-business, nonché la componente fondamentale dell’impresa moderna.

Il fenomeno Internet è il motore che ha permesso uno sviluppo incredibile dei sistemi di comunicazione e del modo di interpretare questi stessi da parte delle aziende.

Queste tre assunzioni tracciano un quadro sufficientemente chiaro delle problematiche che il responsabile dei sistemi informativi, spesso entrato di diritto nel board direzionale della società, si trova a dover affrontare. Il mondo dei sistemi, delle reti e delle comunicazioni aziendali è interessato da una fase evolutiva, che coinvolge non solo hardware, software, apparati e soluzioni di rete, ma anche le modalità di accesso alle applicazioni. Se tali modalità, che tendono a superare la suddivisione tra fisso e mobile, rappresentano un’opportunità di sviluppo del business aziendale troppo grande per potervi rinunciare, dall’altro accentuano quello che si propone al responsabile del sistema informativo come il problema più urgente e complesso da gestire: la sicurezza ICT.

La sicurezza è un concetto vecchio quanto quello stesso di azienda. La protezione del patrimonio intellettuale, i brevetti, le barriere all’ingresso di una banca, i controlli all’uscita da una minera di diamanti, le guardie giurate. Si potrebbe andare ancora avanti a elencare altri provvedimenti per la sicurezza aziendale. La relativa giovinezza degli strumenti informatici e, soprattutto, la diffusione degli stessi, cresciuta nell’ultimo decennio con l’avvento di Internet, hanno però mostrato una carenza culturale sul fronte della protezione logica dei dati e delle informazioni.

Oggi si parla dell’era dell’informazione, per mettere in risalto l’importanza crescente del patrimonio della conoscenza come reale valore di un’impresa. Un concetto sul quale si può facilmente essere tutti d’accordo, anche perché non è una novità. Lo spionaggio industriale non è stato inventato con l’avvento dei computer, eppure cos’è se non furto di informazioni e know how? Sono cambiati però gli strumenti, mentre il paradigma dell’e-business, che vuole un’impresa affidare all’IT tutte le attività e tutti i processi di business, esalta il ruolo del sistema informativo, facendone il deposito di quelle informazioni e di quel know how che, in precedenza, si poteva raggiungere solo violando archivi e casseforti.

L’estensione in rete dell’azienda, il successo di Internet, intranet ed extranet ha favorito lo sviluppo di soluzioni e strumenti informatici, sia hardware sia software, che rispondono a esigenze di protezione differenti dal passato. Un mondo quindi completamente nuovo che coglie impreparate molte aziende: da un lato, c’è una scarsa percezione di quello che significa ICT security, dall’altro manca una reale percezione del rischio.

Il rischio è il punto di partenza di ogni considerazione sulla sicurezza o, almeno, dovrebbe esserlo, anche perché è un concetto assolutamente radicato in un’impresa. I top manager, infatti, sono abituati a gestire il rischio, a misurarlo e a sfruttarlo a proprio favore. Sotto questo punto di vista, la sicurezza informatica si può “banalmente” considerare uno strumento di gestione del rischio. Peraltro, la complessità delle tecnologie rende il manager spesso incapace di comprendere quali siano le reali minacce e, quindi, di valutare correttamente quali asset aziendali siano in pericolo, nonché quanto sia grande tale pericolo.

Questo, però, non deve rimanere l’unico approccio alla sicurezza, altrimenti potrebbe limitare le scelte e le considerazioni all’ambito del threat management, cioè a proteggere l’azienda dalle minacce, esterne o interne, ma non consetirebbe di sfruttare alcuni elementi abilitanti della sicurezza. Le soluzioni di CRM (Customer Relationship Management) o di SCM (Supply Chain Management, per esempio, sono un fulgido esempio di come si possano introdurre in azienda nuove tecnologie per estendere e ottimizzare i processi di business. Queste attività, peraltro, richiedono necessariamente l’impiego di tool di sicurezza al fine di garantire l’autenticità e l’integrità delle transazioni con clienti e partner. Anche qui esiste, in effetti, un rischio: per esempio, che un cliente non riconosca un ordine. Esistono vincoli legali che vanno rispettati, ma il governo italiano da tempo ha emesso leggi che consentono l’uso di strumenti informatici per autenticare transazioni elettroniche.

La cultura della sicurezza comincia lentamente a diffondersi, ma per il manager dei sistemi di ICT e per il professionista non sempre è facile delineare esattamente il quadro di cui si parla, i reali benefici, i costi e le alternative che si prospettano. Ancor più complicato appare orientarsi tra le varie offerte, scegliere tra un approccio diretto o l’appoggiarsi a un fornitore di servizi e capire se gli standard e le architetture proposti siano consolidati o meno.

Convegni, seminari e studi (questi ultimi sovente realizzati in ambito internazionale) non sempre costituiscono un reale strumento decisionale, in grado di tenere conto delle singole specificità locali, come la disponibilità di soluzioni, di fornitori e personale di supporto sul territorio, nonché la legislazione corrente.

La scelta e l’implementazione di una soluzione di sicurezza devono basarsi su un approccio sistemico. La valutazione degli aspetti tecnici e organizzativi deve essere, quindi, opportunamente accompagnata da un’analisi di quali siano gli apparati e le architetture disponibili sul mercato, i fornitori di piattaforme o di servizi equivalenti presenti a livello nazionale.

Gli elementi sopra considerati costituiscono le parti fondamentali del Report che si rivolge ai responsabili dei sistemi informativi e ai responsabili della sicurezza ICT in azienda, fornendo loro uno strumento di supporto alle decisioni in materia di sicurezza.