Fabrizio Bartoloni

Sicurezza, il controllore imbroglia

Procedure approssimate, verifiche superficiali, risoluzioni di problemi rimandate. Non sempre i responsabili della sicurezza sono ligi al proprio dovere. Ma la colpa, spiegano, è sovente del datore di lavoro

Roma - Il dubbio avanzato dal poeta latino Giovenale "Quis custodiet ipsos custodes?", ovvero "Chi controlla i controllori?", e rinverdito di recente dal fumetto Watchmen di Alan Moore, trova piena attualità in uno studio diffuso da Tufin Technologies, azienda specializzata in sicurezza IT e intitolato appropriatamente "Reality Bytes".

Il campione preso in esame è significativo, 151 professionisti tra i presenti alla conferenza InfoSecurity Europe 2009 di Londra, molti dei quali responsabili della sicurezza di multinazionali e agenzie governative comprese nella fascia dai mille agli oltre cinquemila dipendenti. Lo scopo della ricerca era di rilevare quali procedure fossero messe in atto nel garantire la sicurezza delle aziende loro affidate. In barba alle premesse, il loro comportamento si è rivelato ben poco deontologico: il 20% degli interpellati ha ammesso di imbrogliare di fronte alle verifiche o di conoscere qualcuno che lo fa, i problemi non vengono solo aggirati ma rimandati o dilazionati. Di contro a un 70% che esamina i firewall in pochi giorni c'è un disarmante 22% che impiega settimane quando non mesi per lo stesso compito, e un 39% che durante la finale di campionato rimanderebbe la risoluzione di un problema a dopo il triplice fischio dell'arbitro!

A questo punto la sfida si fa duplice, da un lato assicurarsi che l'autocertificazione non diventi una palestra di menzogne sia per chi la redige che per chi dovrebbe esserne tutelato, dall'altro che i revisori non prendano per oro colato le relazioni consegnate dai responsabili IT: un bravo amministratore è capace di produrre documenti falsi molto convincenti, e costui non farebbe altro che rispondere alle richieste pressanti di scenari rassicuranti per quanto non corrispondenti a realtà, almeno secondo Andy Bokor COO di Trustwave. Steven Fox della SecureLexicon invita ad adottare lo scetticismo come strumento professionale citando passi da "L'Arte della Guerra" di Sun Tzu, implicando così la necessità di un clima di diffidenza tra le parti coinvolte, Kevin Nixon di ISR, in risposta, arriva ad essere ancora più pessimista: ribaltando le percentuali sostiene che l'onestà tra questi soggetti sia l'eccezione e non la regola.
Ruvi Kitov, CEO della summenzionata Tufin, ha paragonato il mentire in queste ispezioni al "guidare senza cinture" e ritiene che i casi di imbrogli siano molto maggiori di quelli ammessi: alcuni passaggi del protocollo di sicurezza vengono saltati ma dichiarati come compiuti solo per sbrigarsi e accorciare i tempi. Sempre secondo Kitov non è però tutta colpa dei sysadmin: spesso sono i tagli nei turni e nel budget a disposizione a impedire di adempiere a tutti gli obblighi necessari, come indica il 48% degli intervistati nel questionario.

Fabrizio Bartoloni
21 Commenti alla Notizia Sicurezza, il controllore imbroglia
Ordina
  • Watchmen è del 1986.
    non è "recente"

    se parliamo del film di quest'anno, allora quello non è di Alan Moore, ma è basato sulla sua opera (del 1986).

    Forse in Italia è uscito un po' dopo a puntate con Corto Maltese. Ben venga se ora è uscito di nuovo in un volume unico.
    non+autenticato
  • Senza riprendere tutti i commenti fatti, l'unica cosa sensata a parer mio dovrebbe essere:

    1. creare un collegamento tra responsabilità, compentenze e retribuzione;
    ovverosia: dato il livello di responsabilità richiesta, deve essere corrispondendemente richiesto un adeguato livello di certificazione della persona (e perché no? anche di irreprensibilità), ed in cambio deve essere stabilito un compenso minimo adeguato ai requisiti di cui sopra;

    2. stabilito il tipo di trattamento di dati necessario all'azienda, stabilire quale siano i requisiti minimi in termini di professionalità e numero di persone necessarie;

    ovverosia: il tipo di trattamento dei dati deve essere collegato alla loro sensibilità / importanza, ed alla loro quantità; in relazione a ciò devono essere stabiliti delle risorse minime necessarie per assicurare la protezione dei dati e la correttezza dell'utilizzo delle infrastrutture (rammento che le aziende hanno serie sanzioni per la responsabilità amministrativa).

    Tutto ciò, per legge.
    Ovvio che la legge risulta troppo 'lasca' nel rapporto responsabilità / retribuzioni, nessuno farà più l'amministratore e le aziende si troveranno inadempienti nei confronti della legge.

    Rimando anche a questo mio commento: http://punto-informatico.it/b.aspx?i=2636419&m=263...
  • Il vero problema, anche in aziende da mila dipendenti come la mia, è che oggi io valido una cosa, domani è già implementato qualco'altro che la inficia, a prescindere dal PM testina o dal sysadmin lavativo.

    Poi quoto anche le vostre idee, soprattutto su denaro e responsabilità.

    Per la cronaca, 36 anni e 1000€ al mese.......
    non+autenticato
  • ...vende software per il firewall management. A prezzi esorbitanti. Non mi sorprende il risultato del questionario - bisognerebbe leggere le domande.

    Io *ero* ad InfoSecurity ed ho fatto il questionario, e non mi ricordo che fosse così esplicito come chiedermi "have you cheated the last time you audited the firewall?". Non la ricordo esattamente ma mi sa che la domanda era vagamente piu indiretta...


    Cordiali saluti
  • Grazie per la tua testimonianza Markoer, Tufin ha diffuso le conclusioni, certo non sarebbe stato male avesse reso disponibili i risultati nudi e crudi e lasciato a noi giudicare, forse spulciando tra i loro white paper in download (registrazione obbligatoria) trovo qualcosa..
    non+autenticato
  • ... diffusi a macchia d'olio.
    Questo, per il semplice motivo che non è quantificabile, nè analizzabile, in termini di qualità, il lavoro operato dagli informatici, a meno che questi non siano onesti.
    Ma, c'è molta gente ignorante, che non ha le conoscenze sufficienti per poter stabilire chi chiacchiera e chi invece no. Dovrebbero introdurre leggi più severe e la possibilità di ricorrere a forme di Arbitrato più veloci per chi compie reati informatici intenti nel disturbare e danneggiare sistemi, così come anche per tutti quei fessi-computer-GURU (che a malapena sanno formattare e reinstallare Windows), che non aggiornano i sistemi, non attivano protezioni anti-spam, anti-virus ecc.

    Il sistemista, in un azienda, dev'essere considerato RESPONSABILE e, nei casi ove il problema poteva esser risolto, penalmente perseguibile.

    Vedrai quanta gente smetterà di botto di giocare col computer.
    non+autenticato
  • e questo super-sistemista responsabile di tutto (compresa la caduta dei capelli) lo vogliamo continuare a pagare come un metalmeccanico?
    non+autenticato
  • - Scritto da: infame
    > e questo super-sistemista responsabile di tutto
    > (compresa la caduta dei capelli) lo vogliamo
    > continuare a pagare come un
    > metalmeccanico?

    QUOTONE.
    Anche se non e' solo il caso dei sistemisti.
    Ci metterei anche analisti, programmatori..
  • Sistemista/DBA in oursourcing presso ufficio pubblico con circa 300 workstation e 4/5 server, 5°livello contratto metalmeccanico, 11 ore al giorno fuori casa (viaggio compreso), ultima busta paga 1247 euro.
    E devo anche andare in galera?
    8(




    - Scritto da: xWolverinex
    > - Scritto da: infame
    > > e questo super-sistemista responsabile di tutto
    > > (compresa la caduta dei capelli) lo vogliamo
    > > continuare a pagare come un
    > > metalmeccanico?
    >
    > QUOTONE.
    > Anche se non e' solo il caso dei sistemisti.
    > Ci metterei anche analisti, programmatori..
    non+autenticato
  • - Scritto da: Olinad71
    > Sistemista/DBA in oursourcing presso ufficio
    > pubblico con circa 300 workstation e 4/5 server,
    > 5°livello contratto metalmeccanico, 11 ore al
    > giorno fuori casa (viaggio compreso), ultima
    > busta paga 1247
    > euro.
    > E devo anche andare in galera?
    > 8(

    Era esattamente cio' che intendevo.
    Ossia.. si pagano professionisti dell'IT senza dare loro un minimo di riconoscimento (anche e soprattutto salariale) ma poi si vorrebbe pretendere si assumano la piena responsabilita' di tutto cio' che accade.

    Il problema e' la considerazione che il "padrone" ha della professione IT.

    E.. io che sto' dentro una PA, ne so qualcosa. Sono l'UNICO che fa' quello per cui ha studiato e per cui ha passione... ma vengo pagato meno di una laureata in scienze politiche che fa' la sociologa. Le analisi dei sw sono fatte da un architetto e da una statistica.. ma fammi fermare qui o poi me sale la carogna...
  • Mi aggiungo al quote!!!

    Ma aggiungo altro ancora (trito e ritrito).

    La responsabilita' di un sistema informatico e' esclusivamente di fatto; comunque, qualsiasi cosa andra' male, avra' un chiaro responsabile l'IT; questo puo' andare anche bene, se e solo se, il reparto IT puo' veramente decidere delle policies aziendali, del software che deve essere installato, di quanto gli utenti debbano essere obbligati a particolari procedure.

    In pratica se ognuno fa un poco come gli pare perche' il sysadmin deve essere responsabile?

    Esempio. Se il sysadmin valuta che il software X non (NON) puo' essere installato in un DMZ perche' dopo settimane tale software si trova in DMZ? Perche' si sono attivate le lobby interne all'azianda. Perche' i group manager sono andati a piangere con i supervisori e su su fino ai direttori; questi ti arrivano in ufficio e (almeno dove sono io) cortesemente ti obbligano a fare una eccezione. Indovinate CHI paghera' per tale eccezione se va male? L'imbelle che la ha proposta o lo sfigato che e' stato costretto a installarla? E credete che le mail nella vostra inbox (dove vi e' scritto che il sysadm non si prende nessuna responsbilita' per la sicurezza ecc ecc) siano abbastanza?

    Dunque da una parte non e' riconosciuto il livello salariale di un ruolo che deve garantire:
    - sicurezza aziendale
    - privacy
    - sla 99% anche della azienda piu' scarsa vista in circolazione (per cui il 98% di SLA e' semplicemente inutile Occhiolino )

    Al contempo stesso il ruolo non e' assolutamente inquadrato (in termini di potere, oranigramma etc) per poter assolvere il proprio ruolo e le proprie responsabilita'.

    Se un mio NO non e' tombale su di una discussione sulla sicurezza allora NON posso essere considerato responsabile di una struttura che e' chiaramente un suicidio. E ve ne sono fin troppe.
    non+autenticato
  • Hai visto i Fantozzi? Saranno passati 30 anni, ma solamente quelli!
    non+autenticato
  • Concordo...

    La complessità dei sistemi informatici di solito è difficile o impossibile da comprendere pienamente. Poi se ad uno schema relativamente semplice ed ordinato si aggiungono eccezioni varie, patch fatte col c*lo perché in quel momento si andava di fretta e salti mortali per integrarsi con sitemi legacy...

    Non so se i manager e sotto-manager vari (magari lauretati in letteratura) non capiscono davvero la difficoltà o se fanno finta, tanto uno ke da via il c*lo per 1200 euro si trova sempre. Poi si fa il test e la validazione ed il software è pronto per andare sullo shuttleCon la lingua fuori

    Sta a noi IT essere un po' più svegli e chiedere di più, perché cercado un po' posti dove ci sono più soldi (e forse più riconoscimenti) ci sono. Non per ninete quando nn c'era la crisi di aziende che faticacvano a trovare personale qualificate ce n'erano abbastanza.
    non+autenticato
  • - Scritto da: xWolverinex
    [...]
    > QUOTONE.
    > Anche se non e' solo il caso dei sistemisti.
    > Ci metterei anche analisti, programmatori..

    Ma soprattutto, perché non i security manager? in fondo i responsabili sono loro...

    Cordiali saluti
  • - Scritto da: Anonymous
    > Ma, c'è molta gente ignorante, che non ha le
    > conoscenze sufficienti per poter stabilire chi
    > chiacchiera e chi invece no.

    Ringraziamo per questo chi ha voluto mettere un computer su ogni scrivania, e un doppio click per dare a tutti l'illusione di quanto sia facile fare il sistemista.
  • - Scritto da: Anonymous
    > nei casi ove il
    > problema poteva esser risolto, penalmente
    > perseguibile.

    Con il senno di poi qualsiasi
    "problema poteva esser risolto".

    I processi, dopo, vanno fatti solo
    per migliorare le procedure di emergenza,
    non solo per cercare i colpevoli.

    Saluti