Roma – I dati e le statistiche pubblicati ogni anno dal Computer Security Institute, in collaborazione con l’FBI, sono sempre molto attesi dalla comunità di esperti di sicurezza. Con rapide operazioni di CTRL C e CTRL V, i guru della sicurezza informatica e gli uomini del marketing delle aziende operanti nel settore aspettano l’uscita dei dati di Marzo per infarcire le loro presentazioni dei numeri e dei grafici forniti dal prestigioso istituto di ricerca, sfornando analisi e ipotizzando scenari validi per descrivere i rischi e le vulnerabilità delle aziende italiane.
Peccato che la realtà statunitense, dove viene condotta questa ricerca, sia distante anni luce dal contesto italiano. In qualsiasi corso di statistica per principianti si insegna che non è possibile trasferire i risultati di una ricerca in un altro contesto, in particolare quando il campione non è per nulla rappresentativo della seconda realtà.
Come si può quindi pensare che le preoccupazioni espresse da 538 computer security practitioners delle più grandi aziende e istituzioni negli Stati Uniti possano essere trasferite alla realtà italiana, basata su imprese medio piccole e dove la figura di computer security practitioner nella maggior parte dei casi non esiste?
Per avere conferma dell’errore compiuto in questa operazione, basta citare il dato sulla percentuale delle aziende americane intervistate che conducevano attività di e-commerce nel 2000: quasi il 50%! Ebbene, credo che se si vorranno utilizzare i dati della ricerca CSI/FBI, si dovrà prima dimostrare che la metà delle aziende italiane gestivano attività di e-commerce già nel 2000.
Al di là della critica metodologica, quali sono le conseguenze di queste erronee valutazioni da parte di molti analisti italiani?
Il primo rischio è di non capire le reali esigenze del mercato italiano della sicurezza informatica, di sovrastimare i budget a disposizione delle imprese e di presentare soluzioni che culturalmente mal si integrano nelle organizzazioni medio piccole delle aziende nostrane.
Il secondo inconveniente, a mio modo di vedere ancor più pericoloso, è che fintanto che aziende e ricercatori aspetteranno pigramente i dati di marzo del CSI/FBI per stimare e studiare la situazione italiana, si ridurranno sempre più le iniziative di ricerca sul fenomeno effettuate nel nostro paese.
La sezione italiana del CERT è attualmente legata solo alla pregevole attività di poche persone e al supporto di una sola università; il lavoro di FTI-Sicurforum Italia, dalle informazioni disponibili sul Web, si ferma agli inizi del 2000, mentre altre iniziative sono collegate a singole associazioni di categoria o a società di consulenza che spesso inseriscono le aziende italiane (quasi sempre solo quelle grandi) all’interno di campioni molto più ampi.
A questa situazione si affianca un totale disinteresse per la conoscenza del fenomeno da parte delle istituzioni, mentre le autorità di polizia, in mancanza di dati, sono costrette a creare degli scenari basandosi su singoli eventi ed investigazioni.
Come uscire da questo circolo vizioso ed iniziare a studiare seriamente il fenomeno della criminalità informatica in Italia?
La prima cosa da fare è non lasciarsi tentare da equilibrismi statistici e riconoscere la specificità della situazione italiana e la sua diversità sostanziale dalla realtà statunitense. In seconda istanza è necessario attivare un osservatorio autorevole che si occupi di effettuare le proprie ricerche su campioni rappresentativi della realtà economica italiana.
Sono sicuro che le aziende che operano nel settore della sicurezza informatica, i centri di ricerca già esistenti e alcune istituzioni pubbliche potrebbero facilmente accordarsi e trovare i mezzi economici per portare avanti una simile iniziativa.
<a href="mailto: alessandro.scartezzini@dataservicespa.com
” target=”ontop”>Alessandro Scartezzini – Direttore Laboratorio Criminalità Informatica
Data Security società del gruppo Data Service SpA
Ti potrebbe interessare
25 gen 2002