Il dubbio avanzato dal poeta latino Giovenale “Quis custodiet ipsos custodes?”, ovvero “Chi controlla i controllori?”, e rinverdito di recente dal fumetto Watchmen di Alan Moore, trova piena attualità in uno studio diffuso da Tufin Technologies , azienda specializzata in sicurezza IT e intitolato appropriatamente “Reality Bytes”.
Il campione preso in esame è significativo, 151 professionisti tra i presenti alla conferenza InfoSecurity Europe 2009 di Londra, molti dei quali responsabili della sicurezza di multinazionali e agenzie governative comprese nella fascia dai mille agli oltre cinquemila dipendenti. Lo scopo della ricerca era di rilevare quali procedure fossero messe in atto nel garantire la sicurezza delle aziende loro affidate. In barba alle premesse, il loro comportamento si è rivelato ben poco deontologico: il 20% degli interpellati ha ammesso di imbrogliare di fronte alle verifiche o di conoscere qualcuno che lo fa, i problemi non vengono solo aggirati ma rimandati o dilazionati. Di contro a un 70% che esamina i firewall in pochi giorni c’è un disarmante 22% che impiega settimane quando non mesi per lo stesso compito, e un 39% che durante la finale di campionato rimanderebbe la risoluzione di un problema a dopo il triplice fischio dell’arbitro!
A questo punto la sfida si fa duplice, da un lato assicurarsi che l’autocertificazione non diventi una palestra di menzogne sia per chi la redige che per chi dovrebbe esserne tutelato, dall’altro che i revisori non prendano per oro colato le relazioni consegnate dai responsabili IT: un bravo amministratore è capace di produrre documenti falsi molto convincenti, e costui non farebbe altro che rispondere alle richieste pressanti di scenari rassicuranti per quanto non corrispondenti a realtà, almeno secondo Andy Bokor COO di Trustwave . Steven Fox della SecureLexicon invita ad adottare lo scetticismo come strumento professionale citando passi da “L’Arte della Guerra” di Sun Tzu, implicando così la necessità di un clima di diffidenza tra le parti coinvolte, Kevin Nixon di ISR, in risposta, arriva ad essere ancora più pessimista: ribaltando le percentuali sostiene che l’onestà tra questi soggetti sia l’eccezione e non la regola.
Ruvi Kitov, CEO della summenzionata Tufin, ha paragonato il mentire in queste ispezioni al “guidare senza cinture” e ritiene che i casi di imbrogli siano molto maggiori di quelli ammessi: alcuni passaggi del protocollo di sicurezza vengono saltati ma dichiarati come compiuti solo per sbrigarsi e accorciare i tempi. Sempre secondo Kitov non è però tutta colpa dei sysadmin: spesso sono i tagli nei turni e nel budget a disposizione a impedire di adempiere a tutti gli obblighi necessari, come indica il 48% degli intervistati nel questionario.
Fabrizio Bartoloni