In che direzione va il mestiere del Security Consultant? Ne parliamo con Giulio Carducci, figura storica del panorama italiano della sicurezza informatica

Giulio Carducci ha maturato quattro decenni di esperienze professionali occupandosi di telecomunicazioni, informatica e direzione aziendale. Ha lavorato, in particolare, per grandi multinazionali, ha ricoperto il ruolo di direttore generale in un’Agenzia U.E. per il controllo degli aiuti finanziari, si è occupato di ricerca di risorse umane come associato di una tra le maggiori organizzazioni mondiali del settore. Il suo incontro con la ICT Security risale al 1994, con la fondazione di Securteam, oggi parte di Marconiselenia Communications (gruppo Finmeccanica). Da allora, tramite conferenze e articoli, oltre ovviamente all’attività professionale condotta con Securteam, di cui è presidente, ha contribuito concretamente alla promozione di una cultura moderna e consapevole per la protezione delle informazioni. ulteriori informazioni in: www.giuliocarducci.com

Giulio, come vedi il mercato italiano dell’ ICT Security?

Il mercato della ICT non può, in qualche misura, non risentire dell’attuale situazione economica generale un po’ sotto tono. Questa tendenza potrebbe essere tuttavia positivamente compensata da una crescita di consapevolezza circa la necessità di protezione da parte degli utenti. Esistono ancora spazi notevolissimi nelle aziende, nella P.A. e nell’utenza privata. La crescita di consapevolezza registrata presso gli utenti nel corso dell’ultimo decennio è ancora limitata e insoddisfacente. Servirebbe, sia in ambito P.A. che in ambito privato, un organismo preposto alla promozione della cultura e alla garanzia della qualità dei piani e delle soluzioni di sicurezza. Organismi che, raccordandosi a livello nazionale con le strategie e l’operatività di ENISA, http://www.enisa.eu.int, l’agenzia europea per la sicurezza delle reti e delle informazioni recentemente costituita, svolgessero un’attività intelligente e moderna per incrementare la fiducia di enti, aziende e privati negli investimenti in materia di sicurezza ICT.

Cosa intendi per attività moderna e intelligente?

Guarda, per anni, e a tutt’oggi, si è creduto e si ritiene che la promozione della sicurezza possa avvenire attraverso conferenze spesso assai generiche e ripetitive e con la pubblicazione di documenti e white paper che riciclano consigli, suggerimenti, profili minimi di protezione. I produttori continuano poi a presentare ai clienti i propri prodotti valutando solo in modo marginale

la loro capacità di gestire nel tempo i prodotti stessi. Basterebbe che una piccola percentuale (diciamo un quindici per cento) degli investimenti in sicurezza fossero destinati ad attività di pianificazione e gestione (quella che io chiamo, insieme ad altri “governo della sicurezza”) per far funzionare molto più efficacemente le cose.

Un modo intelligente e moderno per la promozione della sicurezza significa, a mio avviso, rivedere lo scenario normativo, oggi pressoché esclusivamente affidato in Italia al Codice della Privacy, in un’ottica “infrastrutturale”, e non solo di contenuti (dati sensibili, pornografia etc.), incentivare le aziende a investire in infrastrutture di gestione della sicurezza e non solo in componenti hardware e software, promuovere strumenti di garanzia delle soluzioni di protezione e, perché no, istituire riconoscimenti d’immagine ed economici per le aziende riconosciute “sicure”.

La sicurezza in Italia è nata con un approccio “di nicchia”: aziende come “Securteam” hanno fatto “cultura” su questi argomenti. Credi che questo sarà ancora possibile o il futuro è solo delle grandi corporation che possono offrire verticalizzazione e servizi standardizzati?

Sono vere entrambe le opzioni. Da un lato, e mi duole constatarlo, la caduta di vocazione per l’eccellenza che, con la scusa della riduzione dei costi, caratterizza le aziende non solo italiane porta, anche per la sicurezza, a scelte che, per forza di cosa, privilegiano le soluzioni e le forniture “standard”, quelle, cioè, in cui le grandi corporation sono più competitive dei piccoli. Per contro, chi se lo potrà permettere o semplicemente comprenderà l’importanza dell’ <<abito su misura>> ricorrerà al “piccolo”, a patto che questi abbia inventiva e professionalità tali da giustificare i maggiori prezzi dei propri servizi. Questa considerazione mi consente di introdurre qualche considerazione sull’evoluzione in corso della professione dell’ICT Security Consultant: una grande competenza tecnica sarà sempre l’ingrediente di base, cui tuttavia dovranno affiancarsi una visione maggiormente integrata della “business security” nel suo insieme e una maggiore considerazione degli aspetti di analisi del rischio e della organizzazione e gestione della sicurezza.

Il nuovo “Codice in materia di protezione dei dati personali” (d.lgs. 30 giugno 2003, n. 196) ha introdotto numerose novità in materia di sicurezza ICT: qual è la tua opinione a riguardo?

Anche a metà degli anni ’90 quando a furor di popolo si contestava l’allora vigente d.lgs. 675/96 ho sempre sostenuto che uno dei grandi meriti di quella norma era l’aver prescritto un profilo minimo di sicurezza per le infrastrutture informatiche. Il d. lgs. da te citato ammoderna e amplia questo meritoria funzione. Il rovescio della medaglia è costituito dal rischio che si ritenga di aver fatto il massimo, con questa norma, quanto a prescrizioni per la sicurezza delle reti e delle infrastrutture ICT. In realtà , come ho già accennato, la normativa privacy, quanto a prescrizioni per la sicurezza, ha un orientamento prevalentemente contenutistico e specifico (tra l’altro non riguarda i cittadini privati), mentre, a mio avviso, si rendono necessarie prescrizioni minime di carattere infrastrutturale, indipendenti dai contenuti che, se critici, possono comportare misure aggiuntive.

Parliamo di formazione e certificazioni professionali: oggi tutti parlano di BS 7799… Qual è la tua opinione a riguardo?

Il problema è che, in Italia, quando si parla di certificazione, la forma prevale nettamente sulla sostanza. Se si dovessero contare e accreditare tutte le certificazioni di qualità rilasciate nell’ultimo decennio, l’Italia vanterebbe livelli medi di eccellenza invidiabili quanto a efficienza dei processi aziendali. E quindi una competitività mondiale la cui assenza è sotto gli occhi di tutti. Pochi hanno presente, quando valutano la certificazione di qualità di un’azienda, che per capire bene come stanno le cose, occorrerebbe andare a vedere in dettaglio quali processi e quale perimetro è stato effettivamente certificato.

Le stesse considerazioni valgono per le certificazioni di sicurezza. Si tratta quindi di uno strumento interessante e lodevole che tuttavia, per essere efficace, dev’essere accompagnato da una notevole dose di consapevolezza e maturità da parte delle aziende.

Che progetti hai? Di cosa ti stai occupando? Hai qualche lettura interessante da consigliare ai nostri associati?

In questo momento sto guardando con molto interesse a quanto sta avvenendo, in termini di iniziative per la sicurezza ICT, a livello UE. La costituzione dell’agenzia Enisa mi sembra un evento importante, di cui i governi nazionali dovrebbero tenere conto, attrezzandosi per collaborare e trarne il maggior vantaggio possibile.

Sul piano più personale, continuo i miei studi sui modelli di analisi del rischio e ho iniziato a lavorare al mio nuovo libro dal titolo provvisorio (o definitivo?) “Sicurezza compatibile”. Ho visto con piacere che negli ultimi anni alcuni dei tanti giovani ex colleghi in Securteam hanno pubblicato libri in materia di sicurezza: è stato per me fonte di soddisfazione e li incoraggio a proseguire.

Quanto a letture da consigliare, per restare in qualche modo nel nostro settore, trascurando gli indispensabili aggiornamenti tecnici, suggerisco un vecchio libro dell’86 di Ulrich Beck (ma solo nel 2000 tradotto in italiano) “La società del rischio”, http://lgxserver.uniba.it/lei/rassegna/030607a.htm, attualissimo e il “Codice della privacy”, recente, degli stimatissimi Riccardo e Rosario Imperiali. Nella loro opera i due autori hanno avuto modo e capacità di commentare il d. lgs. 196/2003 in modo egregio, aprendo contestualmente a una serie di riferimenti e citazioni di fonti che fanno del testo una “summa” attualissima della tematica complessiva della sicurezza delle informazioni a livello sia italiano che europeo.