Oggi in contemporanea in due eventi di sicurezza, Ben Fathi (all'RSA Europe Conference a Londra) e Scott Charney (allo IAPP Privacy Academy di San Francisco) di Microsoft hanno parlato nelle loro keynote della convergenza di Security e Privacy sulla base dei risultati di uno studio effettuato dal Ponemon Institute. Questa ricerca commissionata da Microsoft e realizzata nel settembre 2007 ha portato ad intervistare circa 3600 dirigenti di aziende negli Stati Uniti, Inghilterra e Germania, con una responsabilità tra le seguenti: sicurezza, protezione dati o marketing. Cosa emerge da questo studio ? Un serie di importanti considerazioni che vi riassumo:

  • Dal punto di vista dello scenario di rischio e delle minacce, la sicurezza e la privacy stanno convergendo: alla luce dei risultati dell'ultimo Microsoft Security Intelligence Report (relativo al primo semestre del 2007, e di cui vi parlo nel post successivo) è ormai evidente anche nei numeri l'annunciato aumento di attacchi diretti al furto delle informazioni personali, portati con l'intento di trarne profitto.
  • Di fronte a questo scenario di convergenza, le aziende non sono attualmente strutturate in modo adeguato dal punto di vista organizzativo per affrontare queste minacce ai dati personali. I dati statistici della ricerca dimostrano che le aziende più colpite da incidenti di sicurezza sono anche quelle caratterizzate da una povera collaborazione tra i tre gruppi oggetto dell'analisi (responsabili di sicurezza, protezione dati e marketing). 
  • Non è carente solo la collaborazione tra questi gruppi in azienda: anche la percezione dei singoli gruppi su come operare relativamente alla protezione dei dati è nettamente diversa ed autonoma, a tutto discapito della possibilità di collaborare.
  • Sulla necessità di preservare o aumentare la reputazione e l'immagine di sicurezza dell'azienda sono invece tutti d'accordo: e questo dovrebbe aiutare i responsabili di sicurezza e privacy nell'ottenere maggiore attenzione sui temi della protezione dei dati.

Vi confesso che non vedo in queste considerazioni una vera e propria novità. Non fraintendetemi, il valore di questa ricerca è indubbio: mette nero su bianco dei fatti che possano far riflettere le aziende e aiutarle nelle loro decisioni. D'altra parte invece ritengo che chi abbia già avuto modo di affrontare la gestione della sicurezza in modo maturo e strutturato, "come si deve", dovrebbe già aver indirizzato questi aspetti e non dovrebbe scoprirlo adesso. La privacy è solo un aspetto specifico della sicurezza, relativamente alla protezione dei dati e in particolare delle cosiddette PII (Personal Identifiable Information). Se ci troviamo oggi a dire che stanno convergendo lo dobbiamo solo all'anomalo percorso storico che abbiamo vissuto. Prima abbiamo scoperto la necessità di fare sicurezza per difenderci dagli attacchi worm di scala mondiale: corsa organizzativa a formalizzare in azienda la funzione sicurezza (corsa su cui in Italia siamo ancora indietro). Poi (è il periodo attuale) abbiamo cominciato a dover rendere conto alla normativa nazionale sui temi della Privacy (in Europa prima che negli Stati Uniti, per la prima volta in controtendenza): corsa organizzativa a identificare il responsabile Privacy. Perché non capire subito che stavamo parlando di facce diverse della stessa medaglia ? Perché creare responsabilità in divisioni distinte ? Ovvio poi ritrovarsi con approcci distinti, povera collaborazione (se non conflitto e concorrenza...) e diversa percezione. In conclusione, la raccomandazione che mi sento di offrirvi è quella di fare sicurezza in azienda "come si deve" con la giusta attenzione da parte del top management e i dovuti investimenti (in base alle risorse da proteggere): questa attenzione top-down produrrà in modo naturale un approccio più organico sulla sicurezza all'interno dell'azienda e porterà benefici anche (ma non solo) sul tema della protezione dei dati, facilitando le parti coinvolte alla migliore collaborazione e alla condivisione di una strategia comune di difesa che va pensata dall'alto.