Intervista a Leone Randazzo, Solution Architect di iCubed ed uno dei maggiori esperti di infrastruttura IT a livello italiano.
Partiamo dalle basi, Leone. Quali sono i problemi della sicurezza informatica oggi?
Internet è il più grande spazio pubblico che l’umanità abbia mai conosciuto, tanto da essere definito un’agorà planetaria. A mio parere questo spazio, libero e universale, trova nella filosofia aborigena “Education, Understanding, Respect” i principi cardine su cui fondare e regolamentare il suo utilizzo: tutti i fruitori della rete dovrebbero essere educati ad un utilizzo della rete basato su formazione, comprensione e rispetto.
Purtroppo, però, Internet viene spesso adoperato non tenendo conto di questi principi, abusando della libertà agognata dai padri fondatori. Oggi, l’utilizzo improprio della rete è causa di una moltitudine di gravi problemi, tra cui spicca per criticità la mancanza di sicurezza: comportamenti inopportuni e disattenzione dovuti alla carenza di conoscenza sono all’ordine del giorno e, per le aziende, questo rappresenta un vero e proprio disastro.
Cosa intendi per disastro? Ci puoi fare un esempio di disattenzione che ha portato ad un attacco informatico?
Se ne sentono molti, ma il primo che mi viene in mente è il caso Verisign-Microsoft 2001: un certificato digitale rilasciato da un incauto dipendente Verisign Corporation ad un presunto Manager di Microsoft. Verisign si preoccupò moltissimo perché il certificato poteva essere utilizzato per firmare un numero virtualmente illimitato di codici maligni. Tutto questo perché il dipendente di Verisign semplicemente non aveva verificato chi fosse davvero la persona a cui stava mandando il codice. Comunque, ormai è sotto gli occhi di tutti quanto un attacco hacker possa danneggiare un’azienda: basti pensare alla catena Marriot Hotel, che qualche mese fa ha subito l’attacco di un hacker che è riuscito a infiltrarsi nel database del network di alberghi, mettendo a rischio i dati sensibili di milioni di clienti. Si parla di 500 milioni: sono cifre enormi.
Come può fare un’azienda a proteggersi dagli attacchi in questo contesto così fragile?
Per proteggere un’azienda dagli attacchi informatici è necessario un approccio olistico alla sicurezza, che comprenda non solo i prodotti, ma anche i processi e le persone. Sono le tre P della sicurezza informatica: non basta solo utilizzare l’hardware più aggiornato, il Sistema Operativo e gli strumenti software che offrono le migliori misure di protezione avanzata. Purtroppo, la sicurezza non è mai by design, né by default: non è solo un insieme di prodotti ma un processo che coinvolge tutti i dipendenti. Per questo, richiede un progetto in cui una parte sostanziale deve essere dedicata alla formazione, per istruire tutti i dipendenti dell’azienda sui rischi che si corrono nel comportarsi in modo disattento o scorretto, e su come evitare queste situazioni.
Ed i tuoi corsi in che modo aiutano le aziende a proteggersi dagli attacchi?
Io credo nel valore della formazione come punto essenziale nella prevenzione dagli attacchi informatici e come antidoto alle pratiche scorrette sulla Rete. Per questo progetto i miei corsi per IT Professional secondo il metodo Learning-By-Doing di Roger Schank. In questi corsi simulo attacchi e situazioni problematiche che ho incontrato e risolto nella realtà, permettendo ai partecipanti di affinare le tecniche di troubleshooting, Disaster Protection & Recovery sfruttando la consolidata metodologia dell’imparare sbagliando.