Sicurezza informatica nelle piccole e micro imprese – Intervista a Claudio Telmon
Home

Sicurezza informatica nelle piccole e micro imprese – Intervista a Claudio Telmon

Posted by Panfilo Marcelli on Lun, 30/06/2008 - 11:56 in

Recentemente ENISA, l'agenzia europea per la sicurezza delle reti, ha annunciato un gruppo di lavoro sulle micro imprese.  Ne parliamo con  Claudio Telmon, consulente nel campo della sicurezza ICT, membro del Comitato Direttivo di CLUSIT (Associazione Italiana per la Sicurezza Informatica), socio fondatore e membro del Comitato Direttivo di AIPSI (Associazione Italiana Professionisti della Sicurezza Informatica),  che partecipa per l'Italia al gruppo di lavoro ENISA.

Panfilo Marcelli (PM): Grazie Claudio per la collaborazione. Cos'è il gruppo di lavoro di ENISA sulle micro-imprese?

Claudio Telmon (CT): Il gruppo di lavoro è stato istituito da ENISA allo scopo di analizzare le esigenze delle micro imprese riguardo alla sicurezza delle informazioni. Secondo la definizione fornita dalla Commissione Europea, le micro imprese sono le imprese che impiegano non più di 10 persone e/o hanno un fatturato non superiore ai due milioni di euro. Si tratta quindi di una categoria di imprese spesso trascurata sia dalle analisi che dal mercato, se non in termini di alcuni prodotti da scaffale.
Il gruppo è costituito da esperti provenienti da diversi paesi e da diverse tipologie di organizzazioni. In particolare, il gruppo di lavoro ha lo scopo di analizzare le iniziative attivate nei paesi dell'Unione Europea per individuare best practice a sostegno dello sviluppo della sicurezza delle informazioni. Deve poi analizzare le esigenze e le aspettative delle diverse parti interessate.
Infine il gruppo di lavoro fornirà ad ENISA delle raccomandazioni su come contribuire a superare i problemi individuati nell'area della sicurezza delle informazioni per le micro imprese.

PM: Il gruppo ha già realizzato qualche risultato (linee guide etc)  e/o prevede a breve di rilasciare qualcosa?

CT: Il gruppo di lavoro non ha ancora rilasciato documenti definitivi, anche se parte del materiale in via di sviluppo è disponibile sul Wiki di ENISA. I documenti definitivi dovrebbero essere prodotti entro l'autunno. È importante però precisare che non si tratta di materiale indirizzato direttamente alle micro imprese: si tratta invece di materiale di interesse per le diverse organizzazioni che possono operare a favore della sicurezza delle informazioni nelle micro imprese, primi fra tutti ENISA, i suoi "stakeholder" e fra questi la Commissione Europea.

PM: Qual è la sua idea sui temi della sicurezza e privacy nella piccola e media impresa (PMI)?

CT: Quando si parla di problematiche IT, e di sicurezza in particolare, è utile prima di tutto precisare la grossa differenza che ci può essere fra una media impresa (fino a 250 persone e 50 milioni di fatturato) e una micro impresa. La maggior parte delle micro imprese non ha una vera gestione dell'IT: spesso se ne occupa una persona a tempo perso quando non si occupa di altri compiti all'interno dell'azienda. Anche una gran parte delle piccole imprese (fino a 50 persone e 10 milioni di euro di fatturato) ha solo personale esterno spesso con una preparazione limitata e senza indirizzi reali su come l'IT deve supportare l'attività dell'impresa. Nella Comunità Europea ci sono più di 18 milioni di micro imprese, che ne costituiscono una parte consistente e importante del tessuto produttivo. Con questi presupposti e questi numeri, non è pensabile di intervenire con gli stessi strumenti utilizzati per imprese più grandi. Per contro, il mercato della sicurezza è fortemente orientato alle grandi imprese. Questo vuole dire che il grosso problema delle micro imprese non è tanto la sensibilizzazione, quanto il fatto che un'azienda anche già "sensibilizzata" ha difficoltà ad accedere a conoscenze e competenze adeguate alle sue esigenze.

PM: Che consigli darebbe a chi, in una PMI, deve occuparsi di tali adempimenti?

CT: Una strada importante è certamente quella dell'aggregazione. La singola piccola o micro impresa non è generalmente in grado, anche economicamente, di affrontare autonomamente queste tematiche, che d'altra parte non sono problematiche sulle quali sia in competizione con le altre imprese del suo stesso settore. Conviene quindi sfruttare gli strumenti di aggregazione che hanno a disposizione, prime fra tutte le associazioni imprenditoriali e professionali, per ottenere soluzioni che siano applicabili a più imprese della stessa categoria, suddividendo fra l'altro anche i costi. Vedo le associazioni imprenditoriali molto disponibili su questo fronte, anche perché sono esse stesse ben consce dei problemi dei loro associati. Questa è del resto la direzione nella quale ci stiamo muovendo come CLUSIT con il nostro progetto sulle PMI, nel quale ci proponiamo come partner per le associazioni imprenditoriali di piccole e micro imprese nell'affrontare il tema della sicurezza ICT.

PM: ENISA in che modo può essere utile alla PMI?

CT: ENISA può essere utile soprattutto come punto di aggregazione e di promozione di iniziative a livello europeo e come strumento per lo scambio di esperienze fra i diversi attori dei paesi membri. In effetti, l'iniziativa che stiamo avviando per le piccole e micro imprese come CLUSIT si basa anche sulle esperienze di organizzazioni altri paesi, esperienze delle quali abbiamo appreso in particolare in un incontro organizzato da ENISA lo scorso autunno.

PM: La formazione è importante per la sicurezza nella PMI?

CT: Sicuramente la formazione è molto importante. Uno dei problemi maggiormente lamentati dai titolari di piccole imprese è che il personale non è preparato ad avere comportamenti corretti di fronte a problemi come virus, phishing eccetera. È chiaro che senza un'adeguata preparazione del personale, le misure di protezione tecnologiche possono poco.

PM: Vale la pena di investire nella formazione a distanza, e-learning e similia? Può dare qualche consiglio?

CT: Il problema non è tanto lo strumento quanto i contenuti. Quando si parla di formazione alle PMI e al personale non tecnico, tuttora si sente generalmente parlare di "semplificazione" di quello che viene proposto alle grandi imprese. Le PMI invece hanno bisogno di formazione offerta secondo la loro dimensione, che non è semplicemente una semplificazione di una grande azienda ma ha prospettive completamente diverse su alcuni aspetti.
Un esempio tipico è quello della separazione dei ruoli. In una piccola impresa in cui una sola persona i occupa di tutti gli aspetti dell'IT, magari con un po' di supporto da parte di consulenti esterni, parlare di separazione dei ruoli nella gestione dell'IT semplicemente non ha senso. Anzi, quella stessa persona probabilmente si occuperà anche di altre attività all'interno dell'azienda. La separazione dei ruoli sarà eventualmente possibile fra diverse attività per le quali l'IT è uno strumento, ma è un discorso diverso.
Questo non è un "errore" delle piccole imprese, è semplicemente che per loro natura sono fatte così. Chi viene dalle grandi aziende spesso affronta il problema facendo discorsi generici sulla separazione dei ruoli e poi dicendo che "però da voi è difficile da applicare": una perdita di tempo che genera solo confusione.
Inoltre, in questi contesti è particolarmente evidente la difficoltà dei tecnici nel presentare i concetti ai non tecnici, altro problema molto sentito. Anche qui, spesso si cerca una "semplificazione" come si farebbe con dei bambini, senza rendersi conto che si hanno davanti persone che nel proprio ambito spesso affrontano problemi e concetti molto più complessi di quelli che vengono loro presentati nella formazione IT, ma che hanno bisogno di un linguaggio appropriato. Spesso invece il tecnico che ha appena "semplificato" un concetto rendendolo troppo vago, di fronte ad una richiesta di precisazioni passa a parlare di dettagli tecnici magari corretti ma completamente inutili, e soprattutto si lascia andare alla terminologia specialistica con la quale è abituato a trattare quei concetti. Il risultato dal punto di vista del rapporto della platea con il formatore e con l'argomento è pessimo.

PM: In cosa consiste il progetto del CLUSIT per le piccole e micro imprese che ha citato più volte?

CT: Per intervenire sulle micro imprese è necessario un modello che sia facilmente scalabile sui grandi numeri e che tenga conto delle competenze disponibili sul territorio. Per questo, il CLUSIT sta sviluppando un modello di intervento che coinvolge fortemente le associazioni imprenditoriali, che sono in grado di individuare le esigenze dei loro associati, di veicolare informazioni e di tutelare gli associati riguardo all'adeguatezza di quanto viene loro proposto. Il modello prevede di operare su categorie di imprese uniformi come settore di attività, dimensioni, territorio e quindi in buona misura anche struttura del sistema informativo ed esigenze di gestione del rischio e conformità alle normative. Per ogni categoria su cui si pianifica di intervenire, viene selezionato un campione di imprese che viene analizzato direttamente. In base a questa analisi sono individuate le esigenze e vengono sviluppati strumenti per guidare l'impresa a raggiungere un livello di sicurezza e una gestione del rischio adeguati. Gli strumenti sono poi applicabili con poche variazioni alle altre imprese della stessa categoria, autonomamente o al più con il supporto di poche ore di consulenza. Anche dal punto di vista della consulenza, il modello prevede l'utilizzo delle competenze presenti sul territorio, con una formazione limitata a quanto necessario per utilizzare correttamente gli strumenti sviluppati. È da sottolineare che l'attività di consulenza, che non sarà erogata dal CLUSIT ma direttamente dai professionisti, non vuole in generale sostituirsi all'attività dei fornitori e gestori dei sistemi informativi delle piccole e micro imprese, ma si limiterà quando possibile a fornire loro indicazioni su come correggere le carenze rilevate principalmente mediante strumenti di autoanalisi. Successivi incontri, sempre della durata di poche ore e ripetuti con cadenza semestrale o annuale, permetteranno di mantenere nel tempo i risultati raggiunti.
Stiamo avviando collaborazioni con diverse associazioni imprenditoriali, che si sono dimostrate sensibili e interessate al modello.

PM: Grazie e buon lavoro.

CT: Grazie a voi.

Chi è Claudio Telmon?

Claudio Telmon è un consulente nel campo della sicurezza dei sistemi informatici, anche in collaborazione con società specializzate nel settore. Laureato in Scienze dell’Informazione, certificato CISA, CISSP, Lead Auditor ISO 27001, Claudio è tra i fondatori dell'Associazione Italiana Professionisti della Sicurezza Informatica (AIPSI), capitolo italiano di ISSA (Information Systems Security Association) e membro del Comitato Direttivo e del Comitato Tecnico Scientifico del CLUSIT (Associazione Italiana per la Sicurezza Informatica). Claudio può essere contattato attraverso il suo blog.

Altre interviste a Claudio Telmon

  • Nasce ISSA Italia - IsacaRoma Newsletter 
  • AIPSI: LoCSI - certificazione sulla Localizzazione delle Competenze di Sicurezza ICT (parte prima  e seconda) - IsacaRoma Newsletter 
  • La sicurezza ICT, intervista al dott. Claudio Telmon (pdf, K, 4 pp) - sito della Camera commercio industria, artigianato, agricoltura di Pisa

Link

  • ENISA, Guida per l’utente: azioni di sensibilizzazione in materia di sicurezza informatica (pdf,  1.4 M, 72 pp)

Creative Commons

Questo documento è rilasciato con licenza Creative Commons Attribuzione-Non commerciale-Condividi allo stesso modo 2.5 Italia