E’ sempre buona regola ascoltare con attenzione le voci fuori dal coro, se poi appartengono ad un analista di rilievo come Gartner Research allora vale la pena spendere qualche minuto in più. La provocazione, ma fino ad un certo punto, arriva direttamente dall’altra parte del mondo… nel bel mezzo del Gartner Security and Risk Management Summit di scena in questi giorni a Sydney.
«Sono abbastanza sicuro del fatto che stiamo completamente perdendo la sfida per il controllo esteso a qualunque dispositivo e infrastruttura. Basta dare un’occhiata a quanto sta accadendo nel mondo mobile e al fenomeno Byod. Forse, a questo punto, in alcune organizzazioni gli effetti di un “rilassamento” maggiore delle policy e di una diminuzione dei controlli sarebbero molto più positivo di un continuo aumento delle restrizioni e delle rigidità…».
A parlare è Tom Scholtz, Vice President di Gartner Research che poi, ovviamente, entra nel dettaglio della sua provocazione e spiega con grande attenzione lo scenario e le possibili evoluzioni. «In questo momento – spiega Scholtz – si tende semplicemente a non tagliare e spesso ad aumentare il numero di controlli in atto su reti, dispositivi… La verità però è che, in molti casi, non sono efficaci e non è efficace questo continuo aumento della complessità. Solo 24 mesi fa, quando si parlava di Byod con i responsabili della sicurezza aziendale la risposta più comune era “non vogliamo device mobili personali in ambito lavorativo”… Oggi – continua Scholtz – queste sono le stesse persone che portano i tablet ovunque, riunioni e board compresi… Una situazione talmente fluida e difficilmente definibile che rende inefficaci molte delle strategie di sicurezza attualmente adottate – spiega il manager -. Il motivo di questa inefficacia è da ricercare nel fatto che queste policy non parlano direttamente con il singolo utente e non sono in grado di scalare in base al modo in cui gli stessi utenti oggi usano la tecnologia per lavorare e vivere. Rimuovere o rilassare una parte di questi controlli e di queste policy potrebbe essere utile per responsabilizzare maggiormente i singoli utenti in relazione alle loro azioni».
Per spiegare meglio questa sua “avventurosa” teoria il ricercatore ha poi citato gli “spazi condivisi” dove automobili e pedoni utilizzano la stessa strada, spesso con pochissimi segnali e indicazioni. Progetti altrettanto avventurosi che dice però il manager, in UK stanno già avendo interessanti applicazioni con buona soddisfazione proprio perché pedoni e guidatori prestano così maggiore attenzione all’ambiente che li circonda. Una filosofia che Scholtz applicherebbe alle organizzazioni più mature e in grado di sviluppare una “People Centric Security”. Un tipo di sicurezza che non sostituisce le strategie “tecnologiche” tradizionali (che però sarebbero però ottimizzate) ma che, dall’interno, punta a migliorarne l’efficacia attraverso una maturazione prima di tutto culturale.
«Per questo – aggiunge il manager – accorre il coinvolgimento convinto di tutti, dal Ceo a tutti i dipendenti. Occorre inoltre un efficace controllo dei comportamenti dei dipendenti con degli alert precisi e personali nel momento in cui vengono meno rispetto alla fiducia che gli viene concessa. So che si tratta di qualcosa di rivoluzionario e molto provocatorio – conclude l’analista – ma per coloro che hanno abbastanza coraggio per provare la “People Centric Security” il consiglio è di cominciare molto lentamente attivando un sistema di monitoraggio molto rigoroso degli effetti e dei risultati». Uno scenario suggestivo e una strategia davvero avventurosa i cui effetti, in un Paese come l’Italia, sarebbero tutti da testare e monitorare…