Quando si affrontano problematiche legate alla sicurezza dei dati molto spesso si tende a concentrarsi sul fattore macchina e non sul fattore umano, dimenticandosi così che lavorare sulla sicurezza è una serie di analisi ed operazioni che contempla molti aspetti legati alla formazione, al controllo ed alla gestione del personale oltre che dell'hardware.

Seneca diceva che non esiste porto sicuro per chi non conosce i venti e le correnti, ecco quindi che la sicurezza all'interno di una struttura è un insieme di conoscenze frutto di analisi su:

* rischi;
* politiche aziendali;
* strumenti;
* norme;
* controlli.

La conoscenza dei fattori che influenzano la sicurezza diventa la prima fase importante in un analisi corretta che deve portare l'Azienda a conoscere cosa proteggere, come, dove, quando, perchè, e che danno si potrebbe produrre.

Ricordiamoci che la sicurezza si definisce in rapporto alle minacce e ai rischi cui sono sottoposti gli assets aziendali che si vogliono proteggere.

Si potra così identificare al meglio cosa si deve proteggere, come proteggerlo e quanto costa farlo.

E' infatti inutile proteggere sistemi o procedure che hanno un rischio basso di accadimento o che anche a fronte di un accadimento dannoso provochino un danno economico molto basso, bisogna ricordarsi infatti che non esiste un sistema sicuro in assoluto. La sicurezza è un concetto relativo. "Il sistema A è più sicuro del sistema B".
Il corretto quesito da porsi dovrebbe essere: Il sistema è sufficientemente sicuro da sostenere il mio business e da essere allineato agli standard di legge?

 

Le considaerazioni da fare sono semplici:

* Le misure di sicurezza da implementare sono dimensionate in funzione delle minacce?
* Abbiamo determinato le misure di sicurezza in relazione al fattore di rischio residuo che intendiamo sostenere?
* Abbiamo bilanciato il costo di sicurezza contro il valore dei beni da proteggere e gli obblighi di legge?
* Abbiamo bilanciato i bisogni di sicurezza contro i bisogni del business?
* Abbiamo bilanciato probabilità contro possibilità?

Il nuovo Decreto Legislativo sulla privacy ci obbliga oltre ad ottemperare a tutte le misure minime (che per fortuna sono determinate) anche a implementare le misure idonee, con notevole imbarazzo nelle Aziende nel capire quale è il limite di sicurezza da raggiungere.

La schema sottostante può aiutare a capire come muoversi nella determinazione di cosa fare.

Il Costo complessivo è la somma del costo della sicurezza più il costo di esposizione dove nei costi per la sicurezza possiamo inserire:

• selezionare, formare e mantenere personale qualificato;
• acquistare tecnologia hardware e software;
• aggiornamento della  tecnologia;
• aumento della complessità operativa ed organizzativa, incremento dell’overhead e degrado delle performance del sistema (dovuti alla tecnologia);

mentre nei costi di esposizione è possibile conteggiare:

• sanzioni amministrative;
• sanzioni di tipo penale;
• responsabilità civile;
• blocco dell’operatività aziendale;
• perdita di immagine.

Come si può vedere dal grafico all'aumentare del livello di sicurezza aumentano i costi per mettersi in regola e diminuiscono i costi causati da danni eventuali, il punto di ottimo economico è il punto in cui all'aumentare dei costi di sicurezza si hanno decrementi pochi significativi del costo di esposizione; oltre questo punto non è conveniente implementare ulteriori misure di sicurezzae e pertanto lo si può considerare come limite superiore per le misure idonee.