La storia di Pino che voleva risolvere i suoi problemi con la tecnologia e l’importanza di fare maturare i processi. Quando non conta “cosa fai” ma “come lo fai”
Mi arriva la telefonata di Pino, responsabile sicurezza informatica della ACME Spa (i nomi sono di fantasia), che mi dice: «Ho bisogno di quel software che controlla le modifiche fatte alle regole del firewall». Non resisto alla tentazione di complicarmi la vita e anziché fargli inviare un’offerta gli chiedo: «Ma cosa ne fai»? Lui rimane un po’ interdetto e mi risponde, come se parlasse a un bimbo: «Devo controllare che cosa fanno le persone che gestiscono il firewall».
Ok, ora una domanda un po’ più difficile. «Perché devi controllarli così? Cosa è successo»? Con un po’ di comprensibile reticenza, Pino risponde: «Ci sono stati dei problemi». Arriviamo al motivo scatenante della telefonata: «Quali problemi? Flussi aperti o chiusi per errore? O per dolo»? Insomma, la ACME ha avuto dei problemi operativi reali – assai spesso, un blocco di un flusso importante per il business o la conformità normativa – causati da un errore di un gestore dei firewall.
Generalmente, si tratta di una persona junior, che implementa modifiche già approvate e riviste da altri. A volte, complice la fretta, gli si consente di procedere senza revisioni (alcuni lo fanno anche di propria iniziativa, ma è relativamente raro). In alcuni casi, si tratta di una banale svista: l’errore di digitazione oppure di sintassi del comando. In altri, ma sono decisamente la minoranza – anche perché secondo le statistiche le aziende se ne accorgono dopo molti mesi (quando se ne accorgono) – si tratta di dolo.
Pino riflette da solo: «Se l’avessi saputo, avrei potuto fare qualcosa». E quindi vuole comprare un sistema d’allarme. Idea di totale buon senso. Semplice ed efficace. E anche sbagliata.
Perchè l’idea di Pino è sbagliata?
Pino non considera che: 1) un sistema d’allarme funziona bene solo con eventi rari e facili da identificare come erronei (non il suo caso), quindi gli arriveranno degli avvisi e non degli allarmi; 2) non è detto che abbia tempo di leggere tutti gli avvisi; 3) se li legge, non è detto possa accorgersi “a mente” che la modifica è sbagliata; 4) se capisce che è un errore, non è detto che abbia tempo o modo di intervenire immediatamente; 5) se interviene subito, l’incidente è già avvenuto e può al più limitare i danni; 6) anche solo per limitare i danni, deve decidere cosa fare, e un’emergenza è il momento peggiore per farlo.
Qual è il vero problema?
Se invece alzasse un po’ la testa dal marasma quotidiano, potrebbe accorgersi che il problema vero è nell’intero processo di gestione delle modifiche. Potrebbe quindi notarne i punti deboli e scegliere per ciascuno le soluzioni migliori: insomma, potrebbe far maturare il suo processo. Per esempio, migliorando la prevenzione degli errori insieme alla reazione agli incidenti, e decidendo a priori cosa fare. Il caso di Pino è tutt’altro che raro, ma quando il problema è nel processo, buttargli addosso della tecnologia è un metodo collaudato per buttare via tempo e denaro. La tecnologia non ha mai risolto alcun problema di processo – anzi – in molti casi, ha contribuito a esasperarli, introducendo ulteriori complicazioni senza intaccare la sostanza del problema.
Qual è la soluzione?
Le aziende hanno difficoltà a gestire la sicurezza perché non fa parte del loro core business. Se, come accade di frequente, l’azienda non può permettersi un esperto, si applica il senso comune della sfera privata o della cultura popolare e di conseguenza i processi relativi alla sicurezza risultano mal funzionanti. La maturità dei processi è invece fondamentale in tutti i campi, anche in quelli più propriamente di business, che è il motivo per cui le startup spesso chiamano CEO esperti che affiancano i fondatori su temi magari meno emozionanti ma fondamentali, come per esempio la fatturazione e la riscossione dei pagamenti. Quindi, la soluzione giusta, non è (solo) di farsi inviare un alert quando il backup non funziona. La soluzione è di provare – ogni tanto – a fare un restore.
Mauro Cicognini, membro del Consiglio Direttivo e del Comitato Tecnico Scientifico di Clusit
