Ieri sera, ho ricevuto una chiamata da un amico, che si occupa di sicurezza informatica, e dopo una piacevole discussione in merito a salute, famiglia e auto elettrica si o auto elettrica no, inevitabilmente siamo finiti a confrontarci sull’ambito professionale.
Mi raccontava dei nuovi firewall installati in azienda, dei nuovi “jump server” per creare un percorso obbligati al personale che gestisce la parte “amministrativa”, delle nuove configurazioni firewall da realizzare su ciascun client per “canalizzare” il percorso utente, di come ottenere una formattazione utile dei log del proxy etc.
Partendo dall’assunto che conoscendo bene la persona, che ritengo meritevole di tutta la mia stima, e pur essendo a conoscenza dello sforzo profuso, da parte sua, per ottenere il risultato quanto più efficace possibile in ambito sicurezza o “cybersecurity”, come di si voglia, non mi trova pienamente d’accordo con le scelte fatte.
Secondo me:
Facciamo un pochino di chiarezza, siamo nell’epoca in cui il “dato” è diventato merce di scambio, quindi le grandi aziende “digitali” fanno di tutto per collezionarne e catalogarne il più possibile, e poterli rivendere a tutte le aziende che, per necessità di marketing ne fanno richiesta, questo però genera tutta una serie di problemi alle persone/aziende, le espone, le mette a nudo nei confronti del mondo intero … lo so, sto andando ad infilarmi in un vespaio, ma tranquilli, non ho intenzione di iniziare una filippica filosofica, cercherò di essere sintetico, ma ritengo necessario, porre un elemento di riflessione, del quale ciascuno, poi, ne farà l’uso che meglio crede.
La corsa frenetica alla sicurezza a tutti i costi, sta facendo perdere di vista il vero obiettivo da raggiungere, occorre, distinguere tra privacy e cybersecurity (leggi qui), argomento già trattato in precedenza, e tra vivere e lavorare in luoghi che tengono fuori i malintenzionati (Fort Apache) oppure realizzare infrastrutture mastodontiche e orpelli, che ci impediranno di muoverci liberamente, come in un carcere (Alcatraz).
L’approccio corretto (secondo me):
Realizza il tuo Fort Apache, con poche e semplici regole, facili da osservare e da far osservare, senza doverne chiudere a chiave tutte le stanze; non serve. Nella concitazione di impedire che qualcuno “entri” a rubarti i dati, verifica di non essere tu stesso a consegnarglieli.
Non voglio essere semplicistico, personalmente, tratto l’argomento della sicurezza e soprattutto della privacy, molto seriamente, al limite del paranoico, ma le regole devono essere sostenibili nel lungo periodo, se sono troppo stringenti chiunque, sentendosi legato, alla prima occasione con la scusa del caso, cercherà di aggirarle.
