Open 4 Business

Sicurezza, quanto mi costi?

office-1049827_1920

Gli studi sui costi della sicurezza sono numerosi, visto che si tratta di un problema importante per le organizzazioni di ogni tipo e dimensione, ma il costo della sicurezza è stranamente assente dalle ricerche – sponsorizzate da Microsoft o dai suoi partner – che cercano di dimostrare il maggiore delle migrazioni da Microsoft Office a LibreOffice.

Siccome ho affrontato il tema del TCO nell’ultimo articolo, è opportuno approfondire ora quello del costo della sicurezza. Purtroppo, sono argomenti poco conosciuti, e in quanto tali vengono spesso utilizzati a sproposito per diffondere notizie che non hanno nessuna base scientifica, ma fanno presa – in quanto eclatanti – sugli utenti meno competenti.

Infatti, è facile affermare che il codice sorgente aperto è meno sicuro del codice sorgente chiuso del software proprietario, per far presa sugli utenti che ignorano la realtà dei fatti e vengono abbindolati da facili paralleli con casseforti e serrature. I dati di tutte le ricerche dicono esattamente il contrario.

Per esempio, secondo il servizio Coverity Scan, la qualità del codice sorgente di LibreOffice è largamente superiore rispetto alla qualità media del software proprietario. Questo si traduce in una serie di vantaggi, tra i quali c’è la sicurezza (perché all’interno di un codice sorgente privo di errori è praticamente impossibile nascondere il malware).

Inoltre, secondo uno studio Symantec commissionato dal Governo della Repubblica Federale Tedesca, i formati di Microsoft Office sono – insieme al PDF – il veicolo preferenziale per la distribuzione del malware, e credo che tutti possano verificare facilmente quest’affermazione facendo caso alla tipologia degli attachment dei messaggi più sospetti.

Ma veniamo al tema dell’articolo, ovvero al costo della sicurezza, o meglio, dell’assenza di sicurezza che porta all’intrusione nel sistema o alla perdita dei dati. La ricerca 2014 Cost of Data Breach Study: Italy, realizzata da IBM e Ponemon Institute e pubblicata nel 2015, rileva un aumento del costo medio degli incidenti da 102 a 105 dollari.

La ricerca ha preso in esame 22 aziende di 12 diversi settori industriali, e ha analizzato le conseguenze della perdita o del furto di dati personali, e la notifica alle vittime in base alle disposizioni di legge. La media dei record coinvolti in ciascun incidente è 18.983 (un numero che a me sembra semplicemente enorme).

Le aziende dei settori finanziario, farmaceutico, industriale, tecnologico, dei servizi e dei beni di largo consumo hanno avuto un costo per incidente superiore alla media, mentre quelle del commercio, del turismo e della PA hanno avuto un costo per indicente inferiore alla media (nella PA il costo medio per indicente scende a 58 dollari).

Il 41% degli incidenti è frutto di un attacco criminale dall’esterno, il 32% di falle del sistema IT e dei processi aziendali, e il 27% di negligenza da parte dei dipendenti o dei fornitori. Quest’ultimo tipo di incidente ha un costo largamente superiore alla media di 125 dollari.

I costi indiretti – ovvero il tempo e le risorse necessarie per risolvere il problema – fanno la parte del leone con 56 dollari, mentre i costi diretti – l’acquisto di una tecnologia o l’assunzione di uno specialista in sicurezza o di un consulente – sono di 49 dollari.

Visto che il rapporto tra le vulnerabilità di LibreOffice e quelle di Microsoft Office è di 1 a oltre 10, quando si calcola il TCO di Microsoft Office sarebbe buona norma introdurre una voce “sicurezza” superiore di almeno 10 volte rispetto a quella di LibreOffice, invece di fare stime a naso sugli ovvi costi di conversione da un formato proprietario e offuscato a un formato standard e aperto.

In ogni caso, si tratta di costi a carico dell’organizzazione che migra, ma sono costi di uscita dal lock-in e non costi di ingresso agli standard, per cui vanno fatti pagare a chi – sciaguratamente – ha fatto una scelta sbagliata o perlomeno poco lungimirante.

Naturalmente, lo studio IBM/Ponemon è basato su un campione ridotto di aziende, per cui non ha pretese di scientificità, e i dati a livello nazionale potrebbero anche essere radicalmente diversi.

Peraltro, è basato su un campione di aziende e non su una sola azienda, come la totalità degli studi sponsorizzati da Microsoft, che non prendono mai in esame – per esempio – le metodologie di migrazione a LibreOffice basate su best practice, oppure tendono a smentirle a priori (d’altronde, vogliono dimostrare esattamente il contrario).

Italo Vignoli

Italo Vignoli

Laureato in Lettere all’Università Statale di Milano, è uno dei fondatori di The Document Foundation, la “casa di LibreOffice”, nonchè portavoce del progetto a livello internazionale; è anche fondatore e presidente onorario della neonata Associazione LibreItalia.

Ha partecipato ad alcuni tra i principali progetti di migrazione a LibreOffice, sia nella fase iniziale di analisi che in quella di comunicazione orientata alla gestione del cambiamento. Ed è autore dei protocolli per le migrazioni e la formazione, sulla base dei quali vengono certificati i professionisti nelle due discipline. In questa veste è coordinatore della commissione di certificazione.

Come esperto di standard dei documenti, ha partecipato alla commissione dell’Agenzia per l’Italia Digitale per il Regolamento Applicativo dell’Articolo 68 del Codice dell’Amministrazione Digitale.

Facebook Twitter LinkedIn Google+ 

Clicca per commentare

Commenti e reazioni su:

Loading Facebook Comments ...

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

TechEconomy è il portale di informazione dedicato a manager, imprenditori e professionisti che vogliono approfondire e comprendere l’impatto delle tecnologie nello sviluppo del business nelle PMI come nell’industria, nella finanza, nei servizi.
Si rivolge insomma a tutti coloro che vogliono capire come le nuove realtà dell'Information Technology - Web 2.0, e-Business, net economy - stiano cambiando l’economia, e con essa la società.
Inizio
Shares
Share This