Sicurezza, quanto mi costi?

Gli studi sui costi della sicurezza sono numerosi, visto che si tratta di un problema importante per le organizzazioni di ogni tipo e dimensione, ma il costo della sicurezza è stranamente assente dalle ricerche – sponsorizzate da Microsoft o dai suoi partner – che cercano di dimostrare il maggiore delle migrazioni da Microsoft Office a LibreOffice.

Siccome ho affrontato il tema del TCO nell’ultimo articolo, è opportuno approfondire ora quello del costo della sicurezza. Purtroppo, sono argomenti poco conosciuti, e in quanto tali vengono spesso utilizzati a sproposito per diffondere notizie che non hanno nessuna base scientifica, ma fanno presa – in quanto eclatanti – sugli utenti meno competenti.

Infatti, è facile affermare che il codice sorgente aperto è meno sicuro del codice sorgente chiuso del software proprietario, per far presa sugli utenti che ignorano la realtà dei fatti e vengono abbindolati da facili paralleli con casseforti e serrature. I dati di tutte le ricerche dicono esattamente il contrario.

Per esempio, secondo il servizio Coverity Scan, la qualità del codice sorgente di LibreOffice è largamente superiore rispetto alla qualità media del software proprietario. Questo si traduce in una serie di vantaggi, tra i quali c’è la sicurezza (perché all’interno di un codice sorgente privo di errori è praticamente impossibile nascondere il malware).

Inoltre, secondo uno studio Symantec commissionato dal Governo della Repubblica Federale Tedesca, i formati di Microsoft Office sono – insieme al PDF – il veicolo preferenziale per la distribuzione del malware, e credo che tutti possano verificare facilmente quest’affermazione facendo caso alla tipologia degli attachment dei messaggi più sospetti.

Ma veniamo al tema dell’articolo, ovvero al costo della sicurezza, o meglio, dell’assenza di sicurezza che porta all’intrusione nel sistema o alla perdita dei dati. La ricerca 2014 Cost of Data Breach Study: Italy, realizzata da IBM e Ponemon Institute e pubblicata nel 2015, rileva un aumento del costo medio degli incidenti da 102 a 105 dollari.

La ricerca ha preso in esame 22 aziende di 12 diversi settori industriali, e ha analizzato le conseguenze della perdita o del furto di dati personali, e la notifica alle vittime in base alle disposizioni di legge. La media dei record coinvolti in ciascun incidente è 18.983 (un numero che a me sembra semplicemente enorme).

Le aziende dei settori finanziario, farmaceutico, industriale, tecnologico, dei servizi e dei beni di largo consumo hanno avuto un costo per incidente superiore alla media, mentre quelle del commercio, del turismo e della PA hanno avuto un costo per indicente inferiore alla media (nella PA il costo medio per indicente scende a 58 dollari).

Il 41% degli incidenti è frutto di un attacco criminale dall’esterno, il 32% di falle del sistema IT e dei processi aziendali, e il 27% di negligenza da parte dei dipendenti o dei fornitori. Quest’ultimo tipo di incidente ha un costo largamente superiore alla media di 125 dollari.

I costi indiretti – ovvero il tempo e le risorse necessarie per risolvere il problema – fanno la parte del leone con 56 dollari, mentre i costi diretti – l’acquisto di una o l’assunzione di uno specialista in sicurezza o di un consulente – sono di 49 dollari.

Visto che il rapporto tra le vulnerabilità di LibreOffice e quelle di Microsoft Office è di 1 a oltre 10, quando si calcola il TCO di Microsoft Office sarebbe buona norma introdurre una voce “sicurezza” superiore di almeno 10 volte rispetto a quella di LibreOffice, invece di fare stime a naso sugli ovvi costi di conversione da un formato proprietario e offuscato a un formato standard e aperto.

In ogni caso, si tratta di costi a carico dell’organizzazione che migra, ma sono costi di uscita dal lock-in e non costi di ingresso agli standard, per cui vanno fatti pagare a chi – sciaguratamente – ha fatto una scelta sbagliata o perlomeno poco lungimirante.

Naturalmente, lo studio IBM/Ponemon è basato su un campione ridotto di aziende, per cui non ha pretese di scientificità, e i dati a livello nazionale potrebbero anche essere radicalmente diversi.

Peraltro, è basato su un campione di aziende e non su una sola azienda, come la totalità degli studi sponsorizzati da Microsoft, che non prendono mai in esame – per esempio – le metodologie di migrazione a LibreOffice basate su best practice, oppure tendono a smentirle a priori (d’altronde, vogliono dimostrare esattamente il contrario).

Facebook Comments

Previous articleQuanto costa buttare giù il sito di un concorrente con un attacco DDoS?
Next articleHCE e #MobilePayment: quali sviluppi?
Laureato in Lettere all’Università Statale di Milano, è uno dei fondatori di The Document Foundation, la "casa di LibreOffice", nonchè portavoce del progetto a livello internazionale; è anche fondatore e presidente onorario della neonata Associazione LibreItalia. Ha partecipato ad alcuni tra i principali progetti di migrazione a LibreOffice, sia nella fase iniziale di analisi che in quella di comunicazione orientata alla gestione del cambiamento. Ed è autore dei protocolli per le migrazioni e la formazione, sulla base dei quali vengono certificati i professionisti nelle due discipline. In questa veste è coordinatore della commissione di certificazione. Come esperto di standard dei documenti, ha partecipato alla commissione dell'Agenzia per l'Italia Digitale per il Regolamento Applicativo dell'Articolo 68 del Codice dell'Amministrazione Digitale.

LEAVE A REPLY

Please enter your comment!
Please enter your name here