SICUREZZA DIGITALE

Datemi un punto d’appoggio…

Un modo non convenzionale di guardare la sicurezza dei sistemi informatici

Ai primi freddi dell’inverno scorso, la batteria della mia auto dà segni di sfinimento. Approccio la cosa con i sistemi di un tempo: un giro per benzinai a vedere chi ha un’occasione, si compra, una chiave inglese e mentre bolle la pasta il tutto è risolto. Un sabato mattina, non certo un safari hemingwayano. Non è più così: la mia macchina ha un sistema start-stop (mai usato) per cui serve batteria con forte spunto, la vende l’elettrauto, costa il doppio. Va bene, la compro. Momento, la monta lei? Sì, vuole vedere la laurea? No, è perché va programmata la centralina con la chiave d’accesso. Chiave pubblica o privata? Spiritoso, sono altri 20-40 euri, e va ordinata alla casa madre. Verrebbe da chiedere la madre di chi, sicuramente ignota.

Mi sono documentato: una start-stop a me acconcia pesa una ventina di kg, quasi tutto piombo, 60 eurocent/kg alla borsa CBOT di Chicago. Di Pb ci vanno 12 euro. Moltiplicate per 20 e avete il money for value pagato, installato e funzionante. Il latte alla stalla è 40 eurocent/litro (lo sa lo stacanovista dello spot), il parmigiano 12 mesi è 11 euro/kg, quasi 30 volte; ma è un eccellenza, ha molto più lavoro, passa per molte più mani e ha una latenza di working capital immobilizzato di anni. Vi tralascio il moltiplicatore di un pannello FV, andiamo al sodo.

Qual è l’effetto moltiplicatore della sicurezza infomatica, la leva? Andando a ricercare un esempio confrontabile di leverage, cioè di integrazione orizzontale fra le applicazioni e la loro sicurezza lato sensu, ci cade l’occhio e ci punge vaghezza di un sistema avuto sottomano una decina di anni fa e che non nominerò perché non sono certo che i miei consueti danni da incompetenza siano ormai prescritti:

  • Sistema applicativo + infrastruttura in hosting 2.1 mn € annui
  • Assistenza applicativa e sistemi collaterali 250 k € annui
  • Assistema sistemistica e rete 260 k € annui

Un totale di OpEx di oltre 2.6 mn €. Ricordo bene che, per esibizionismo, buttai giù il budget su un tovagliolo di carta in un bar e vi fissai gli scenari, che chiamai intuitivamente formica (-150,000 €) e cicala (+330,000) quindi così la bottom line ballava tra 2.4 e 2.9 mn.

Questo sistema, basato su browser, ben confezionato come load balancing, virtualizzato in VMware e con network storage di ultimo grido, viene prudentemente protetto con un wrapping di intrusion detection / prevention.

  • Sicurezza perimetrale, attraverso tecnologie di Firewalling e VPN
  • Controllo delle intrusioni, attraverso una tecnologia di IDS/IPS (appliance)
  • Antivirus / Antispam

Il tutto per un costo annuo di circa 205 k €. Cioè: facendo leva sul sistema applicativo, si aggiungeva tra il 7 e l’ 8.5% di sicurezza. Il numero non dice molto in sé. Ma è il doppio rispetto al report KPMG del 2021 sul FinTech, secondo cui gli investimenti globali sulla sicurezza informatica hanno toccato oltre 3,7 miliardi di dollari nel primo semestre del 2021 a fronte di 98 miliardi di investimenti informatici FinTech pari periodo. Infatti, se  proviamo a rigirarlo, cioè appoggiamo il costo del sistema sopra il costo della sua sicurezza, quel numero ci dà  un moltiplicatore di 12-14 volte.

Questo moltiplicatore, così rigirato, diviene l’equivalente del caso piombo e del caso latte, laddove il sistema applicativo diventa l’equivalente della batteria o del parmigiano. Questa inversione del modo di guardare le cose può apparire bizzarra. Diciamo  che primum vivere deinde philosophari: la sicurezza è la vita, gli applicativi sono le favole belle che ci illudono, o Ermione. E’ un modello tra l’ardito e l’orripilante ma i manuali dei sistemi, quelle cose che un tempo si promettevano a fine progetto e non si facevano mai, oggi iniziano tutti con la sicurezza. E almeno si fanno.

Edison racconta nelle sue memorie di avere visto degli operai spaccare pietre vicino al fiume e di colpo avere avuto l’intuizione che quelle pietre avrebbe potuto spaccarle l’energia del fiume se trasportata dall’elettricità. Era un bell’esempio di inversione del modo di vedere, ma lui era lui e io non sono… ci siamo capiti. Però, se riprendiamo il confronto iniziale con le batterie e il parmigiano, ci chiederemo: è la sicurezza una tale commodity da non generare neanche una leva di 20 come il piombo? Se ci dessimo quell’obiettivo, avremmo la soglia del 5% in sicurezza come discrimine tra sistemi ordinari e sistemi di eccellenza: chi fa sistemi con security/safety by design partendo dal costo sopravvivenziale di questi ultimi, genererebbe sistemi a leva 20. Il mercato inizierebbe a muoversi per ampliare quella leva inserendosi nella catena invertita, dalla sicurezza alle applicazioni. Non è un paradosso: infatti primum vivere, ma nessuno si dà come scopo nella vita respirare o digerire. Da quello si parte e poi si amplia (lavoro, sport, amori, poesia, etc.). Chissà se mi sono spiegato.

Conclusione: da che parte sta la leva?  E’ una cosa un po’ folle ma immaginate Archimede. Visti i moltiplicatori del parmigiano, forse sarebbe lui da evocare in uno spot di quell’eccellentissimo prodotto. Diceva Stendhal mi pare: il y a le fromage et il y a le parmesan. Le batterie invece le fanno i cinesi.

Back to top button