Ai primi freddi dell’inverno scorso, la batteria della mia auto dà segni di sfinimento. Approccio la cosa con i sistemi di un tempo: un giro per benzinai a vedere chi ha un’occasione, si compra, una chiave inglese e mentre bolle la pasta il tutto è risolto. Un sabato mattina, non certo un safari hemingwayano. Non è più così: la mia macchina ha un sistema start-stop (mai usato) per cui serve batteria con forte spunto, la vende l’elettrauto, costa il doppio. Va bene, la compro. Momento, la monta lei? Sì, vuole vedere la laurea? No, è perché va programmata la centralina con la chiave d’accesso. Chiave pubblica o privata? Spiritoso, sono altri 20-40 euri, e va ordinata alla casa madre. Verrebbe da chiedere la madre di chi, sicuramente ignota.
Mi sono documentato: una start-stop a me acconcia pesa una ventina di kg, quasi tutto piombo, 60 eurocent/kg alla borsa CBOT di Chicago. Di Pb ci vanno 12 euro. Moltiplicate per 20 e avete il money for value pagato, installato e funzionante. Il latte alla stalla è 40 eurocent/litro (lo sa lo stacanovista dello spot), il parmigiano 12 mesi è 11 euro/kg, quasi 30 volte; ma è un eccellenza, ha molto più lavoro, passa per molte più mani e ha una latenza di working capital immobilizzato di anni. Vi tralascio il moltiplicatore di un pannello FV, andiamo al sodo.
Qual è l’effetto moltiplicatore della sicurezza infomatica, la leva? Andando a ricercare un esempio confrontabile di leverage, cioè di integrazione orizzontale fra le applicazioni e la loro sicurezza lato sensu, ci cade l’occhio e ci punge vaghezza di un sistema avuto sottomano una decina di anni fa e che non nominerò perché non sono certo che i miei consueti danni da incompetenza siano ormai prescritti:
- Sistema applicativo + infrastruttura in hosting 2.1 mn € annui
- Assistenza applicativa e sistemi collaterali 250 k € annui
- Assistema sistemistica e rete 260 k € annui
Un totale di OpEx di oltre 2.6 mn €. Ricordo bene che, per esibizionismo, buttai giù il budget su un tovagliolo di carta in un bar e vi fissai gli scenari, che chiamai intuitivamente formica (-150,000 €) e cicala (+330,000) quindi così la bottom line ballava tra 2.4 e 2.9 mn.
Questo sistema, basato su browser, ben confezionato come load balancing, virtualizzato in VMware e con network storage di ultimo grido, viene prudentemente protetto con un wrapping di intrusion detection / prevention.
- Sicurezza perimetrale, attraverso tecnologie di Firewalling e VPN
- Controllo delle intrusioni, attraverso una tecnologia di IDS/IPS (appliance)
- Antivirus / Antispam
Il tutto per un costo annuo di circa 205 k €. Cioè: facendo leva sul sistema applicativo, si aggiungeva tra il 7 e l’ 8.5% di sicurezza. Il numero non dice molto in sé. Ma è il doppio rispetto al report KPMG del 2021 sul FinTech, secondo cui gli investimenti globali sulla sicurezza informatica hanno toccato oltre 3,7 miliardi di dollari nel primo semestre del 2021 a fronte di 98 miliardi di investimenti informatici FinTech pari periodo. Infatti, se proviamo a rigirarlo, cioè appoggiamo il costo del sistema sopra il costo della sua sicurezza, quel numero ci dà un moltiplicatore di 12-14 volte.
Questo moltiplicatore, così rigirato, diviene l’equivalente del caso piombo e del caso latte, laddove il sistema applicativo diventa l’equivalente della batteria o del parmigiano. Questa inversione del modo di guardare le cose può apparire bizzarra. Diciamo che primum vivere deinde philosophari: la sicurezza è la vita, gli applicativi sono le favole belle che ci illudono, o Ermione. E’ un modello tra l’ardito e l’orripilante ma i manuali dei sistemi, quelle cose che un tempo si promettevano a fine progetto e non si facevano mai, oggi iniziano tutti con la sicurezza. E almeno si fanno.
Edison racconta nelle sue memorie di avere visto degli operai spaccare pietre vicino al fiume e di colpo avere avuto l’intuizione che quelle pietre avrebbe potuto spaccarle l’energia del fiume se trasportata dall’elettricità. Era un bell’esempio di inversione del modo di vedere, ma lui era lui e io non sono… ci siamo capiti. Però, se riprendiamo il confronto iniziale con le batterie e il parmigiano, ci chiederemo: è la sicurezza una tale commodity da non generare neanche una leva di 20 come il piombo? Se ci dessimo quell’obiettivo, avremmo la soglia del 5% in sicurezza come discrimine tra sistemi ordinari e sistemi di eccellenza: chi fa sistemi con security/safety by design partendo dal costo sopravvivenziale di questi ultimi, genererebbe sistemi a leva 20. Il mercato inizierebbe a muoversi per ampliare quella leva inserendosi nella catena invertita, dalla sicurezza alle applicazioni. Non è un paradosso: infatti primum vivere, ma nessuno si dà come scopo nella vita respirare o digerire. Da quello si parte e poi si amplia (lavoro, sport, amori, poesia, etc.). Chissà se mi sono spiegato.
Conclusione: da che parte sta la leva? E’ una cosa un po’ folle ma immaginate Archimede. Visti i moltiplicatori del parmigiano, forse sarebbe lui da evocare in uno spot di quell’eccellentissimo prodotto. Diceva Stendhal mi pare: il y a le fromage et il y a le parmesan. Le batterie invece le fanno i cinesi.
