Information Security is the new backup

Questa affermazione mi è venuta in mente oggi durante una tavola rotonda, e secondo me cattura benissimo ed in maniera sintetica quale dovrebbe essere l'approccio attuale e futuro alla Sicurezza delle Informazioni, sia Cyber sia a livello di dati puri:

Information Security is the new backup

Ormai nessuno può negare l'utilità e la necessità dei backup, a qualsiasi livello, aziendale e non.

Perfino a livello domestico, anche chi è totalmente digiuno di tecnologia, fosse anche solo per salvaguardare le proprie foto delle vacanze, ha imparato, purtroppo spesso a sue spese dopo una perdita, che i dati informatici non sono affatto "per sempre", e che è sembre buona norma averne un backup...che poi andrebbe anche testato, ma questa è un'altra storia. 

Spesso, durante le implementazioni di un ISMS, o anche solo durante le sessioni di awareness mi sento dire che queste attenzioni ai dati sono "eccessive", "esagerate", "inutili" e soprattutto "costose".

Sono esattamente le stesse remore che anche solo 15-20 anni fa salutavano chi sosteneva e proponeva i backup, anche in azienda.

Adesso infatti sembra assurdo anche solo pensare che qalcuno possa affermare cose come "se perdiamo i dati li ricostruiamo dal cartaceo", oppure "nel caso andremo a memoria e ripartiremo da zero", ed infine il sempre valido "a cosa serve un backup se abbiamo i sistemi in alta affidabilità?", figlio del mai domo "Tanto non si rompe nulla!"...

Ma "Io ero lì, Gandalf. Ero lì, tremila anni fa..." ;) esagero un po' ma oramai lavoro da più di 20 anni, e tutte le affermazioni che cito, le ho sentite in prima persona.

La stessa cosa, proprio perchè "Quelli che non sanno ricordare il passato sono condannati a ripeterlo" come disse George Santaiana, sta avvenendo nei confronti della Sicurezza delle Informazioni, sia nelle sue versioni più normate, GDPR e ISO 27001 in primis, sia quando si tratta di un approccio più morbido a tali temi: "Costoso", "Inutile" "Esagerato", "Eccessivo", ed anche un bel "Paranoico", cosa che per inciso secondo me è pure un pochino vera.

Salvo poi, al primo ramsonware, phishing, data breach o simili, chiedersi come mai non si erano prese misure adeguate al riguardo e correre dal primo venditore di olio di serpente della cybersecurity per comprare il mirabolante prodotto di turno per garantirsi una sicurezza, che sarà del tutto effimera, non essendo intervenuti in alcun modo a livello di processi, risorse, formazione, tanto per citare i primi aspetti che mi vengono in mente. si mette una bella porta blindata su di una parete di cartongesso, convinti di aver risolto tutto.

In sintesi, è ormai pacifico che per i dati importanti è necessaria una cura, più o meno complessa, per garantirne l'#integrità e la #disponibilità.

Subito dopo, per le aziende, ma in realtà per tutti, vi è la #riservatezza (chi ci vede i tre pilastri di ogni ISMS, ISO 27001-Style o meno, non sbaglia...), ovvero la sicurezza che quei dati siano visibili/usabili solo alle persone giuste.

Tutti questi aspetti diventeranno nei prossimi anni dei pilastri ad ogni livello aziendale come lo è oggi la necessità del backup: e quindi la domanda fondamentale che mi pongo è questa: 

sarà proprio necessario arrivare anche questa volta a dover sperimentare direttamente le conseguenze di una perdita di sicurezza delle informazioni prima di agire, o riusciremo a fare tesoro dell'esperienza del backup, ed iniziare a considerare la Sicurezza delle Informazioni necessaria come lo sono i Backup?