Link alla notizia: http://www.businessmagazine.it/news/il-paradosso-della-sicurezza-it-la-paura-degli-attacchi-rende-piu-vulnerabili_49642.html

Un'indagine Gartner mostra come molte aziende stiano abbandonando le tradizionali pratiche di gestione del rischio IT verso un atteggiamento meno efficace e basato sulla paura e sull'emotività del momento

Click sul link per visualizzare la notizia.

Questo articolo mi perplime... l'ho riletto un paio di volte e ho difficoltà a capire vari passaggi.

Le ipotesi sono 2..

- o non ci ho capito nulla perchè è estremamente specializzato per gli utenti del settore, ma dubito dato che non sono proprio l'ultimo utente che non ne capisce niente di IT.

- o forse la moda di tradurre in modo letterale articoli in inglese è sempre + spinta -_-'

chissà perchè sono molto tentato dalla seconda ipotesi..

Mah... io in genere capisco poco o nulla di queste cose, ma sembra troppo complessa la struttura usata per essere una mera traduzione.

Da quel poco che capisco io sembra che esistano due entita':

1. Gestione dei rischi come procedure o protocolli o comportamenti da adottare
(esempio stupido, non navigare di qua, non scaricare di la', fare i backups, e mille altre cose che non posso conoscere, non essendo del settore)

2. Adozione di infrastrutture o materiale tecnico per proteggersi "fisicamente" dalle varie minacce (esempio, firewall, comprare nuove unita' di backup etc. e mille altre cose che non posso conoscere, non essendo del settore)

Se ti "comporti bene" (punto 1) probabilmente avrai un piu' razionale, ed economico, approccio al dimensionamento della parte tecnica (punto2).
Ma questo sottende una analisi appunto anche verso la realizzazione delle infrastrutture, altrimenti uno potrebbe obbiettare che il punto 1 non basta se non si ha gia' un insieme minimo di risorse hw su cui contare.

Se non pensi e ti butti sul punto 2, rischi di spendere soldi in eccesso e organizzare le cose male (procedure non seguite) ed essere piu' esposto agli attacchi o rischi in genere.

In realta' entrambi i punti vanno supportati con la testa: cioe' mi sembra strano ci si butti a spendere in apparecchiature (o software) (punto 2, fud) cosi' senza nemmeno pensare a come si dovranno usare...

Mah...

mirkonorroz, in realtà è ancora più complesso.

La frase chiave è "gestione del rischio". E' una vera e propria disciplina e contempla diversi aspetti, dalla sicurezza tecnica (sviluppare le cose nel modo giusto, tenere aggiornati i software e via dicendo) a questioni più complesse come la valutazione del profilo di rischio della società, dei dati gestiti, le ripercussioni (e quindi i costi) in caso di incidente e altro ancora che onestamente non conosco.

Insomma, non è solo questione di attrezzature e di comportamenti da adottare nel quotidiano ma anche di comprendere e quantificare il rischio in caso di "incidente" in modo da capire quanto vale la pena spendere e in cosa: una strategia a tutti gli effetti.