È difficile proteggere ciò che non si comprende. È anche difficile proteggere i dati se non si sa dove siano. Se i vostri dati vengono copiati silenziosamente su un data center all’estero mentre state facendo una migrazione in cloud, come fate a saperlo? Quanto siete in grado di proteggerli o sapere quanto sono al sicuro? Se non sapete dove siano i vostri dati, potreste non essere molto fortunati nel tentativo di proteggerli in maniera legittima, o nel conoscere cosa può accadere tra le diverse giurisdizioni straniere in caso di difficoltà. In questo senso al giorno d’oggi è davvero difficile capire quello che succede quando si è nel cloud…si può solo sperare per il meglio!
Non che non si possa sapere, ma sono aumentati in maniera esponenziale i livelli di astrazione – per ragioni tecniche e di mercato (un’elevata percentuale legata al marketing) – tra noi e dove sono i vostri dati. Se i mercati dettano che la memorizzazione dei dati all’estero è conveniente, potrete scommettere che prima o poi gran parte dei dati silenziosamente filtreranno. Se dettano che qualsiasi cosa debba includere “Cloud” nel titolo (persino la tecnologia di base – tipicamente un insieme di macchine virtuali che devono ancora essere protette), allora questo è quello che diranno gli opuscoli.
Combinate questo con molteplici endpoint che sempre più spesso possono essere contenuti nelle vostre tasche, nelle vostre borse o nei vostri zaini, allora il concetto di perimento diventa sempre più difficile da comprendere e sempre più difficile da proteggere.
Per anni, l’interazione tra piattaforme è stata la rovina dei tecnici. Hanno persino fatto uno spettacolo su questo – Interop – dove i tecnici possono sfogarsi e condividere le loro storie, le esperienze negative e (si spera) le loro soluzioni.
Ma c’è una tendenza convergente al semplificare qualsiasi cosa, probabilmente perché gestire tanti nodi anziché uno solo o due è davvero difficile, così è opportuno rendere il tutto più semplice. Il problema è che la sicurezza è ancora più difficile. Quindi mettere dei bei pulsanti con la scritta “sicuro” sulla vostra marea di dispositivi mobile/cloud/IoT, non li rende sicuri. Se così fosse nessuno sarebbe più vittima di violazioni, giusto?
ESET, come altri produttori, sta tentando di rendere la sicurezza semplice di deafult, ma se per sentirvi sicuri vi bastano dei pulsanti luminosi senza interessarvi di cosa c’è dietro a quel pulsante, allora non sarete mai sicuri. Sarete solo dipendenti dall’etica dei produttori che avete scelto.
Alcune aziende che riescono a mettere molta attenzione nella sicurezza a volte riescono a giustificarne la necessità agli investitori che tipicamente vedono la sicurezza come un pozzo di denaro. Ma se prevalgono le pressioni del mercato, allora dovrete sperare che quel pulsante lucido funzioni.
Se quell’azienda con una forte etica di sicurezza viene silenziosamente venduta, chi può dire quali saranno le disposizioni della nuova proprietà? Lo scorso anno a Interop abbiamo visto molte compagnie tecnologiche nel corso delle puntate acquisire piccole e solide aziende tecnologiche per aumentare il proprio portfolio. Ma chi può dire che la nuova compagnia ombrello mantenga la stessa sensibilità sulla sicurezza che veniva garantita dalla piccola startup?
Così ora la sicurezza è qualcosa di ancora più difficile, ma bisogna avere estrema fiducia nelle capacità del personale che è in grado di andare oltre i proclami delle pubblicità e comprendere veri fondamenti della sicurezza, e se il produttore lo sta realmente facendo o se ha solo lucidato gli stessi pulsanti dello scorso anno.