Cyanto.net

Questo interessante articolo di ilsoftware.it riporta un estratto di una conferenza di F-Secure in cui viene presentata una percentuale catastrofica (87%) di sistemi aziendali non aggiornati.

I dati sono davvero molto interessanti ma mi permetto di muovere alcune critiche ad alcuni approcci non olistici alla sicurezza e basati sul mantra “DEVI AGGIORNARE IL TUO SOFTWARE/SISTEMA” e magari partire da qui per alcune considerazioni.

Sicuramente questa ultima affermazione è una sacrosanta verità almeno per il fatto che riduce drasticamente il rischio di venire attaccati e compromessi ma io credo che puntare il dito e sparare fuori alcuni dati tout-court privandoli del loro background contestuale non ha alcuna utilità e dimostra anche una certa miopia e un approccio un pò “dittatoriale” (passatemi il termine) alla sicurezza:

1. DEVI aggiornare brutta m…
2. se non aggiorni non fai girare l’economia IT… “sporco” sys admin

Punto 1, il mantenimento di un sistema non è una operazione priva di costi.
Ok ma quando l’hai messo su non hai pianificato la fase di mantenimento?? Non lo sapevi che avresti dovuto aggiornarlo, nel caso peggiore, ogni settimana? E il tuo budget per il mantenimento che dice? Il mio budget per il mantenimento dice che pianificare è possibile, pre-veggere no e quindi in seguito alla crisi le risorse sono state drasticamente tagliate per cui la fase di mantenimento mi consente di aggiornare “sta roba” una volta al mese invece che quattro. Sono esposto al rischio… si lo so.. cara azienda di sicurezza… hai qualcuno da mandarmi per lavorare gratis??? Ti ringrazio.

Punto 2, sistemi legacy
Cavolo, abbiamo ancora quel vecchio software dell’90 che gira su un 2000 server…. già ma ritorniamo sempre allo stesso punto. Ce li abbiamo i soldi per mettere mano al vecchio software del 90 e farne una versione decente priva di buchi… o almeno una con una quantità di buchi accettabili e un adeguato piano di mantenimento??

 Punto 3, obsolescenza programmata
Allora se fate 30 versioni del software in un anno è chiaro che “potrebbero” essere peggiori piuttosto che farne 3 con risorse e qualità concentrate su quei rilasci. Dico “potrebbero” perchè qualcuno che ha la forza di farne 30 fatte bene c’è.. SEMPRE!  Sta storia dei rilasci, del time to market, diventa una rincorsa, sembra un ciclo infinito, io rilascio un pacchetto, molte persone di buona (e alcuni di cattiva) volontà trovano dei bug, noi li aggiorniamo etc., fino a quando non crepo, rompo il ciclo del software e vado nel NIRVANA del sys admin… dove magari passerò del tempo a costruire qualcosa invece che a mettere pezze al tuo cavolo di software.

Va bene, il software oggi è così complesso che testarne tutti gli stati diventa impossibile… certo è, che forse anche tu che lo realizzi risenti della crisi… quindi hai meno forze a disposizione per creare dei prodotti migliori… forse.

Insomma ragazzi su ste cifre allarmanti, direi che tutto il settore IT sembra un grosso ragazzone che era partito all’avvio di una gara podistica molto pimpante e adesso sta perdendo colpi e corre scoordinato (da qui le percentuali di F-Secure).

Le domande sono:
1. noi dell’IT siamo immuni dalle sopraggiunte situazioni economiche?
2. possiamo permetterci il permanere di modelli economici di sviluppo basati sull’obsolescenza? Sulla produzione di e-waste e anche di software-waste?
3. non voglio prendermela con l’offerta visto che se non cambia la domanda, l’offerta non ha motivo di alterare i suoi modi di agire. Da qui direi che è il caso di cambiare mentalità e:

• incazzarsi quando vengono fuori i bug
• pretendere di sapere in fase di acquisizione del software di sapere che piano “indutriale” c’è dietro quel prodotto
• fare delle scelte più consapevoli in materia di acquisizione, orientando tutto verso la qualità

Sono delle ovvietà? Si… ma per favore pratichiamole.