Sul chiudere la stalla dopo che i buoi sono scappati...

Leggo su Computerworld che la storica catena americana di supermercati Hannaford prevede di spendere milioni di dollari per adeguare i suoi sistemi informatici agli standard di sicurezza, in particolare adottando l'ISO 27001. Ma questo solo dopo che ha dovuto denunciare il furto dei dati relativi a oltre 4 milioni di carte di credito dei suoi clienti.

La cifra preventivata, al momento precisata solo come ordine di grandezza, può sembrare enorme. Tuttavia, il management rischia di dovere affrontare cause di gran lunga più costose, che potrebbero essergli intentate dalle banche e dagli istituti di credito per i costi che dovranno sostenere per la sostituzione delle carte dei loro clienti e la gestione delle eventuali frodi.

Il fatto che l'azienda si dilunghi in dettagli tecnici sull'effrazione subita, premurandosi di sottolineare che i suoi processi informatici erano conformi allo standard di sicurezza PCI (imposto dalle principali compagnie che emettono carte di credito), ha il sapore dell'ultima, disperata difesa per limitare i danni economici.

La questione non è sapere, a posteriori, che i dati sono stati trasferiti in Cina piuttosto che in Romania, o che sono stati intercettati in transito durante la transazione (è infatti più plausibile pensare all'opera di un basista interno). E' significativo invece che, nell'arco dei tre mesi in cui si è verificato il furto continuato, nessuno si sia accorto di nulla: non un sistema di auditing interno, e neppure un file di log da controllare. O magari i file di log c'erano (da cui potrebbero venire le informazioni rese note), ma nessuno li leggeva. Il classico esempio di miopia imprenditoriale, per cui il settore IT è raramente una risorsa strategica ma sempre una voce di costo, e la sicurezza informatica una spesa da affrontare dopo, perché prima l'esigenza non è avvertita.

Uno studio della Forrester ha calcolato i costi a cui potrebbe andare incontro un'azienda per il furto dei dati delle carte di credito dei suoi clienti: tra i 90 e i 305 dollari per singola carta, variabili a seconda della portata del furto e dell'ambito operativo dell'azienda. Se anche si volesse considerare una cifra inferiore, diciamo 50 dollari, il furto subito dalla Hannaford potrebbe costare - tra spese legali, varie e perdita di immagine e clienti - intorno ai 200 milioni di dollari. In confronto, i quattro milioni destinati alla sicurezza IT sono davvero poca cosa. Meglio pensarci prima.