Gli studi sui costi della sicurezza sono numerosi, visto che si tratta di un problema importante per le organizzazioni di ogni tipo e dimensione, ma il costo della sicurezza è stranamente assente dalle ricerche – sponsorizzate da Microsoft o dai suoi partner – che cercano di dimostrare il maggiore TCO delle migrazioni da Microsoft Office a LibreOffice.
Siccome ho affrontato il tema del TCO nell’ultimo articolo, è opportuno approfondire ora quello del costo della sicurezza. Purtroppo, sono argomenti poco conosciuti, e in quanto tali vengono spesso utilizzati a sproposito per diffondere notizie che non hanno nessuna base scientifica, ma fanno presa – in quanto eclatanti – sugli utenti meno competenti.
Infatti, è facile affermare che il codice sorgente aperto è meno sicuro del codice sorgente chiuso del software proprietario, per far presa sugli utenti che ignorano la realtà dei fatti e vengono abbindolati da facili paralleli con casseforti e serrature. I dati di tutte le ricerche dicono esattamente il contrario.
Per esempio, secondo il servizio Coverity Scan, la qualità del codice sorgente di LibreOffice è largamente superiore rispetto alla qualità media del software proprietario. Questo si traduce in una serie di vantaggi, tra i quali c’è la sicurezza (perché all’interno di un codice sorgente privo di errori è praticamente impossibile nascondere il malware).
Inoltre, secondo uno studio Symantec commissionato dal Governo della Repubblica Federale Tedesca, i formati di Microsoft Office sono – insieme al PDF – il veicolo preferenziale per la distribuzione del malware, e credo che tutti possano verificare facilmente quest’affermazione facendo caso alla tipologia degli attachment dei messaggi più sospetti.
Ma veniamo al tema dell’articolo, ovvero al costo della sicurezza, o meglio, dell’assenza di sicurezza che porta all’intrusione nel sistema o alla perdita dei dati. La ricerca 2014 Cost of Data Breach Study: Italy, realizzata da IBM e Ponemon Institute e pubblicata nel 2015, rileva un aumento del costo medio degli incidenti da 102 a 105 dollari.
La ricerca ha preso in esame 22 aziende di 12 diversi settori industriali, e ha analizzato le conseguenze della perdita o del furto di dati personali, e la notifica alle vittime in base alle disposizioni di legge. La media dei record coinvolti in ciascun incidente è 18.983 (un numero che a me sembra semplicemente enorme).
Le aziende dei settori finanziario, farmaceutico, industriale, tecnologico, dei servizi e dei beni di largo consumo hanno avuto un costo per incidente superiore alla media, mentre quelle del commercio, del turismo e della PA hanno avuto un costo per indicente inferiore alla media (nella PA il costo medio per indicente scende a 58 dollari).
Il 41% degli incidenti è frutto di un attacco criminale dall’esterno, il 32% di falle del sistema IT e dei processi aziendali, e il 27% di negligenza da parte dei dipendenti o dei fornitori. Quest’ultimo tipo di incidente ha un costo largamente superiore alla media di 125 dollari.
I costi indiretti – ovvero il tempo e le risorse necessarie per risolvere il problema – fanno la parte del leone con 56 dollari, mentre i costi diretti – l’acquisto di una tecnologia o l’assunzione di uno specialista in sicurezza o di un consulente – sono di 49 dollari.
Visto che il rapporto tra le vulnerabilità di LibreOffice e quelle di Microsoft Office è di 1 a oltre 10, quando si calcola il TCO di Microsoft Office sarebbe buona norma introdurre una voce “sicurezza” superiore di almeno 10 volte rispetto a quella di LibreOffice, invece di fare stime a naso sugli ovvi costi di conversione da un formato proprietario e offuscato a un formato standard e aperto.
In ogni caso, si tratta di costi a carico dell’organizzazione che migra, ma sono costi di uscita dal lock-in e non costi di ingresso agli standard, per cui vanno fatti pagare a chi – sciaguratamente – ha fatto una scelta sbagliata o perlomeno poco lungimirante.
Naturalmente, lo studio IBM/Ponemon è basato su un campione ridotto di aziende, per cui non ha pretese di scientificità, e i dati a livello nazionale potrebbero anche essere radicalmente diversi.
Peraltro, è basato su un campione di aziende e non su una sola azienda, come la totalità degli studi sponsorizzati da Microsoft, che non prendono mai in esame – per esempio – le metodologie di migrazione a LibreOffice basate su best practice, oppure tendono a smentirle a priori (d’altronde, vogliono dimostrare esattamente il contrario).
Facebook Comments