Paolo Perego
Paolo Perego Specialista di sicurezza applicativa e certificato OSCE e OSCP, amo spaccare e ricostruire il codice in maniera sicura. Sono cintura nera di taekwon-do, marito e papà. Ranger Caotico Neutrale, scrivo su @codiceinsicuro.

Spiega la sicurezza informatica al marketing

Spiega la sicurezza informatica al marketing Photo by on Unsplash
958 parole - Lo leggerai in 5 minuti

Negli anni mi è capitato spesso di dover spiegare il mio lavoro a persone completamente a digiuno di nozioni di sicurezza informatica. In breve, le persone generalmente non vogliono affrontare argomenti che non conoscono. Li fa sentire vulnerabili, credo. Fa cadere le loro piccole certezze, di essere i super guru che conoscono tutto di tutto, e quindi si possono permettere di legiferare anche sulle tempistiche IT… tanto quanto vuoi che ci si impieghi a fare un sito, mio nipote a 15 anni ne ha uno bellissimo.

Il tuttologo, spesso una persona fondamentalmente insicura, deve essere fondamentalmente illuso di avere il pallino della conversazione. La palla ce l’ha lui, i giocatori però li schieriamo noi, così la facciamo comunque andare in porta.

Negli anni, tra le varie figure aziendali che ho incrociati, secondi solo a qualche IT Manager o qualche responsabile di amministratori di sistema, c’è lui… il marketing. Le persone del marketing per l’azienda creano campagne che portano clienti. Portando quattrini freschi nelle casse aziendali, le persone del marketing hanno di solito un +3 sui tiri salvezza contro l’ego; si sentono le figure chiave ed ha ragione o torto pensano di avere diritto di parola su tutto.

Marketing highlights

Quando fai una riunione con il marketing preparati ad essere trattato come un’appendice aziendale, un peduncolo tra i vari centri di costo che non ha voce in capitolo. Spesso mi hanno chiesto direttamente se potevo essere bypassato.

In questa partita giochi come registra. Lo scopo non è fare goal, lo scopo è tessere la tela cercando di far muovere i colleghi sullo scacchiere nella posizione ottimale e poi mandare in goal il bomber, che è il marketing questa volta.

Quando fai una riunione con il marketing sappi che, volente o nolente, lui porta soldi in azienda, tu li fai spendere per prevenire incidenti. La differenza è sostanziale soprattutto in un periodo storico come il nostro dove i mercati sono contratti e molto competitivi.

Non impuntarti su rigide posizioni, sii flessibile e preparati in canna 3 o 4 piani B. Spesso questi personaggi commissionano gli sviluppo ad agenzie web di cui non sanno neanche il nome, ricorda tu sei il playmaker.

Lo sviluppo sarà 9 volte su 10 esternalizzato ad agenzie web che la parola sicurezza informatica forse l’hanno letta da qualche parte. Avranno subappaltato lo sviluppo ad un freelance sottopagato ma che deve lavorare in un contesto molto difficile:

  • il nostro marketing cambierà idea 100 mila volte su modifiche, insignificanti ai più, ma che porteranno secondo loro a seconda delle volte anche il 20% dei click in più. Ricorda: tuttologi e supponenti.
  • tempistiche assurde. Se il marketing vuole lanciare una campagna il 15 del mese, visto che ha un nipote quindicenne che ha fatto il sito web con iWeb o similiare, pensa che commissionare il lavoro con ben dieci giorni (solari) di anticipo sia un regalo. Questo ci porta in dote uno sviluppo spesso fatto sotto stress, senza test e zeppo di porcherie che stanno in piedi per miracolo.
  • mancanza di formazione specifica. Magari noi come security abbiamo organizzato sessioni di awareness per i nostri colleghi, abbiamo preparato processi aziendali e linee guida che sono state assimilate da chi si occupa di sviluppo. Ma per il freelance esterno? Cosa abbiamo fatto? Probabilmente dobbiamo affidarci alla professionalità del singolo. Se ci va bene, baciamoci i gomiti. Se ci va male, siamo nei guai.

Giochi contro una squadra che, nonostante sviluppi la parte tecnologica, è da considerarsi ignorante in materia. Avrà uno spazio in hosting condiviso con chissà quali altri siti web, non avrà mai sentito parlare di firewall applicativi e si chiederà perché mai voi che installate antivirus parlate loro di sviluppi web.

La teoria del se non lo vedo allora non c’è

Il mondo si basa su un interessante teorema.

Se ho un problema, basta che mi giro dall’altra parte e questo sparirà.

Già, proprio come quando eravamo bambini e ci giravamo dall’altra parte per non vedere il mostro nell’armadio.

Il nostro tuttologo è un bambino che non vuole vedere il mondo digitale per quello che è veramente: una rappresentazione del mondo reale dove ci sono i buoni, i neutrali e chi è lì per commettere illeciti. Spesso siamo portati a pensare che, poiché è digitale, allora quella cosa non esiste o le persone si comportano in maniera diversa da come farebbero nella realtà.

Sbagliato.

Mostra tutti gli aspetti del problema. Elenca tutti i possibili rischi, fai un buon threat model senza menzionare mai alcun tecnicismo. Parla come se stessi spiegando ad un bambino di 5 anni. Devi obbligare quel bambino a guardare l’armadio e capire che se chiudi l’anta il mostro va via (leggasi, fai qualcosa invece che voltarti).

Off by one

Per quanto possano essere cocciuti o ignari del pericolo del mettere sul web codice scritto male, giochiamo tutti nella stessa squadra. Giocando nella stessa squadra noi dobbiamo finalizzare il gioco visto che, me la si passi, le persone che si occupano di sicurezza informatica hanno una visione a 360 gradi di tutti gli aspetti del business, anche non solo quelli tecnologici. Non dico che siamo esperti di tutto, ma abbiamo la percezione di dove possono esserci le rogne.

Quello che assolutamente non dobbiamo fare è buttarla sui paroloni per far vedere quanto l’abbiamo grosso. Si creerebbe un muro contro muro che non solo non porterebbe nulla nell’immediato ma che deteriorerebbe i rapporti mettendo in pericolo l’essere presenti nei prossimi tavoli con il marketing. E vi assicuro che noi al tavolo dobbiamo esserci.

Cerchiamo di essere comunicativi, cerchiamo di guidarli anche mediando le nostre posizioni, laddove possibile e cerchiamo di mandarli in porta.

Ne gioverà anche a noi.

Enjoy it.

Vuoi aiutarmi a portare avanti il progetto Codice Insicuro con una donazione? Fantastico, allora non ti basta che premere il pulsante qui sotto.

Supporta il progetto

comments powered by Disqus
Codice Insicuro, blog di Cyber Security, sviluppo sicuro, code review e altro.   Non perdere neanche un post, iscriviti ora alla mailing list