Solo in questi giorni è venuto alla luce un episodio di furto di dati ("data breach") che pare risalga al 2014, e che riguarda una grossa multinazionale operante nel settore alberghiero.
Una fuga di dati in quel settore vuol dire di solito violazione della privacy (non solo sapere che il signor Tizio aveva prenotato una stanza in quel tale luogo quel giorno, ma anche quanto aveva pagato, con quale carta di credito, il suo indirizzo abituale, numero di telefono e altri dettagli minori).
Sembra abbastanza chiaro il tipo di rischio a cui la catena alberghiera ha esposto molti dei propri clienti.
Sembra altresì di capire che l'episodio si sia verificato presso le strutture informatiche di una società recentemente acquisita dalla capofila: e qui si innesta il discorso di auditing interno della sicurezza IT. Se le procedure e l'organizzazione di una società si sono dimostrate efficaci nel garantire la sicurezza IT per lungo tempo, è ben chiaro che una acquisizione di un'altra società non comporta la sostituzione immediata delle procedure e dell'organizzazione, né tanto meno l'adeguamento della sicurezza IT della società acquisita. Le operazioni finanziarie (acquisizione) viaggiano su un piano, quelle organizzative e di controllo arrivano inevitabilmente tardi. In questo caso, sembra che siano arrivate colpevolmente tardi, ben quattro anni dopo l'incidente tecnologico.
Ecco perché raccomando sempre di tenere gli occhi bene aperti e ricordare la metafora dell'anello debole della catena: è quasi sempre lui che crea problemi, anche in IT Security.
