Lo scenario di riferimento in merito ai tentativi di attacco, ai conseguenti incidenti che si verificano ed alla loro gravità, vede negli ultimi anni un trend in costante crescita su tutti gli assi citati. Per questa ragione, la Cyber Security è diventata una top priority per moltissime aziende, anche per quelle che non hanno mai affrontato in modo strutturale e strategico il tema in passato.
Per questa ragione una delle domande che più spesso vengono poste a società di advisory e system integrator, più o meno specializzati in temi di security, è “c’è qualche best practice che potrei seguire per intraprendere un percorso organico alla tutela delle informazioni?”.
Il mercato è saturo di linee guida, standard, certificazioni, framework, aperti o proprietari, con scopi diversi ed applicabilità diverse, tra cui non è sempre facile orientarsi. Poter scegliere i giusti punti di riferimento ed utilizzarli in modo flessibile, personalizzandoli a seconda dei requisiti di business dell’azienda è tanto indispensabile, quanto spesso complicato per chi non sia avvezzo a questo tipo di operazione.
L’aderenza alle best practice è sempre stato un tema rilevante in ottica di tutela aziendale. Con l’avvento del Regolamento Europeo sulla Data Protection[1] (GDPR), ad esempio, diventa strategico ed indispensabile in ottica di accountability, uno dei principi del GDPR circa l’essere in grado di dimostrare l’adeguatezza delle misure adottate a tutela dei dati trattati.
Indice degli argomenti
Quali sono le best practice per la cyber security?
Vediamo ora le best practice per la cyber security.
Best practice 1: standard di alto livello
Una strategia di security dovrebbe partire da uno standard di alto livello, come potrebbe essere la ISO/IEC 27001:2013[2], da anni uno dei principali standard di riferimento per l’information security, assieme a tutte le altre norme della famiglia 27000, i cui controlli presenti nell’Annex A rappresentano un’ottima checklist per iniziare. Questo standard, tuttavia, indica il “di cosa prendersi cura” (es. sicurezza fisica, asset management, business continuity) ma non del come farlo. A voler guardare uno dei controlli più invisi agli utenti, ma ancora troppo necessario e mal gestito, la gestione delle password, infatti, si trova la necessità di avere password di “lunghezza, complessità, durata” che siano “adeguate” rispetto alle informazioni che si vogliono tutelare. Se questa indicazione ci permette di non dimenticare di prendere in considerazione il tema, non da di fatto alcuna indicazione sul come gestire puntualmente il tema. Purtuttavia, l’appoggiarsi a norme e standard di questo tipo è essenziale per stabilire la propria strategia di gestione dell’information & cyber security.
Best practice 2: documenti nella community della cyber security
Un’altra best practice: sempre ad alto livello, ma con domini di applicazione differenti è possibile citare alcuni altri documenti per certo di riferimento nella community mondiale della security. Il NIST Cyber Security Framework[3], ad esempio, è un altro standard di riferimento per verificare il proprio stato di aderenza alle best practice in merito alla cyber security, che permette un approccio strategico, ma non contiene informazioni tattiche di dettaglio. Il CSA STAR[4], lo standard creato dalla Cloud Security Alliance, invece, pur rimanendo una checklist di alto livello, mette in relazione i propri controlli con quelli di altri standard (es. ISO/IEC 27001:2013, COBIT5, etc), focalizzandosi sulle misure di protezione che un Cloud Provider dovrebbe adottare per tutelare se ed i propri clienti.
Tale best practice, ad esempio, potrebbe essere piegata alle proprie esigenze da un cliente, per verificare la sicurezza di uno o più possibili fornitori di servizi Cloud o comunque di servizi gestiti. Recentemente tale standard è stato anche annoverato da AGID, l’Agenzia per l’Italia Digitale tra quelli accreditati per la certificazione della sicurezza dei servizi Cloud per la PA, elemento importantissimo in termini di accountability anche per il mercato privato.
Esulando dallo scopo certificativo, queste linee guida possono essere anche utilizzate assieme e parzialmente, al fine di determinare un proprio framework, adatto alle proprie esigenze specifiche ed al contesto di riferimento. Il contesto è infatti estremamente rilevante, tanto dal aver richiesto nel tempo delle guidelines specifiche per contesti specifici.
Linee guida e consigli cyber security per contesti specifici
Utilizzare la ISO/IEC 27001:2013 in un contesto OT, di produzione industriale, su contesti SCADA, con largo uso di IoT et similia, infatti, potrebbe essere inutile se non fuorviante o dannoso. Proprio a questo scopo sono nate linee guida come la ISA/IEC 62443[5] nate per indirizzare i temi di information security in contesti come quello dell’automazione industriale. Per fare un solo esempio in ambito IT le priorità sono Riservatezza, Integrità e Disponibilità, mentre in contesti di fabbrica le priorità sono Disponibilità, integrità ed infine riservatezza. La specificità di tali guide, infatti, permetterebbe in un’ottica di gestione integrata aziendale del rischio e della tutela delle informazioni, di poter indirizzare, in contesti dal perimetro definito e dai requisiti non omogenei con il resto della azienda i temi di information security. Si pensi ad esempio alla gestione degli account nominali, alla gestione di password, screensaver, patch, vulnerability management, sistemi antimalware e firewall, in contesti industriali, che hanno requisiti completamente diversi dai contesti IT classici. Una guida di riferimento permette di strutturare una strategia di gestione efficace anche a chi si trovi ad affrontare questi temi per la prima volta, di comprenderne le necessità e magari gli errori più comuni che potrebbe compiere chi non seguisse gli guidelines di mercato.
Non sono da trascurare le leggi vigenti, che spesso a loro volta danno indicazioni precise, integrabili in un Sistema di Gestione della Sicurezza delle Informazioni. Il GDPR, ad esempio prescrive, tra le altre cose, semplificando, un registro delle informazioni gestite, una organizzazione interna, una analisi del rischio ed una procedura di gestione degli incidenti. Tutti elementi comuni alle sopra citate best practice, che proprio per questo, in ottica di governance dell’information security e della compliance andrebbero gestiti in modo integrato, al fine di assicurare la massima efficacia ed il minor effort di gestione.
Per questa ragione, per temi specifici, possono essere prese come spunto altre linee guida, trasversali ad altri ambiti, per indirizzare tematiche puntuali. La ISO 31000:2018[6] può sicuramente essere una best practice di riferimento per tutti i temi legati all’analisi del rischio, mentre la ISO 22301:2012[7] può essere usata per disegnare, o verificare l’aderenza alle best practice di mercato, del sistema di Business Continuity.
Allo stesso modo ITIL o la ISO/IEC 20000-1:2011[8] possono essere prese come guideline per la gestione dei temi di asset, change ed incident management, degli SLA. Non serve, soprattutto nelle strutture più piccole, rispettare ogni singolo requisito della norma, ma conoscere le golden rules, definire ciò che è necessario e ciò che può essere “nice to have” permette di avere una visione più chiara e soprattutto di modulare gli interventi e gli investimenti nel tempo, nell’ottica di una unica strategia, in coerenza con essa.
In alcuni contesti specifici esistono normative specifiche: si pensi alla Circolare di Banca d’Italia 285 per le Banche[9] o alla Direttiva Europea NIS per le infrastrutture critiche[10].
Una buona procedura di incident management dovrebbe essere unica aziendalmente e tenere conto di tutte le esigenze di tutela aziendale e di compliance, andando quindi dalla detection dell’incidente, passando per la sua gestione nel SOC, per arrivare all’integrazione con esigenze di Business Continuity, di notifica (es. NIS o GDPR).
Così come per la Data Protection Impact Assessment (DPIA) si possono trovare delle linee guida, ad esempio la ISO/IEC 29134:2017[11], che permettono di orientarsi ed impostare in modo corretto il tema per la prima volta, allo stesso modo è possibile trovare per temi completamente nuovi delle linee guida di riferimento.
Tradurre in azioni le linee guida
Volendo poi tradurre in azioni specifiche le linee guida sopra descritti è possibile, in assenza di esperienza specifica nel settore, riferirsi ad altri standard con dettami tecnologici più stringenti. Un esempio potrebbe essere l’utilizzo di PCI-DSS, lo standard per certificare la sicurezza dei sistemi che gestiscono pagamenti con carte di credito. Questo standard delinea aspetti tecnologici puntuali, quali l’uso di SSL per le comunicazioni in rete, password di 8 caratteri per gli operatori o 12 per gli amministratori di sistema. Indipendentemente dal se si gestiscono PAN (il numero della carta di credito) o meno, tali indicazioni possono essere ritenute valide in moltissimi contesti, anche per fare security nei sistemi IT di una azienda manufatturiera. Anche in ottica di accountability, poter affermare di avere utilizzato gli stessi criteri che il mercato ritiene validi per la tutela dei PAN potrebbe essere una ottima strategia.
Cyber Security Standards: Il percorso di certificazione
Ovviamente molti degli standard citati possono anche essere certificati da un ente di certificazione accreditato. Il percorso di certificazione viene consigliato a chi ha forti necessità di dimostrare la conformità a tali standard o a chi ne possa trarre un effettivo beneficio di business (es. per la partecipazione a bandi o la soddisfazione di requisiti fornitore di alcune aziende). Questo infatti dovrebbe essere il principale KPI, Key Performance Indicator, della Information & Cyber Security: un numero espresso in euro che spiega quali investimenti sono stati fatti, o debbano essere fatti, per tutelare il business garantendo maggiori guadagni che ripaghino gli investimenti o evitando perdite non accettabili.
[1] Reperibile in italiano all’indirizzo: http://www.garanteprivacy.it/regolamentoue
[2] Reperibile all’indirizzo: https://www.iso.org/isoiec-27001-information-security.html, documento a pagamento
[3] Reperibile all’indirizzo: https://www.nist.gov/cyberframework
[4] Reperibile all’indirizzo: https://cloudsecurityalliance.org/star/#_overview
[5] Reperibile all’indirizzo: https://www.isa.org/training-and-certifications/isa-certification/isa99iec-62443/isa99iec-62443-cybersecurity-certificate-programs/
[6] Reperibile all’indirizzo: https://www.iso.org/iso-31000-risk-management.html a pagamento
[7] Reperibile all’indirzzo: https://www.iso.org/standard/50038.html a pagamento
[8] Reperibile all’indirizzo: https://www.iso.org/standard/51986.html a pagamento
[9] Reperibile all’indirizzo: https://www.bancaditalia.it/compiti/vigilanza/normativa/archivio-norme/circolari/c285/index.html
[10] Reperibile all’indirizzo: https://ec.europa.eu/digital-single-market/en/network-and-information-security-nis-directive
[11] Reperibile all’indirizzo: https://www.iso.org/standard/62289.html a pagamento
