La Direttiva NIS (EU 2016/1148 – Network and Information Security Directive) è rivolta, a livello Europeo, alla protezione delle infrastrutture critiche rispetto alle minacce di tipo cyber. L’obiettivo è quello di garantire almeno una comune baseline di protezione delle informazioni, delle reti e dei sistemi, all’interno dell’Unione Europea, al fine di assicurare la continuità dei servizi strategici in ambito civile, sociale ed economico.
Per questo, la Direttiva ha disposto un’ampia struttura europea, con ruoli e responsabilità ben definiti, declinata su ogni Stato dell’Unione. Ha inoltre identificato i soggetti da tutelare in due categorie OES (Operators of Essential Services) e DSP (Digital Service Providers), e ciascuno Stato ha definito quali delle proprie organizzazioni inserire. Ha anche pronta un’estensione, NIS 2, con aggiornamenti e miglioramenti. Si capisce immediatamente che non è una Direttiva a sé stante, ma un ambizioso percorso da intraprendere con convinzione e determinazione per l’importanza degli obiettivi attesi.
Viene allora da chiedersi se i soggetti non-OES/DSP sono realmente da ritenersi esclusi a priori. Da una prospettiva puramente legale, senza iscrizione ministeriale nelle categorie citate, non sussiste alcun vincolo ad ottemperare alla Direttiva. Da una prospettiva puramente utilitaristica, qualunque azienda dovrebbe fare almeno l’esercizio di autovalutazione proposto dalla Direttiva.
Aderire in modo volontaristico al processo di autovalutazione del proprio livello di protezione delle informazioni e delle tecnologie che le trattano, crea cultura interna all’azienda, crea consapevolezza dei propri limiti e di conseguenza spinge ad agire ragionatamente. In altre parole, rende possibili le decisioni sulla base di evidenze, per poter distribuire le risorse secondo i rischi determinati, e conseguentemente, prevenire gli incidenti od i disservizi dovuti a cause cyber.
Anche se il fine ultimo è la continuità delle funzioni ritenute essenziali in Europa, il vantaggio tangibile per chiunque è prima di tutto un risultato per la continuità del proprio business.
Non è richiesto un impegno gravoso per procedere nell’autovalutazione del livello di sicurezza cyber. Può esserlo la costituzione del sistema di protezione, che si compone di vari momenti, dalla progettazione di misure, alla prevenzione delle situazioni pericolose, al contenimento dei danni, ma è comunque indispensabile per assicurare una risposta alla continuità dei servizi erogati.
La Direttiva NIS va vista come un’opportunità da cogliere, uno sprone a comprendere il proprio livello di protezione delle informazioni, la conoscenza è un valore aggiunto realizzabile a minimo sforzo.
Direttiva NIS 2, gli sviluppi attuali e gli scenari futuri: il punto
Indice degli argomenti
Direttiva NIS: le regole di autovalutazione
Il meccanismo di autovalutazione della sicurezza informatica si svolge autonomamente rispetto al sistema di protezione prescelto, anzi, anche in sua mancanza. In quest’ultimo caso, fornisce le evidenze necessarie a comprendere le priorità d’azione per la mitigazione dei rischi. L’autovalutazione delle misure di sicurezza messe in atto, in ambito organizzativo, comportamentale, tecnologico, fisico e legale, è composta da due componenti:
- l’analisi del rischio connesso alla mancata o carente protezione delle informazioni o ad usi non autorizzati delle stesse o dei sistemi che le trattano;
- la valutazione della lista di controllo delle misure di sicurezza secondo un modello di maturità delle capacità.
L’utilizzo di un modello di maturità, con la sua semplicità operativa, consente di ottenere un vantaggio concreto, a basso costo, alle aziende non-OSE/DSP e non ancora ben focalizzate sui rischi di tipo cyber. Seguendo le intuitive indicazioni dell’autovalutazione, possono facilmente capire la gravità dei rischi, i punti di intervento e le aree di miglioramento.
Analisi del rischio
Prima di valutare i controlli in essere, è necessario analizzare i rischi di maggior rilievo per il sistema di protezione delle informazioni. Nel caso manchi in azienda la scelta di una metodologia di analisi del rischio, una versione semplificata per iniziare con minimo sforzo, si ottiene agevolmente considerando i seguenti argomenti ed avendo cura di riportarli su un foglio elettronico:
- Definizione del contesto. È una fase di pura descrizione della missione aziendale, aggiungendo gli obiettivi assegnati e la definizione del perimetro da analizzare, oltre alle metriche da usare nelle valutazioni.
- Lista delle risorse e dei beni. È un elenco delle categorie di risorse, processi o beni ritenuti rilevanti ai fini della continuità del business e del raggiungimento degli obiettivi. Dei qualificatori forniscono gli elementi per capire la criticità, l’importanza e la relazione con l’ambito cyber.
- SWOT analisi. È un’analisi di tipo descrittivo dei punti di forza e di debolezza ma anche delle opportunità e delle minacce. È il punto di riferimento dell’analisi del rischio per identificare le minacce.
- Valutazione del rischio. È la fase di sintesi del lavoro di raccolta delle informazioni sul contesto operativo, del valore delle risorse coinvolte e delle minacce che si devono affrontare, per poter stimare l’incertezza sul raggiungimento degli obiettivi. Per ogni risorsa, associamo i gruppi di minacce che realisticamente possono concorrere a creare un danno, consideriamo le misura già adottate, e creiamo un nuovo record. Ogni record è un rischio e deve essere valutato sui seguenti elementi:
- valutazione dell’impatto. La valutazione è di tipo qualitativo, ed un aiuto per stimare il valore del livello, si ottiene con una matrice costruita ponendo le prospettive degli scenari di impatto (continuità, economico, immagine, risorse ecc.) sulle colonne, mentre sulle righe vanno i livelli. La scelta tra le prospettive è sul worst-case dell’impatto;
- valutazione della probabilità. La valutazione è qualitativa, ed anche in questo caso, l’aiuto viene immaginando per ogni scenario di impatto quale sia la probabilità di accadimento. La scelta tra gli scenari è sul worst-case della probabilità;
- valutazione del rischio. È una formula basata sulle matrici del rischio, definite nella fase iniziale del contesto. Si implementa facilmente anche con un foglio elettronico ed il valore finale è di tipo qualitativo;
- definizione della risposta. Sulla base dei risultati evidenziati dalle valutazioni precedenti, si procede con la definizione di controlli addizionali o di rafforzamento di quelli esistenti, allo scopo di trattare il rischio fino al livello desiderato.
Un analisi così impostata non richiede un grande impegno, i valori in gioco sono sempre in numero limitato e questo agevola la gestione manuale. Se aumenta la complessità o il numero di entità da valutare è maggiore di uno, un piccolo sistema web dovrebbe essere adottato in alternativa al foglio elettronico.
Affidandosi al mondo degli open source, si possono confezionare soluzioni efficaci e su misura, con uno sforzo relativamente limitato. L’uso di un sistema è consigliato, se aumenta il dettaglio o se le analisi devono essere aggregate.
Valutazione della checklist
Dopo l’analisi del rischio, si procede alla valutazione dell’efficacia delle misure in atto per assicurare la protezione delle informazioni e la continuità operativa. Per far questo, non serve alcun sforzo di fantasia, ci si appoggia ad una lista di controlli standard, che copra integralmente il sistema di protezione delle informazioni, in modo che le valutazioni siano confrontabili tra azienda ed azienda.
La scelta della checklist, in mancanza di un obbligo imposto, deve basarsi sulle differenze che meglio interpretano le caratteristiche del proprio business.
La Direttiva NIS impone una propria lista, derivata quasi integralmente dal NIST Cybersecurity Framework version 1.1 (NIST CSF), con l’aggiunta di alcuni richiami al GDPR. Il metodo di valutazione non è quello proposto dal NIST ma si basa su un proprio modello di maturità. Questa checklist è semplice, pragmatica ed impostata sulla supply chain informatica.
Se non vincolati alla Direttiva, si possono considerare altri analoghi framework. Ad esempio, si possono adottare le “best practice” della nuova ed aggiornata ISO/IEC 27002 Information Security Controls di oramai di prossima emissione, oppure il VDA Information Security Assessment catalogue version 5.0 (VDA ISA) per la sua interessante focalizzazione sui prototipi. Non esiste un migliore o peggiore, il business sceglie ciò che meglio lo rappresenta.
Tutti questi framework sono idonei ad una valutazione tramite il modello di maturità, perché scelto dalla Direttiva ed anche per la sua semplicità. Tra l’altro, il framework adottato, sarà poi adattato alle specifiche esigenze.
Per chiarire, se mancano controlli riferiti al GDPR si possono aggiungere, così come, se ci sono particolari clausole contrattuali, la cui criticità preoccupa, si includono anche queste. La metodologia basata sulla valutazione della maturità di implementazione dei controlli, si può definire con tre parametri:
- determinazione dell’obiettivo. L’importanza che il controllo riveste per il business, definisce l’obbligatorietà o meno ad implementare quel controllo.
- determinazione della priorità. Definisce se l’intervento deve attuarsi con urgenza o se è possibile ritardare la realizzazione per individuare delle condizioni più convenienti (economicamente).
- determinazione della maturità. È la misura del livello di implementazione del controllo, selezionata da una griglia di scelte che può essere, semplice come la proposta della Direttiva o più sofisticata come il Capability Maturity Model (CMM).
La scelta del metodo deve seguire un’unica regola, la semplicità, anche a scapito di una parziale indeterminazione. Lo scopo è di favorire la ripetizione nel tempo, e questo è possibile solo con un basso sforzo delle risorse coinvolte nel processo. La frequenza di revisione dei controlli, è fondamentale per cogliere per tempo le anomalie, od i nuovi rischi e riuscire ad agire per tempo.
Conclusioni
Le checklist standard hanno anche un altro vantaggio, la disponibilità di template gratuiti già provvisti di chart di presentazione ad alto livello. È un indubbio vantaggio disporre di strumenti prontamente utilizzabili senza dover compiere alcun sforzo implementativo. Questo aspetto non è trascurabile. I risultati non sono per chi implementa i controlli ma per i vertici aziendali che decidono sulle iniziative da intraprendere. Le decisione consapevole, ossia basata sulla conoscenza dei rischi, è il primo obiettivo delle metodologie di controllo.
La Direttiva NIS focalizza l’attenzione sulla maturità delle misure adottate dai servizi essenziali in ambito europeo, che però non deve essere inteso come una attenzione esclusiva alle infrastrutture critiche. Anzi, deve essere considerata, prima ancora che una imposizione di nicchia, come una misura minima utile per tutte le aziende.
Far crescere la sensibilità verso la tematica delle minacce cyber, creare una coscienza aziendale sui rischi, far emergere una cultura di comunicazione aperta sulle difficoltà, crea le condizioni di una risposta adeguata e questo è il vantaggio maggiore per la continuità del business.
Le paure si alimentano con l’inconsapevolezza delle minacce, gli incidenti sono la conseguenza delle scelte sbagliate, e solo la corretta comprensione dei fenomeni, permette di affrontarli con un uso bilanciato delle risorse.
