Quando un’azienda decide di investire nella sicurezza delle informazioni, tipicamente, è già dotata di un dipartimento che si occupi di tematiche IT, con un certo grado di esternalizzazione dei servizi erogati, dipendente sia dalle dimensioni dell’azienda sia dalle scelte del management.
È poi probabile, soprattutto nelle fasi iniziali, che affidi a un solo collaboratore interno, normalmente del dipartimento IT, il compito di introdurre e sviluppare la sicurezza in azienda.
Il primo fondamentale obiettivo da raggiungere è quindi quello di far comprendere chiaramente la differenza che esiste tra Information Technology e Information Security: stesso obiettivo, ma approccio differente.
Cyber security: le migliori quattro tecnologie che funzionano contro il cyber crime
Indice degli argomenti
Il corretto approccio alla sicurezza delle informazioni
In estrema sintesi, l’obiettivo comune è supportare e creare le condizioni ottimali per lo sviluppo del cosiddetto “business” aziendale, rispettando i desiderata del management, mentre l’approccio è molto diverso: l’IT tende a istituire ed erogare un dato servizio nel più breve tempo possibile, garantendo le funzionalità previste, mentre, dal punto di vista della sicurezza, è fondamentale che il servizio rispetti determinati requisiti di mitigazione del rischio, frutto di un’accurata attività di Risk Analysis e di conseguenti opportune scelte del management.
Per questo motivo, è fondamentale che la gestione dell’IT e della sicurezza siano affidate (possibilmente) a persone diverse, che si confrontino e collaborino, con spirito critico ma dialettico, al raggiungimento del comune obiettivo.
Servono competenza, esperienza e specializzazione
Un altro aspetto da comprendere e tenere ben presente è quello della straordinaria complessità delle tematiche affrontate nell’ambito della sicurezza, che richiedono elevati livelli di competenza, conoscenza, esperienza e specializzazione, in ambiti anche molto diversi tra loro: dalla stessa Information Security all’Information Technology, al Legal-Tech, alla Governance, Risk and Compliance, alla comunicazione e via dicendo.
Emerge, quindi, immediatamente una necessità di cruciale importanza: lo svolgimento di un’attenta analisi di mercato al fine di individuare una società di consulenza che offra le necessarie garanzie di professionalità nei diversi domini della sicurezza delle informazioni, e che supporti l’azienda anche e soprattutto dal punto di vista strategico.
L’inventario degli asset in ottica data-driven
Esiste poi il problema fondamentale: l’inventario degli asset, con particolare attenzione alla loro classificazione secondo i criteri della criticità e del valore, per l’azienda, delle informazioni coinvolte.
L’individuazione chiara e precisa di quali siano gli asset da gestire è determinante, anche e soprattutto perché rappresenta il primo step della Risk Analysis: partire dai servizi per arrivare agli asset necessari alla loro “delivery”.
È infatti decisivo sviluppare la sicurezza delle informazioni attorno a ciò che debba essere effettivamente “protetto”, in termini di confidenzialità, integrità e disponibilità, in un’ottica “data-driven”.
Tutto questo, senza mai perdere di vista o sottovalutare l’importanza della continua ricerca e identificazione delle minacce esterne, la cosiddetta Threat Intelligence che fornisce, da un lato, le evidenze in termini di rischio tecnologico, umano e organizzativo, dall’altro, le aree di attenzione alla linea di difesa, tipicamente rappresentata da un Security Operation Center (SOC).
Il connubio tra Asset Inventory e Threat Intelligence consente di delineare un quadro molto chiaro degli asset che occorra gestire, sulla base delle effettive minacce.
Citando Roger Grimes[1], si potrebbe sintetizzare così: “Putting the right defenses in the right places in the right amounts against the right threats”.
Strategia basata sulla “Defense in Depth”
Infine, è molto probabile che non ci siano alternative al procedere secondo la logica della scalabilità, sia in termini di asset coinvolti, sia di policy, processi, servizi e soluzioni adottate.
La capacità di “assorbimento” interna all’azienda non è infinita, considerata la numerosità di progetti, anche molto corposi e complessi, che normalmente scaturiscono a seguito delle continue attività di Risk Analysis, e che possono coinvolgere, potenzialmente, tutti i dipartimenti aziendali.
Tanto meno si può pretendere che siano messi subito in sicurezza tutti gli asset aziendali, a maggior ragione se la superficie di esposizione al rischio è molto vasta, con un perimetro “indefinito” e una distribuzione su più aree geopolitiche, soggette a legislazioni anche molto diverse, soprattutto in materia di privacy e di protezione del dato.
D’altro canto, adottare una strategia basata sul concetto della cosiddetta “Defense in Depth” e, quindi, sulla sovrapposizione di più misure di sicurezza, è probabilmente la scelta migliore per proteggere gli asset aziendali.
Una riflessione e una provocazione
Quando si introduce la sicurezza delle informazioni in azienda, spesso la si deve calare in una realtà tutt’altro che “perfetta”, caratterizzata dall’assenza di un inventario completo di ciò che occorra proteggere, da un perimetro indefinito, da sistemi tra loro fortemente integrati e interconnessi, da tecnologie in parte obsolete e superate, da una certa “ostilità” nei confronti di una “disciplina”, la sicurezza, che può essere percepita, paradossalmente, come un ostacolo al raggiungimento degli obiettivi di “business”.
Stiamo assistendo, inoltre, a una digitalizzazione sempre più spinta delle realtà produttive, il cosiddetto mondo degli Industrial Control System, attraverso l’introduzione di un’ampia varietà di protocolli di comunicazione, di sistemi spesso legacy, di canali di collegamento a Internet, per il supporto e il monitoraggio, che possono anche sfuggire alla rete dei controlli aziendali.
Questi e altri scenari impongono, per certi versi, il superamento delle logiche di security by design e by default, per passare a un approccio basato soprattutto sulla detection degli attacchi e degli incident, da un lato, e sulla conseguente reaction, dall’altro: per quanto un sistema sia stato progettato seguendo tutte le best practice previste nell’ambito della sicurezza, esso dovrà essere calato in un contesto che, con ogni probabilità, metterà in crisi la sua security posture, vanificando, di fatto, gli sforzi profusi in fase progettuale.
Detto questo, possiamo davvero considerare economico, efficiente ed efficace che ogni realtà aziendale debba intraprendere questo complesso e costoso percorso autonomamente e indipendentemente da tutte le altre?
NOTE
Data-Driven Defense Evangelist @KnowBe4 – “A Master Class on Cybersecurity: Roger Grimes Teaches Data-Driven Defense”. ↑
