Nell’attuale scenario di cyber security è divenuto necessario per tutte le organizzazione prioritizzare i controlli di sicurezza informatica al proprio interno. Infatti, se fino a qualche anno fa la sicurezza delle informazioni era un tema riguardo al quale in numerose realtà non vi era ancora una consapevolezza degna di tal nome, oggi la situazione è cambiata in maniera drastica.
Le sempre più stringenti esigenze normative legate alla tutela dei dati, unite alla maggior risonanza mediatica avuta da incidenti di gravi proporzioni, oltre che dal proliferare di strumenti tecnologici che se da un lato semplificano l’operatività dall’altro richiedono un impegno ulteriore dal punto di vista della protezione, hanno fatto sì che tutte le organizzazioni o quasi siano al corrente di dover perseguire tale obiettivo.
Le domande più gettonate a questo punto diventano: “come lo faccio?”, “Che controlli devo effettuare?”, “Quali sono gli elementi da tenere in considerazione?”, “Cosa è più importante”?
Indice degli argomenti
Come prioritizzare i controlli di sicurezza informatica
All’interno della miriade di modelli più o meno complessi, framework autorevoli, liste che si concentrano sull’aspetto puramente tecnico piuttosto che su quello solo organizzativo, esiste un elenco di controlli che, se correttamente implementato, può essere un’arma estremamente efficace per orientare in maniera semplice la postura di sicurezza tenuta da un’azienda: si tratta dei CIS 18 Controls creati dal Center For Internet Security, associazione no profit indipendente che da oltre un ventennio si occupa di promuovere e diffondere best practice e linee guida per la protezione di enti pubblici e privati dalle minacce informatiche.
CIS 18: i controlli del Center for Internet Security
A maggio 2021 ne è stata rilasciata la versione numero 8, che ha visto il numero totale di controlli scendere dai precedenti 20 a 18 e ha compreso nel proprio perimetro elementi che stanno diventando sempre più presenti quali cloud, virtualizzazione ed outsourcing.
Tale modello propone una serie di punti suddivisi per differenti aree (ad esempio Malware Defenses o Security Awareness Training) e su tre differenti livelli, i cosiddetti implementation group (IG).
Questo approccio prevede che il primo IG rappresenti l’insieme minimo di contromisure che un’organizzazione dovrebbe adottare per proteggersi dalle più comuni tipologie di attacco, realizzando quella che CIS chiama “basic cyber higiene”.
Sulla base di IG1 è possibile in seguito adottare i controlli di IG2 che si adattano ad un livello di complessità operativa superiore ed in seguito ad IG3, che rappresenta il layer in cui la “maturità” chiaramente è massima.
Prioritizzare i controlli di sicurezza informatica nelle piccole aziende
Un’organizzazione da IG1 è una realtà medio-piccola, la cui funzione IT è di modeste dimensioni e magari non vi sono nemmeno figure che si dedicano in maniera specifica alla sicurezza informatica.
Non è difficile intuire quanto per suddette realtà siano importante la protezione delle cosiddette operations in funzione del poco tempo e della ridotta expertise da poter impiegare in caso di incidente.
Tipicamente queste organizzazioni non gestiscono (o proteggono) grandi quantità di dati, non perché non li abbiano, ma perché da tempo hanno scelto (e se ancora non l’hanno fatto dovrebbero valutare tale approccio) di rivolgersi a servizi esterni, come quelli cloud.
Il set di 56 controlli selezionati per IG1, pertanto, mira a poter essere implementato senza l’impiego di competenze verticali specialistiche in materia di sicurezza.
Prioritizzare i controlli di sicurezza informatica nelle medie aziende
Al contrario, la tipica organizzazione da IG2 prevede al suo interno figure specifiche che si occupano della sicurezza informatica poiché si tratta di realtà di maggiori dimensioni e più strutturate, in genere con una quantità di servizi on premise o comunque da gestire non trascurabile.
Spesso essa è composta da diversi dipartimenti e pertanto ha svariate esigenze dal punto di vista della protezione.
Vi sono ovviamente numerosi vincoli di compliance e operativi riguardo ai dati trattati (solitamente sia di impiegati che di clienti), la cui mole è di solito sensibilmente superiore rispetto a quella relativa al contesto di IG1.
I 74 controlli di IG2 possono pertanto aiutare il team di security a governare la complessità crescente e sono maggiormente legati a specifiche tecnologie, pertanto necessitano di una presa in carico da parte di personale specializzato.
Prioritizzare i controlli di sicurezza informatica nelle grandi aziende
In ultimo abbiamo il ristretto insieme di controlli (23) che costituiscono IG3. L’organizzazione target per questa tipologia è di grandi dimensioni, estremamente strutturata e gestisce la propria sicurezza delle informazioni tramite numerose figure dedicate e specializzate in determinate aree (ad esempio penetration testing, protezione perimetrale, risk assessment e via dicendo).
Chiaramente vi è una enorme quantità di dati critici (e/o particolari, ai sensi del GDPR) da salvaguardare ed una profonda esigenza di garantire nella loro interezza i requisiti di riservatezza, integrità e disponibilità delle informazioni.
I controlli di IG3 mirano pertanto ad evitare attacchi sofisticati e ridurre la possibilità di essere vittima (o l’impatto) di un attacco di tipo 0-day.
I vantaggi di questo approccio
Il beneficio di un approccio come questo è che viene enormemente semplificato il processo di prioritizzazione dei controlli, in quanto l’organizzazione ha modo di selezionare con estrema facilità il set più adatto a sé e di conseguenza quali accorgimenti deve mettere in atto e dove concentrare i propri sforzi.
Ciò comporta un risparmio non indifferente di tempo e di risorse, riducendo l’incertezza ed evitando pericolosi “scompensi” di copertura in un’area rispetto che in un’altra (si pensi ad esempio all’azienda che disponga degli strumenti antimalware/EDR più sofisticati e all’avanguardia ma contestualmente non dia alcuna importanza all’aspetto di training ed awareness dei dipendenti).
Poter selezionare in maniera così lineare ciò che è “necessario” comporta un ulteriore vantaggio strategico di cui tenere conto: se la nostra organizzazione rientra in IG1 o IG2, oltre a quello che devo garantire dispongo anche di un riferimento preciso a tutto ciò che è opzionale ma che possiamo implementare sia in ottica di future esigenze operative differenti e superiori alle attuali, sia se vogliamo “solo” garantire un livello di protezione superiore al nostro standard.
A titolo di esempio si veda la traduzione in italiano di tre controlli della medesima area (uno per ogni livello di implementazione):
- controllo 6.1 (Gestione del controllo accessi): stabilire e seguire un processo, preferibilmente automatizzato, per fornire l’accesso agli asset aziendali in caso di nuova assunzione, concessione dei privilegi o cambio ruolo di un utente (IG1)
- controllo 6.7 (Gestione controllo accessi): rendere il controllo accessi centralizzato tramite un servizio di directory o un provider di Single Sign On ove supportato (IG2)
- controllo 6.8 (Gestione controllo accessi): definire e mantenere un sistema di controllo accessi basati sul ruolo, individuando e documentando i diritti necessari per ciascun ruolo. Effettuare attività di verifica del controllo accessi sugli asset aziendali per verificare che tutti i privilegi assegnati agli utenti siano leciti ed autorizzati. Tale attività di verifica è da svolgersi secondo una schedulazione prefissata, almeno annuale (IG3).
Non è certamente complicato intuire come un simile livello di granularità all’interno della stessa “famiglia” di misure sia un elemento di flessibilità che può dare un contributo significativo nell’orientare la propria strategia di difesa informatica indirizzando il focus su ciò che è considerato essenziale e la cui assenza rappresenterebbe un gap difficile se non impossibile da colmare.
Elencando per intero le 18 aree citate in precedenza ci si rende conto di come il framework miri ad essere al contempo sintetico e completo unendo elementi prettamente tecnici ad altri più legati all’aspetto organizzativo e/o di governance. A tal proposito si veda l’elenco (in lingua originale) sottostante:
- 1: Inventory and Control of Enterprise Assets
- 2: Inventory and Control of Software Assets
- 3: Data Protection
- 4: Secure Configuration of Enterprise Assets and Software
- 5: Account Management
- 6: Access Control Management
- 7: Continuous Vulnerability Management
- 8: Audit Log Management
- 9: Email Web Browser and Protections
- 10: Malware Defenses
- 11: Data Recovery
- 12: Network Infrastructure Management
- 13: Network Monitoring and Defense
- 14: Security Awareness and Skills Training
- 15: Service Provider Management
- 16: Application Software Security
- 17: Incident Response Management
- 18: Penetration Testing
CIS 18 non specifica a chi spetta la presa in carico delle aree o dei singoli controlli, si limita per ciascun punto ad evidenziare il tipo di risorsa (utenti, strumenti, dati, network) e la sua funzione (identify, protect, detect, recover), sarà poi compito dell’organizzazione stabilirne la presa in carico una volta fatto rientrate nel proprio perimetro.
Conclusioni
Ricordiamo che la sola adozione di un framework/modello (per quanto esso possa essere all’avanguardia, completo, e riconosciuto) non significa di per sé essere efficaci nell’adozione delle misure selezionate, la cui corretta implementazione e utilizzo non dipende certamente dalla compilazione talvolta financo distratta di una casella da riempire.
Tuttavia, avere un modello semplice, conciso, che non “sommerga” l’utente con una mole di nozioni non sempre gestibile nell’immediato è già di per sé un valore aggiunto da non sottovalutare. Se al contempo tale modello è adattabile alla realtà aziendale con le sue peculiarità e riesce a fornire una guida per prioritizzare gli interventi in modo da evitare la dissipazione di tempo e risorse, ecco che disponiamo di una freccia veramente importante al nostro arco: sta a noi farne l’uso migliore.