Accanto alla crescente consapevolezza dei rischi associati alla sicurezza informatica, si verifica ancora una notevole incertezza su come affrontare audit di sicurezza secondo le responsabilità assegnate nell’ambito della cyber security, in cui una realistica comprensione dei problemi informatici e dei gap della loro gestione è essenziale per proteggere i servizi pubblici, le organizzazioni private e gli utenti.
In molte organizzazioni, la capacità del personale di trattare con questo problema non ha tenuto il passo con i rischi e con l’ulteriore complessità di condividere i dati con le autorità competenti o in ambito supply chain.
Capire e reagire alla rapida evoluzione del rischio richiede di saper misurare la propria organizzazione e apportare correttivi. Questo comporta un ruolo importante per chi effettua l’audit interno di sicurezza al fine di capire se la direzione stia adottando un approccio appropriato, rispetta regole e standard, se è adeguatamente dotata di risorse e organizzata correttamente per svolgere queste attività e soprattutto se è efficace ed efficiente nel farlo.
Comprendere come affrontare un audit interno di sicurezza può aiutare le organizzazioni nel miglioramento del proprio sistema di protezione al fine di prevenire gli incidenti informatici o ridurre gli impatti del loro accadimento.
Alcune best practice possono significativamente aumentare efficacia ed efficienza dell’intervento e per comprendere come procedere negli interventi più appropriati abbiamo chiesto a Roberto Veca, Cybersecurity Manager di Cyberoo alcune indicazioni operative.
Indice degli argomenti
Audit, questo sconosciuto: conoscere le verifiche di sicurezza
Il termine audit è associato ad una verifica di conformità rispetto ad una normativa di riferimento. Può svolgersi in vari ambiti: finanziario, sicurezza sul lavoro, qualità e via dicendo.
Nell’ambio della cyber security, un audit di sicurezza è una valutazione tecnica sistematica e misurabile del modo in cui viene utilizzata la politica di sicurezza dell’organizzazione per verificare la conformità a una serie di criteri stabiliti.
Effettuare audit periodici consente di controllare l’efficacia ovvero la correttezza dell’insieme di misure definite, implementate e mantenute per garantire la sicurezza informatica; tuttavia, poiché ogni audit punta al miglioramento del sistema di policy, procedure e regole che realizzano la sicurezza informatica, l’efficacia da sola non basta, ma è necessaria anche la verifica di efficienza, ovvero della capacità di effettuare correttamente le attività utilizzando il minor numero di risorse possibili.
Paper scientifici sugli audit di sicurezza informatica si trovano dal 2010 in relazione alla valutazione dei rischi fisici e logici, per comporre liste di controllo e verifica (Fonte: Audit for Information Systems Security) ma naturalmente l’evoluzione tecnologica e dei sistemi richiede adeguamenti periodici delle liste di controllo per annoverare nuove tipologie di sistemi, applicativi e tutti i processi ad essi collegati.
Si parla quindi di evoluzione dell’audit interno che in dettaglio dovrebbe svolgersi all’incirca secondo questo schema. (Fonte Qualitiamo): “verificare la conformità e l’efficacia del sistema cercando di individuare eventuali punti deboli; esaminare se sono state colte alcune opportunità di miglioramento; verificare l’efficienza del sistema; assicurarsi che siano state messe in atto delle best practice per aggiungere valore a ciò che si fa e che il management supporti attivamente questo lavoro”.
Si distinguono dunque due fasi fondamentali: la prima in cui il tema principale è la verifica della conformità del sistema controllando che procedure, linee guida, prescrizioni, regole e requisiti siano state definiti e vengano regolarmente seguiti e quindi che l’azienda effettui davvero ciò che ha dichiarato nei documenti.
In una seconda fase la verifica è la comprensione delle azioni per il miglioramento, sfruttando le occasioni che si sono presentate nel corso delle verifiche.
Audit di sicurezza informatica: cosa analizzare
Chi si occupa di effettuare verifiche ispettive ed audit di sicurezza conosce molto bene gli aspetti da cogliere e da osservare per comprendere una situazione di partenza e suggerire elementi evolutivi di ottimizzazione.
Roberto Veca, Cybersecurity Manager di Cyberoo, spiega che il modo di procedere durante un audit è piuttosto standardizzato all’avvio perché si controllano tutte le policy e le procedure ma anche le tecnologie utilizzate per la protezione cyber dell’azienda e si censiscono tutti gli asset.
Si valuta, così, il valore di rischio iniziale associato alla condizione osservata dalle evidenze, facendo emergere eventuali “elementi scoperti” ed è su questi che si valuta se ci sono attività di miglioramento possibili, che possono riguardare policy, procedure e tecnologie.
L’audit è normalmente legato alle certificazioni, o meglio i sistemi certificativi si basano sulle verifiche di auditing per accertare se il livello di protezione atteso sia effettivo: di fatto l’audit di cyber security rappresenta un meccanismo per verificare il livello della sicurezza informatica.
Naturalmente si può richiedere un audit anche senza possedere certificazioni ed in questo caso si parla più propriamente di gap analysis che permetta di verificare la postura di sicurezza.
La scelta del soggetto a cui commissionare un audit è molto importante: a parte il tecnico singolo che è conosciuto dall’azienda per motivi di passaparola, si dovrebbe scegliere un’azienda capace di effettuare analisi di sicurezza ed audit.
Per quello che riguarda invece le analisi tecnologiche che solitamente accompagnano una gap analysis si consiglia di eseguire inizialmente un’attività standard di Vulnerability Assessment (VA) per poi procedere ad un audit sulle configurazioni (posta e password, sistema accessi), con controlli custom mirati a capire e analizzare la modalità di gestione dei dati, la presenza di eventuale cifratura o gestione in chiaro.
A seconda del tipo di mercato in cui l’azienda opera vi sono poi degli specifici controlli da eseguire: ad esempio, se ci si trova in una manifatturiera è importante controllare la rete e il sistema produttivo, per capire se il disegno di infrastruttura della rete è realmente quello implementato o se ci sono elementi e/o nodi che non dovrebbero esistere o segmenti non realmente implementati.
Può succedere che i sistemi primari e secondari non siano realmente segregati fra loro, il che costituisce un potenziale problema di sicurezza.
In sostanza, l’audit tecnologico verifica operativamente le “verità dichiarate” e permette di individuare pericoli, vulnerabilità e “scoperture” che l’azienda committente potrebbero non conoscere.
È preferibile dotarsi di strumenti a supporto capaci di aiutare l’analisi della rete, fornendo evidenze sulle proprietà e sulle policy applicate perché si possono rendere evidenti le eventuali differenze da quelle configurazioni che ci si sarebbe aspettati di trovare o che avrebbero dovuto essere implementate.
Roberto Veca precisa che come azienda di sicurezza, Cyberoo è solitamente coinvolta in gap analysis in relazione ai sistemi certificativi della ISO 27001, ma anche in relazione alle normative europee del GDPR, o all’aderenza alle misure minime AGID per le PA e in qualche caso è stato chiesto un supporto per l’autovalutazione secondo lo schema del Cybersecurity Framework nazionale derivato dalla NIST.
Le analisi di audit e le analisi di gap sono solitamente focalizzate sulla protezione dell’azienda e del core business per non perdere capitale, ma piuttosto di rado si richiedono queste stesse verifiche in ottica privacy almeno per la loro esperienza.
Nonostante il rischio del 4% del fatturato, probabilmente sono ancora molte le aziende che non conoscono bene la normativa vigente e permane una scarsa consapevolezza e cultura verso la privacy e gli obblighi normativi su questi temi. Roberto Veca specifica anche come le analisi di gap siano in alcune occasioni supportate dall’installazione di soluzioni di sicurezza Cyberoo che permettono di effettuare continuous monitoring da quel momento in poi.
Altri tipi di analisi richieste nell’ambito delle verifiche di sicurezza possono riguardare audit esterni, ovvero sul panorama della minaccia con richieste di threat hunting mediante OSINT (Open Source Intelligence n.d.r.) oppure relativa sulla reputation on line del committente mediante servizi erogati in real time da Cyberoo.
Si possono infine verificare anche casi in cui serva un tool diverso da quelli che tratta Cyberoo e in queste occasioni sono suggerite soluzioni di altri vendor.
Più estremo il caso in cui manchi una soluzione IT propedeutica ad un tool di sicurezza che proprio Cyberoo ha introdotto, ma in questi casi si suggerisce un work around tecnico o estrema ratio, si effettua una esclusione dal perimetro richiedendo però’ al committente una dichiarazione di accettazione del rischio.
Come aumentare l’efficacia e l’efficienza degli audit
Indipendentemente se si esegue un audit correlato ad una certificazione o meno, continua Roberto Venca, si tende ad eseguire tutti controlli applicabili all’ambiente in cui ci si trova.
Ad esempio, se la lista prevedesse controlli ambientali ma il data center fosse in cloud allora è evidente che quei controlli non sarebbero applicabili, tuttavia per accrescere l’efficacia si potrebbe introdurre un sistema di monitoring dell’infrastruttura cloud che aumenti la sicurezza a livello logico oppure si potrebbe analizzare e valutare l’insieme di strumenti che effettuano il log management, per contribuire alla verifica delle azioni effettuate.
Chi esegue la gap analysis supporta e aiuta nel raggiungimento di una postura di sicurezza anche mediante consulenza, ma è successivamente impossibilitato ad eseguire l’audit, così come chi esegue audit in occasione di rinnovi certificativi non può assolutamente effettuare consulenza di prodotti. I due ruoli sono sempre mutuamente esclusivi in osservanza alla regola di “segregation of duties”.
Ecco, quindi, che Cyberoo durante le analisi di gap può trovarsi a suggerire enhancement strumentali secondo le proprie esperienze, prodotti e servizi.
I controlli si avviano con la verifica dell’organizzazione e delle procedure mediante analisi della Statement of Applicability (SOA). Nella ISO 27001 il documento SOA elenca una sintesi delle decisioni relative al trattamento del rischio dimostrando, per ciascun controllo, la sua relazione con i risultati del risk assessment e del risk treatment, rispetto alla politica e agli obiettivi.
Il documento, quindi, riporta anche una descrizione dei rischi contrastati ovvero fa capire dove sono applicati i controlli rispetto a dove si trovano le minacce.
Il controllo dell’organizzazione, dei ruoli e delle responsabilità è un elemento ulteriormente importante altrimenti il solo prodotto tecnologico può non essere efficace, perché pur in presenza di warning, istituire una situazione di crisi, dipende dal processo IT di escalation secondo i ruoli aziendali.
Ma questo è vero, ad esempio, anche per quei processi legati ad HR che prevedono la consegna e revoca delle PdL (Postazioni di Lavoro) dei dipendenti in entrata e in uscita dall’azienda.
Rispetto a ciò che costituisce un elemento “scoperto” di sicurezza si assegna un valore di criticità e un valore di impatto potenziale in termini economici e/o di dati.
Successivamente si suggeriscono interventi che possano abbassare il rischio fino ad un livello residuo che possa essere accettabile per la Direzione.
Tipicamente si procede consigliando gli interventi principali dando supporto e ricontrollando fino al termine dell’implementazione ma ancora una volta, non ci si deve focalizzare solo sulla tecnologia perché se ci sono tentativi di truffa, sono spesso le procedure di sicurezza quelle che possono arginare il danno e gli effetti.
In assenza di soluzioni di continuous monitoring già presenti in azienda, si consiglia di effettuare controlli sulla postura di sicurezza ogni tre mesi per quanto riguarda i sistemi tecnologici, mentre in relazione a policy e procedure la revisione si rende necessaria almeno due volte l’anno per indirizzare nuove direttive e modalità di comportamento e naturalmente in tutti i casi di riorganizzazioni aziendali o di e modifiche dell’assetto aziendale.
Contributo editoriale sviluppato in collaborazione con Cyberoo
