Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

le esperienze

Azienda cyber-sicura? Conta la cultura dei responsabili

Definire il giusto approccio alla sicurezza dei sistemi e delle comunicazioni aziendali è da intendersi come una scelta manageriale, ma non sempre si hanno gli strumenti, non solo economici, per un giusto approccio alla cyber security. Ecco quali sono i principali ostacoli culturali da superare, gli approcci e le soluzioni

10 Lug 2018

Francesca Bonora

Senior Advisor ICT Security & ICT Governance


Il mio tutor e mentore in ambito sicurezza dice sempre che, in azienda, la sicurezza va intesa come scelta manageriale.

Mi disse questa cosa all’inizio del nostro, ahimè breve, percorso insieme e lì per lì, anche se non gliel’ho detto, mi è sembrata più uno slogan che una pillola di saggezza.

Pur se in un contesto di business, io già avevo iniziato ad intendere la sicurezza più come missione che come mestiere e la mia visione era diversa, non poteva esserci dato né quindi informazione senza che questa si portasse appresso un adeguato livello di protezione, senza se e senza ma.

In verità ha ragione.

Sicurezza: una questione di budget, ma non solo

E non solo per questioni di budget. Certo, mettere in sicurezza i sistemi e le comunicazioni implica investimenti spesso rilevanti e non essendo mai il denaro un elemento ad energia infinita, per forza di cose occorre fare delle scelte e dei compromessi che portino il livello di protezione da ideale a fattibile, in armonia con quanto del famoso budget deve restare destinato a supportare il reale core business dell’azienda.

Ma non è solo questo.

Dietro la scelta di portare la sicurezza nel day by day, ci sono anche altri elementi che prescindono dalla possibilità di finanziare team dedicati alla cyber security, all’acquisto di soluzioni e servizi eccetera eccetera.

Nella mia esperienza sia di responsabile ICT Security che di consulente per diverse aziende, ho riscontrato che gli elementi principali sono questi:

  • Il controllo. Mettere in protezione qualcosa implica controllare cosa gli succede. Trattandosi di dati e sistemi, questo implica necessariamente, anche se indirettamente, il controllo del corretto uso delle risorse informatiche aziendale da parte degli utenti, interni od esterni che siano. In alcuni contesti questa attitudine o capacità, fa parte del dna aziendale, ma non tutte le organizzazioni sono pronte a farsi carico di una responsabilità di questo tipo. Per esempio una domanda che mi sono spesso sentita fare è: come spieghiamo ai nostri colleghi che vogliamo adottare una politica più rigorosa di controllo dei loro accessi a sistemi che hanno sempre usato?
  • La responsabilità di agire una volta che si sanno le cose. Forse è un modo un po’ banale di rappresentare il tema, ma nel 100% dei casi che ho affrontato nei contesti dove la cyber era in discussione (sia perché andava creata da zero sia perché si intravedeva la necessità di un sostanziale rinforzo) presto o tardi la fatidica domanda è arrivata: ma una volta che abbiamo capito che il nostro sistema è vulnerabile e servono significativi investimenti per sanarlo, cosa facciamo? Non possiamo fermare il business distraendone le risorse, ma non potremo nemmeno ignorare la cosa…cosa raccontiamo agli stakeholder?

Oppure, altrettanto frequentemente, ci si chiedeva cosa fare in caso di comportamento sospetto rilevato intorno ad una procedura o ad un sistema informatico.

La sicurezza intesa come scelta manageriale

Certamente questo non significa che è meglio ignorare il tema, evitare di controllare o evitare di sapere, ma è altrettanto vero che, forse inaspettatamente, fare sicurezza implica aumentare la responsabilità dell’organizzazione non diminuirla e porta i responsabili aziendali a conoscenza di molti nuovi aspetti della gestione aziendale che non solo vanno a sommarsi a quelli preesistenti, ma che richiedono attenzione e, talvolta, azione.

Ecco allora che se la sicurezza viene intesa come valore intrinseco dei prodotti o servizi forniti ai propri clienti prima e ai propri stakeholder poi, essa diventa a tutti gli effetti una scelta manageriale (almeno per quanto non riguarda ciò che è previsto a livello normativo, vedi GDPR per esempio, oppure ciò che prevedono le disposizioni delle aziende cosiddette regolate, come le banche per esempio).

Tutto questo preambolo a parziale razionale del quadro che sotto propongo come rappresentazione degli approcci alla cyber security che ho visto seguire dalle aziende che ho seguito e che ho discusso dai vari momenti di confronto con altri professionisti di sicurezza che lavorano sia per aziende che hanno la sicurezza come core business sia per aziende che invece fanno altro.

Sicurezza, approcci e soluzioni

La cosa più semplice: compriamoci un software.

La cosa più difficile: definiamo qual è il nostro modello di sicurezza.

Lo ammetto, anche io all’inizio sono partita subito come un caccia bombardiere a capire quale soluzione super intelligente potevamo mettere in rete per rilevare a tempo zero anomalie di traffico che, senza generare falsi positivi, facesse suonare gli allarmi del SOC per bloccare al volo tentativi di violazione di sistemi o procedure.

Capisco quindi benissimo che le organizzazioni si trovino, piuttosto che fare ragionamenti articolati su di una materia quasi nuova, molto più a loro agio nell’incaricare il proprio CIO, IT Manager o, per chi ce l’ha, il proprio CSO o CISO (Chief Security Officer o Chief Information Security Officer) di trovare la soluzione migliore, nell’ordine, per:

  • Cifrare i dati a db
  • Cifrare le comunicazioni
  • Fare sistematicamente vulnerabilities scan e/o network scan
  • Fare sistematicamente campagne di VA/PT
  • Monitorare il traffico sulle risorse accessibili da rete pubblica (siti, server ftp, ecc)
  • Fare campagne di awareness, prevalentemente tramite simulazione di attacchi di phishing o spear phishing

Strumenti tecnologici per la sicurezza, pro e contro

Per altro queste non sono scelte scevre di complessità, sia quelle che insistono su puri strumenti tecnologici sia quelle che implicano processi agiti da persone.

I primi, oltre ad essere costosi, hanno impatto sul funzionamento dei sistemi tout court e comunque vanno gestiti non diversamente da qualunque altro strumento tecnico. Inoltre, una cosa che a mio parere passa talvolta troppo sotto traccia, è che l’introduzione di questi strumenti porta ad un rilassamento dell’attenzione dell’organizzazione “perché tanto il sistema è protetto”, effetto assolutamente deleterio parlando, appunto, di sicurezza e che va contrastato.

I secondi tipi di strumento, sia che si tratti di aggiungere attività nuove (come ad esempio un servizio esterno di monitoraggio perimetrale della rete) che qualcuno internamente deve seguire sia che si tratti di interagire con le persone dell’organizzazione, implicano talvolta un acculturamento del personale non sempre immediatamente disponibile.

In questo ambito oggi il mercato viene in aiuto in molti sensi, l’offerta è ampia e nella mia esperienza, a differenza di ciò che è successo in passato quando si è creata la discontinuità di una nuova area di soluzioni tecnologiche, la percentuale di soluzioni realmente affidabili è buona, inclusi i casi di provider non di grandi dimensioni.

Affrontare il tema del proprio modello di sicurezza

Mi sono ritrovata a discutere con organizzazioni di vario tipo, sia di medie dimensioni che di grandi dimensioni (per numero di dipendenti e/o per distribuzione geografica) di settori anche molto diversi tra di loro, su come attrezzarsi per attivare o rinforzare la propria area di cyber security e le difficoltà nel definire un proprio modello di sicurezza sono state ogni volta particolarmente ostacolanti l’avvio di qualsivoglia iniziativa.

Ho riscontrato quasi sempre una importante fatica iniziale nell’inquadrare il problema.

Qual è il problema aziendale per cui la soluzione è il presidio di cyber security (dando per oramai di conoscenza universalmente acquisita che la cyber security non corrisponde unicamente nel tenere aggiornati gli antimalware)?

Le risposte che ho avuto sono state le più diverse e solo alcune volte, a mio modo di vedere, centrate già al primo colpo.

Anche girando la domanda “qual è la ragione per cui un attaccante dovrebbe aver interesse ad attaccarvi, ad avere la vostra organizzazione come target, come obiettivo?” il ragionamento fatica a prendere un efficace abbrivio.

Per alcune aziende la domanda ha riposta ovvia, vedi le banche per esempio, ed in questi casi, infatti, la cyber security è presente già da tempo come funzione aziendale consolidata.

Per le altre la risposta è molto meno evidente, o per meglio dire, per chi fa sicurezza da tempo la risposta rimane quasi sempre ovvia, mentre è l’organizzazione stessa che fatica a rispondere (nota: non vale rispondere “perché abbiamo un data base con i dati dei clienti”, è in un certo senso centrato, ma troppo abbozzato, spesso è fumo negli occhi, fa solo supporre che si abbia chiaro il problema…è un po’ come dire puffare, può voler dire qualunque cosa!).

L’analisi dello scenario delle minacce

È appannaggio di pochi partire dall’analisi dello scenario delle minacce che possono tradursi in rischio, mentre personalmente trovo che iniziare così aiuta ad avere prima e meglio un quadro di insieme che quanto meno offra l’opportunità di partire da ciò che si ritiene più importante o più prioritario.

È chiaro che anche fare una analisi dello scenario richiede competenza e cultura, ricordo ancora quasi con tenerezza una riunione per tre quarti sprecata sull’onda di un equivoco: il mio interlocutore mi diceva che dovevano assolutamente capire come allestire lo SPOC prima di avviare le altre attività e i processi della neodefinita struttura di cyber security. Ho cercato di capire quale modello si erano dati, quali punti di controllo con quali politiche, ma niente, non ero in grado di capire a cosa dovesse servire questo benedetto SPOC, quale fosse il punto di ingaggio e per cosa, temevo per altro di fare una pessima figura e stavo infine accarezzando l’idea di chiedere l’aiuto del pubblico o di guardare su internet, di nascosto, per vedere cosa usciva cercando SPOC & cyber security….e niente, in quel momento ho capito che in verità che voleva dire SOC, ma non sapendo cosa significa né cosa fa un SOC, continuava a dire SPOC. Evvabbè.

Tornando a noi, ritengo che anche per quanto riguarda lo studio degli scenari di rischio il mercato risponde bene. Dalle aziende più note e blasonate di consulenza e system integration per arrivare alle aziende specializzate in sicurezza, molte offrono metodologie rodate che consentono di mettere a fuoco quali possono essere gli ambiti di sicurezza che vanno messi in priorità tra:

  • Monitoraggio
  • Difese attive
  • Difese reattive
  • Intelligence

E con quale pervasività rispetto alla propria superficie di rischio.

Il modello organizzativo interno

Anche il modello organizzativo interno dovrebbe essere messo a punto in ragione di questa prima analisi, non credo sia più il tempo di disegnare un presidio di cyber security sulla falsa riga di un dipartimento isolato e specifico dell’IT o una propaggine di una preesistente organizzazione antifrode.

Ci sono sicuramente dei capisaldi, o pillars, sempre presenti in una organizzazione di cyber security (così come, a scanso di equivoci, i software antimalware vanno sempre aggiornati!), ma la sicurezza davvero riesce ad essere efficace se sviluppata by design con l’evolvere del business, dagli strumenti di protezione di canale alle politiche di data protection, tutto va valutato e progettato in modo dinamico e con grande attenzione a non generare sovrastrutture che sono sempre dannose, soprattutto in sicurezza.

Articolo 1 di 4