In un’azienda che voglia proteggersi a 360 gradi, sicurezza delle informazioni e protezione dei sistemi devono andare di passo. In realtà, spesso le due cose vengono confuse, per questo è opportuno sottolineare come premessa di questa riflessione che proteggere i sistemi (e non le informazioni) e quindi “fare cyber security” significa avere solo cura del “contenitore”, correndo il rischio di dimenticare il contenuto.
Spieghiamo quindi perché mentre buona parte delle attività di cyber security possono essere esternalizzate (così come è possibile affidare a terzi le stesse infrastrutture che queste vanno a proteggere) occuparsi di sicurezza delle informazioni dovrebbe essere un tema centrale del management delle imprese: come tale, la visione e la strategia di protezione che devono essere realizzate dovrebbero essere parte integrante del modo di “fare impresa”, ovvero del DNA dell’organizzazione.
Cyber security, una definizione chiara
Come accade con molti termini tecnici, spesso l’uso del termine cyber security nel linguaggio comune non riflette il suo preciso significato, e le implicazioni che questo può avere nell’ambito delle iniziative concrete, nei prodotti e nelle soluzioni che vengono poi avviate per mitigare i rischi del cosiddetto “cyberspazio”, possono non essere banali.
Nel Cobit Framework, la “cybersecurity” è definita come “tutto ciò che protegge l’azienda e gli individui da attacchi intenzionali, violazioni o incidenti, e dalle loro conseguenze”. Ancora, per il NIST americano, la cybersecurity consiste nella “capacità di proteggere o difendere l’uso del cyberspazio dai cyber-attacchi”, ovvero intenzionali, che avvengono nel dominio logico e verso i sistemi informatici.
Viceversa, abbiamo da anni definito la sicurezza informatica come la capacità di proteggere i requisiti di integrità, disponibilità e riservatezza delle informazioni.
Cosa cambia quindi e perché è importante fare questo, noioso, distinguo?
Perché, evidentemente, occuparsi di sicurezza non riguarda solo tenere lontani i “cattivi esterni” che agiscono tramite la tecnologia contro i sistemi aziendali, quanto piuttosto proteggere le persone, i processi aziendali e le informazioni durante tutto il relativo ciclo di vita.
Cosa vuol dire proteggere le informazioni
L’informazione, infatti, circola nell’azienda secondo molteplici modalità, ognuna delle quali presenta rischi specifici anche non tecnologici: smarrire una chiavetta USB, subire il furto di un portatile o di un documento cartaceo, sono solo alcune delle minacce di cui la sicurezza delle informazioni si occupa e che sono fuori dal dominio della cybersecurity.
In secondo luogo, molti incidenti (secondo alcune statistiche, la maggior parte) hanno come causa primaria l’errore umano, una minaccia non tecnologica e di matrice non volontaria.
Si prenda ad esempio il famoso/famigerato data breach della società Equifax americana, che nel 2017 ha consentito la violazione dei dati personali anche rilevanti di ben 143 milioni di persone: la causa primaria, come detto di fronte al Congresso americano un ex dirigente licenziatosi proprio in conseguenza dell’incidente, fu l’errore di una singola persona nel comunicare la gravità di una vulnerabilità tecnica che era stata notificata alla società, e che avrebbe dovuto scatenare un processo di aggiornamento urgente.
Questo caso fa ormai da scuola su quanto un’eccessiva attenzione agli aspetti tecnologici della sicurezza, a scapito degli altri fattori di rischio, possa determinare conseguenze imprevedibili: stiamo infatti parlando di un’azienda che ha una spesa in IT e sicurezza di centinaia di milioni di dollari.
Gli elementi centrali nella strategia di sicurezza
In primo luogo, sono due gli elementi che devono trovarsi al centro della strategia di sicurezza:
- le informazioni, in quanto beni da proteggere, indipendentemente dalla forma che possono assumere (cartacea o elettronica, ma anche come file su un server o su una chiavetta USB, piuttosto che come flusso di dati attraverso la rete, etc…),
- le persone che (legittimamente) dovrebbero usare queste informazioni.
La tutela degli uni non può prescindere dagli altri, in quanto la violazione delle identità, o l’errata definizione dei profili di accesso, sono una delle cause prevalenti di incidenti di sicurezza.
Rispetto alle informazioni, è ormai essenziale che le aziende siano in grado di ricostruire ogni flusso informativo comprendendone la necessità, la rilevanza, i potenziali rischi e, pertanto, le misure necessarie. Un interessante report del 2017 rivelava che almeno il 30% delle imprese non fosse a conoscenza di quali dati le macchine industriali inviassero o ricevessero da Internet: è abbastanza ovvio che in un tale scenario sia praticamente impossibile “fare sicurezza” (così come “fare cybersecurity”) fintanto che non si sa cosa proteggere, e dove agire.
Come effetto dell’analisi, è essenziale applicare un criterio di minimizzazione, mutuabile dal GDPR, riducendo i flussi non essenziali e/o la popolazione coinvolta in relazione all’effettiva esigenza di accesso alle informazioni; tale approccio è più noto come “riduzione della superficie d’attacco”, e volge a limitare gli ambiti nei quali si potrebbe verificare un evento di elevata gravità.
In tal senso, gli interventi volti a automatizzare e/o rendere più efficienti i processi aziendali sono quelli di maggiore efficacia, in quanto generalmente ottengono il beneficio di ridurre il margine d’errore causato dal “fattore umano”, e consentono l’individuazione di misure di sicurezza che possano ridurre la proliferazione e la circolazione incontrollata dei dati più critici.
Proteggere i sistemi non significa fare (solo) cybersecurity
Quando si parla di sicurezza delle informazioni, nel perimetro dei sistemi informatici, si deve pensare innanzitutto a rendere l’informazione intrinsecamente sicura, non solo a tenere fuori i cattivi (che è una delle molteplici avversità che dobbiamo contrastare).
Da dove arriva l’informazione che alimenta la mia applicazione? Dove è destinata dopo averla elaborata? Chi, nel frattempo, può accedervi, fare estrazioni, visualizzarne gli stati parziali? In termini di riduzione della superficie d’attacco, osservare il ciclo di vita dell’informazione anziché le vulnerabilità del singolo sistema, si traduce in una visione più ampia, in cui è possibile rinunciare a qualche misura tecnica per la specifica applicazione, a fronte della costruzione di processi nei quali il dato sia sempre protetto al medesimo livello di sicurezza. Questo è quanto realmente rappresenta il principio di “security by design”.
Inoltre, tale approccio ha il vantaggio (enorme) di essere orientato alle conseguenze (es: voglio evitare l’accesso a un certo dato in un certo momento) e non alle cause (es: voglio evitare il ransomware), pertanto permette di definire interventi che superino, nel tempo, l’evoluzione delle specifiche minacce tecnologiche.
Perché abbiamo bisogno della cyber security
Tutti gli esempi e tutte le minacce che tipicamente si vanno a contrastare con un approccio orientato alla protezione dell’informazione attengono ad eventi tipicamente ad impatto significativo ed elevata probabilità. Sono pertanto le condizioni che vengono evidenziate di maggiore rilevanza, di solito con un’analisi dei rischi, e che determinano le scelte più urgenti.
Negli ultimi anni, tuttavia, abbiamo assistito ad una crescita esponenziale dei cyber-attacchi che possono determinare impatti gravi o disastri, come non è mai avvenuto in precedenza.
L’approccio descritto in precedenza, ancora necessario, deve tuttavia essere integrato con una maggiore attenzione agli aspetti “cyber”, ovvero alla protezione degli asset tecnologici rispetto a minacce e vulnerabilità tipicamente note, ma solitamente giudicate estranee al contesto dell’azienda o improbabili. Considerazioni come “la mia azienda non è interessante per gli attaccanti, non sono una banca”, oppure “l’autenticazione forte è eccessiva rispetto alle cose che devo proteggere”, assolutamente sensate in una logica costi/benefici, rischiano di essere superate dal fatto che il cyber crime ha industrializzato le proprie tecniche di attacco, per altro sempre più sofisticate, e pertanto non ha difficoltà ad includere ogni tipo di azienda tra i propri target, come dimostrano anche i dati dell’ultimo rapporto Clusit.
Conciliare i due approcci: le competenze
La due diverse prospettive, sicurezza delle informazioni e protezione dei sistemi, non sono inconciliabili. Affrontano semplicemente la tematica da due prospettive diverse.
La prima, quella della sicurezza dei dati, è più vicina al business, di alto livello, con iniziative e interventi che hanno una prospettiva temporale di maggiore durata, in quanto focalizzate sulla mitigazione delle possibili conseguenze.
In tal senso, dal punto di vista organizzativo, la sicurezza delle informazioni è competenza di una “security governance”, di un CSO e/o del CISO, collocati organizzativamente ad un livello tale da consentire un’interlocuzione adeguata con il business.
La cybersecurity, al contrario, verte alla mitigazione di minacce e vulnerabilità tipicamente note, che prevedono risposte prevalentemente tecniche, e quindi di pertinenza di una “technical security”, di un Security Operation Center o di una funzione che abbia un contatto stretto con l’IT dell’azienda.
Gli interventi di cybersecurity hanno un’efficacia di durata tipicamente breve, fortemente influenzata dall’evoluzione degli strumenti di difesa e di attacco, che necessitano di competenze molto verticali e in costante aggiornamento.
