Dopo aver sottovalutato troppo a lungo il tema, anche il nostro Paese inizia a fare i conti in modo serio con la cybersecurity. Negli ultimi anni incidenti di natura e dimensione varia hanno coinvolto organizzazioni molto diverse tra loro: piccoli comuni con i sistemi informatici bloccati dal ransomware di turno, imprese la cui proprietà intellettuale è stata trafugata riducendo in modo esponenziale la loro competitività nei mercati globali, pubbliche amministrazioni oggetto di importanti data breach.
Cybersicurezza e privacy, così la PA italiana può vincere la partita del secolo
Il forte impulso allo spostamento online delle attività di business, causato da maggiori opportunità di sviluppo, piuttosto che da fattori contingenti come il perdurare dell’emergenza sanitaria provocata dal Covid-19, ha provocato, indirettamente, anche un aumento del numero e della magnitudo degli attacchi informatici.
Cybersecurity sotto la lente del rapporto Clusit 2021
Nel suo rapporto 2021 il Clusit ha stimato un incremento degli attacchi cyber a livello globale nel 2020 pari al 12% rispetto all’anno precedente, con una tendenza in costante crescita nei precedenti tre anni.
Nessun settore è rimasto indenne. Se le grandi aziende sono riuscite a contenere l’impatto derivante dalla crescita del fenomeno, applicando best practice note da tempo, lo stesso non si può dire per il vasto mondo delle realtà medio piccole che sono state investite in modo drammatico da questa crescente ondata di attacchi.
La situazione è forse anche peggiore nel mondo della pubblica amministrazione, dove solo poche realtà hanno agito per tempo, acquisendo competenze e tecnologie necessarie per non farsi trovare impreparate.
Gli interventi legislativi in Italia
Un’inevitabile crescente attenzione al problema, ha portato anche a un incremento delle iniziative volte a migliorare la capacità di risposta complessiva del nostro paese. Gli ultimi governi hanno agito in maniera sinergica in questo ambito, promulgando leggi e regolamenti indirizzati a migliorare complessivamente il livello di difesa e risposta del nostro Paese: dall’implementazione della direttiva NIS, all’introduzione del Perimetro nazionale di sicurezza cibernetica, per finire con la recente nascita dell’Agenzia per la Cybersicurezza Nazionale.
Tutti questi interventi legislativi definiscono un nuovo contesto. La singola organizzazione, precedentemente lasciata da sola di fronte alla minaccia, può così trovare supporto, strumenti e metodologie per migliorare il proprio livello di protezione.
Pianificazione del miglioramento
A questo scopo le organizzazioni devono definire e implementare un piano di miglioramento progressivo per raggiungere un livello di protezione desiderato, ragionevolmente adeguato a contrastare la minaccia che fronteggiano. Le attività di pianificazione in questo ambito si basano tipicamente sull’identificazione dei gap presenti tra uno stato attuale ed uno obiettivo.
Tale obiettivo può essere definito dall’organizzazione, o suggerito da una best practice di settore, o ancora imposto da un ente regolatore. Qualunque sia il caso specifico, ci si può aspettare che l’organizzazione che intraprende questo processo migliorativo, non sia già in grado di soddisfare pienamente l’obiettivo, e che quindi si trovi nella necessità di identificare il gap, comprenderne la natura e misurarne l’ampiezza. Solo in questo modo potrà pianificare gli interventi necessari per ridurre o eliminare completamente tale gap.
Questo approccio è coerente con quanto suggerito praticamente da tutti i framework di cybersecurity oggi disponibili. Il Framework nazionale per la cybersecurity e la data protection [1] non è un’eccezione da questo punto di vista.
In particolare esso prevede un meccanismo preliminare di “contestualizzazione” attraverso cui il core (derivato da quello proposto nel Cybersecurity Framework NIST) può essere adattato agli specifici requisiti della realtà in cui avviene l’applicazione.
A valle della contestualizzazione è quindi possibile definire i profili di sicurezza attuale (as-is) e target (to-be) per poter quindi procedere con la gap analysis e la successiva pianificazione.
“Misurare” la cybersecurity
La misurazione del progresso nell’implementazione di un piano di miglioramento è un aspetto fondamentale per valutarne l’efficacia. Non solo tale misurazione permette di valutare la coerenza dell’azione implementativa con i tempi pianificati per la stessa, ma aiuta anche a definire opportune priorità tra i vari sotto-obiettivi di un piano complesso che si sviluppi su un periodo medio-lungo. Questa pratica è normalmente nota come cybersecurity assessment.
In generale, si distinguono due macro-approcci all’assessment:
- Assessment qualitativo: le metodologie riconducibili a tale approccio si basano sul presupposto che le pratiche e le soluzioni oggetto della valutazione non permettono una quantificazione
oggettiva della loro qualità. Preferiscono quindi andare a valorizzare elementi soggettivi e aspetti che sono difficilmente misurabili; - Assessment quantitativo: tale approccio assume che quanto oggetto di valutazione sia misurabile attraverso una serie di metriche opportunamente definite. Tale misurazione deve essere svolta nel modo più oggettivo possibile, cercando di limitare eventuali contaminazioni del dato misurato derivanti da considerazioni di carattere soggettivo.
Le metodologie di assessment qualitativo vengono spesso adottate laddove sia preferibile un approccio alla valutazione più “snello” o dove i processi di valutazione debbano essere svolti in tempi ridotti o con costi limitati.
Al contrario, le metodologie quantitative sono più adatte laddove sia necessario un monitoraggio periodico delle performance di un processo di cybersecurity governance o nel caso in cui si debba procedere a una misurazione del ritorno di un investimento nell’ambito della sicurezza cyber. Pertanto, i due approcci non sono esclusivi, ma anzi costituiscono le basi per condurre un cybersecurity assessment in maniera integrata.
Metodologie disponibili
Diverse metodologie per il cybersecurity assessment sono oggi disponibili, seppur caratterizzate da alcuni limiti. Infatti, la maggior parte di esse si configurano come soluzioni chiuse, caratterizzate da forte eterogeneità e offerte esclusivamente dai vendor che le hanno sviluppate.
Tali elementi potrebbero rendere complessa la loro interoperabilità con conseguenze rilevanti sul processo di gestione della cybersecurity. In questo senso, la comparabilità dei risultati ottenuti applicando metodologie concorrenti è tipicamente limitata o inapplicabile (in particolare per gli assessment quantitativi). Favorisce un meccanismo di lock-in che spinge le organizzazioni a continuare a rivolgersi allo stesso vendor per garantire la corretta interpretabilità degli assessment sul lungo periodo.
Come conseguenza, organizzazioni diverse non hanno modo di comparare reciprocamente l’efficacia delle diverse azioni implementate nei rispettivi piani di cybersecurity. Ciò rende il processo di assessment una pratica circoscritta ai confini della singola organizzazione.
Cybersecurity assessment con il Framework Nazionale
Per superare queste limitazioni, è stata recentemente pubblicata [2] una nuova metodologia di assessment, completamente aperta e incentrata sull’uso del Framework Nazionale. La metodologia adotta un approccio quantitativo all’assessment, e prevede tre principali fasi operative, come visibile nella seguente figura.
Fase 1: contestualizzazione
Questa prima fase ha l’obiettivo di contestualizzare il Framework Nazionale alla realtà di interesse. Tale fase ha come input specifici strumenti di supporto denominati prototipi di contestualizzazione (mapping di specifici elementi normativi/standard tecnici/best practices con il Framework), già pubblicati o definiti ad hoc dall’organizzazione, unita ad una metodologia di definizione del livello di priorità per ogni subcategory [1]. Il prodotto di questa fase è il profilo target ovvero lo stato di sicurezza informatica desiderato per l’organizzazione.
Fase 2: misura
Nella seconda fase si procede a individuare l’attuale postura di sicurezza cyber dell’organizzazione (il profilo attuale) rispetto a quanto definito nel profilo target. L’assessment avviene attraverso interviste a soggetti competenti per le specifiche esigenze di analisi e raccolta di evidenze per dispositivi e processi all’interno dell’organizzazione tramite l’erogazione assistita del questionario.
Il risultato delle interviste viene espresso in termini di copertura e maturità, rappresentanti la metodologia di misura per ogni controllo individuato.
Fase 3: valutazione
Nella terza ed ultima fase i risultati della fase di misura vengono valutati secondo diversi possibili ambiti. Questa fase conferisce ai risultati di assessment un alto grado di riutilizzo e versatilità, permettendo la loro proiezione, lettura ed interpretazione su ambiti differenti, che assolvono compiti differenti all’interno del processo di gestione della sicurezza dell’organizzazione.
Gli ambiti applicabili possono essere diversi:
- l’ambito di compliance, che permette di valutare la postura cyber dell’organizzazione rispetto a specifici standard e/o regolamenti;
- quello della gestione del rischio, in cui si mira invece a comprendere l’attuale stato di esposizione rispetto alle minacce cyber.
I quattro vantaggi dell’assessment della sicurezza
La struttura della metodologia di assessment della sicurezza abilita una serie di vantaggi che la distinguono da altre soluzioni alternative.
Un primo vantaggio risiede nella possibilità di effettuare una sola volta la fase di misura, e successivamente poter interpretare i risultati ottenuti secondo diversi punti di vista (ambiti) e framework alternativi. Questa caratteristica abilita una visione unificata, declinabile opportunamente su determinati ambiti. Senza necessità di assessment ripetuti e specifici per l’ambito, rende quindi più efficiente il processo stesso.
Un secondo vantaggio della metodologia presentata è l’abilitazione del concetto di confrontabilità tra assessment, cioè la capacità di confrontare la propria postura di sicurezza rispetto a quella di altre organizzazioni, grazie all’utilizzo del Framework nazionale come elemento unificante. La confrontabilità sarebbe totale qualora entrambe le organizzazioni utilizzassero la stessa definizione di contestualizzazione.
Un terzo vantaggio risiede nel suo utilizzo come base del Framework nazionale, in relazione ai suoi utilizzi in attività di regolamentazione nazionale ed internazionale quali l’applicazione della direttiva NIS e il Perimetro di sicurezza nazionale cibernetica. In questi ambiti la metodologia proposta permette di quantificare lo stato di copertura e maturità implementativa delle misure di sicurezza adottate rispetto ai regolamenti.
Infine, un quarto vantaggio concerne l’utilizzo della metodologia e dei suoi prodotti come strumento di comunicazione tra le aree che, all’interno di un’organizzazione, si occupano di sicurezza informatica e non solo.
I tre livelli della metodologia
I tre livelli di un’organizzazione su cui agisce in modo principale la metodologia sono:
- quello tecnico, dove la metodologia fornisce la capacità di organizzare e tracciare lo stato dei singoli controlli operativi;
- il livello esecutivo, dove la metodologia permette di ottenere una visione dello stato di sicurezza di un’organizzazione, interpretabile rispetto ai diversi ambiti della sicurezza informatica;
- il livello dirigenziale, dove offre un punto di vista generale, non legato ai singoli aspetti tecnici, dello stato di sicurezza dell’organizzazione.
La comparabilità che la metodologia fornisce permette di informare processi di decision making con opportune valutazioni sullo stato di operatività sia rispetto al proprio settore di afferenza che rispetto ad attori similari.
Conclusioni
La metodologia proposta è aperta e adottabile da chiunque: dalla singola organizzazione che decide di sviluppare internamente un processo di assessment, al vendor che offre la sua applicazione come servizio verso terzi. Maggiori dettagli tecnici inerenti la sua implementazione sono disponibili sul sito del Framework nazionale per la cybersecurity e la Data protection.
Note
- M. Angelini, C. Ciccotelli, L. Franchina, A. Marchetti-Spaccamela e L. Querzoni, Italian National Framework for Cybersecurity and Data Protection,
Annual Privacy Forum (APF), 2020. ↑ - Metodologia per il cybersecurity assessment, 2021. ↑
