Sicurezza delle informazioni vs sicurezza informatica: che sia questo il problema?
Non passa giorno senza una nuova notizia in merito a violazioni più o meno eclatanti della sicurezza aziendale o governativa.
Nella quasi totalità dei casi si parla di “sicurezza informatica” il che fa sobbalzare chi, come me, si occupa di questi argomenti da decenni.
In convegni, seminari e corsi non si fa altro che parlare di questi temi e sottolinearne le differenze (abissali) tra i due termini ma a quanto pare siamo di fronte ad una “pandemia filosofico-tecnica” che non permette alle persone di distinguere, e quindi, di agire in modo coerente.
Ne volete una prova? Quali aspetti compaiono nelle prime posizioni della top ten OWASP? Da quanto tempo sono lì? Sono bastate le innumerevoli soluzioni tecnologico-informatiche a rimuoverle? Quanti invece hanno modificato i comportamenti delle persone e delle organizzazioni? Con quali risultati?
Avete letto i rapporti Clusit sullo stato della sicurezza ICT in Italia? Lettura interessante ed indispensabile per chi voglia capire lo scenario nel quale muove la sicurezza ICT. Cosa trovate nelle prime posizioni in fatto tecniche di attacco?
Se poi volete fare un passo oltre non avete da fare altro che andare sul sito ENISA e scaricare i vari report europei, l’ultimo è del 2016 Threat Landscape nel quale troverete informazioni di valore straordinario per iniziare a capire dove orientare sforzi ed attenzioni.
Mettendo insieme i pezzi di questo puzzle sembra proprio necessario un approccio integrato che non sia solo l’una o l’altra delle soluzioni ma l’insieme di uno sforzo coordinato tra soluzioni tecnologiche e soluzioni organizzative
Nessuna soluzione tecnologica potrà mai sopperire a comportamenti sbagliati (indotti o volontari che siano), così come nessuna tecnologia riuscirà a resistere ad un attacco di Social Engineering (ben strutturato e preparato).
Lavorare sulle persone, sui processi aziendali, sui comportamenti e le abitudini. Questo può darci una ragionevole tranquillità se unito in modo appropriato con le soluzioni tecnologiche opportune.
Le organizzazioni produttive, soprattutto nell’ambito dell’ICT, sono sempre più basate sull’essere umano e sulle conoscenze, competenze e quindi debolezze umane. Come diciamo spesso: oggi la sicurezza non è necessariamente “sistema-centrica” ma anche (e sempre più) “persona-centrica”.
Procedure costosissime, infrastrutture tecnologiche all’avanguardia vengono bypassate con semplici trucchi che vanno a toccare le leve giuste (ambizione, paura, necessità di affermazione ecc.). Sembra che la conoscenza della piramide di Maslow sia oramai più utile della conoscenza delle regole di un firewall per determinare i reali punti deboli di un sistema o di una rete.
Se poi aggiungiamo l’intramontabile resistenza a sottoporre a test indipendenti i propri sistemi (security assessment, VA/PT ecc.) allora la situazione assume contorni addirittura paradossali. Dobbiamo necessariamente richiamare alla mente anche temi scottanti quali la Business Continuity ed il Disaster Recovery che sembrano spesso scollati dai sistemi informativi e dalla sicurezza delle informazioni, in barba a standard e best practice internazionali.
Nelle competenze dei CISO dovrebbero primeggiare (a mio avviso) le competenze umanistiche, proprio perché assegnare un ruolo critico per la sicurezza all’interno di una organizzazione non è più un fattore di sola competenza tecnica. Penso sia fondamentale conoscere i propri collaboratori e consulenti, cercando di capire fin dove possiamo spingere meccanismi autorizzativi o di delega per quanto riguarda la sicurezza. Inoltre i cosiddetti “soft skill” diventano via via sempre più indispensabili. Ogni fornitore è oggi in grado di offrire un catalogo di servizi più o meno completi sulla sicurezza (SIEM, SOC, OSINT ecc.) ma pochi sanno fornire garanzie sulle reali competenze del proprio personale e delle certificazioni (quelle vere!). In questo senso i profili e-CF e gli standard della serie EN 16234 potrebbero costituire un valido aiuto, ed un riferimento oramai consolidato, per identificare le competenze necessarie al personale ICT in ambito information security. Già da tre anni in Italia abbiamo la certificazione (accreditata!) di queste competenze ed i relativi registri con decine di professionisti già iscritti.
È evidente quindi come il fattore umano diventi sempre più importante. L’essere una squadra (non nella forma ma nella sostanza), il conoscersi, l’appartenere a gruppi professionali, il possedere idonee certificazioni per competenze specifiche sono oramai requisiti indispensabili per competere e/o assicurare il giusto grado di sicurezza.
Il CISO come coach? E perché no? Conoscere il proprio team aiuta senza dubbio ad una migliore distribuzione dei ruoli, delle responsabilità e delle autorità necessarie a gestire la sicurezza di una organizzazione.
Chi siamo, quali ambizioni e bisogni abbiamo rende ciascuno di noi il potenziale anello debole della catena della sicurezza. Conoscerci l’un l’altro può aiutarci ad essere più forti e resilienti agli attacchi esterni ed interni.
Oltre il 75% degli attacchi andati a buon fine ha una base interna, una debolezza del sistema che si riflette nelle debolezze del team di sicurezza e della sicurezza dell’organizzazione
L’eccesso di fiducia nelle proprie competenze tecniche, la paura del confronto con altre entità, il concentrarsi sulla tecnologia sono varchi vastissimi nei quali è possibile inserire cunei capaci di scardinare qualsiasi organizzazione. È l’essere umano quindi l’elemento debole della catena della sicurezza.
La sicurezza informatica, con tutte le sue tecnologie e novità, può solo essere di supporto. È come essere dotati dell’automobile più sicura ma guidare ubriachi o sotto l’effetto di droghe o con una guida spericolata. Non c’è airbag, ABS, sistema radar capace di fermare un essere umano che ha deciso di andare contro le regole. Anche perché tutti i sistemi di sicurezza possono essere disabilitati proprio da chi li ha realizzati o con semplici trucchi da chiunque diventi partner inconsapevole della mia follia.
Come difenderci dunque?
Mettendo insieme le componenti: la sicurezza delle informazioni e la sicurezza informatica.
Sicurezza delle informazioni implica la conoscenza delle informazioni che devono essere protette e del perché queste lo debbano essere.
Non tutte le informazioni hanno lo stesso valore per una organizzazione e non tutte le informazioni si basano solo e solamente su apparti informatici. Le informazioni sono prima di tutto note e gestite da esseri umani che poi utilizzano i sistemi informatici per manipolarle, conservarle ed elaborarle in infinite maniere.
Andiamo quindi all’origine del problema: quali informazioni dobbiamo proteggere? Da cosa/chi? Perché? Parliamo di riservatezza, integrità e/o disponibilità? O forse di tutte e tre le caratteristiche insieme? O magari delle tre caratteristiche ma con impatti e distribuzione diversa nei miei processi produttivi? Forse una Business Impact Analysis potrebbe aiutarci a capire gli scenari ed individuare quali ambiti vanno valutati in termini di rischio anziché guardare a 360 gradi senza un chiaro orientamento.
La perdita di queste informazioni quali danni è capace di realizzare all’interno dell’organizzazione? Quali sono quindi gli scenari d’impatto cui andiamo incontro? E quali sono i rischi concreti di tali scenari?
Detto questo non rimane altro che capire chi, all’interno ed all’esterno della mia organizzazione, può o deve accedere a tali informazioni durante il loro intero ciclo di vita.
Individuate le persone occorre lavorare sulla loro consapevolezza. Consapevolezza in materia di impatti ed effetti nel caso di compromissione delle informazioni, incluse le eventuali conseguenze di carattere legale (non dimentichiamoci della Legge 48/2008, della Privacy, della Dlg 231/2001 ecc.). Quindi occorre spiegare bene le conseguenze di ogni compromissione delle informazioni a tutte le persone coinvolte nella loro gestione, affinché siano consapevoli delle ripercussioni personali e sull’organizzazione. In modo altrettanto scrupoloso dovrei ascoltare i loro suggerimenti per il miglioramento dei processi di gestione di tali informazioni (nessuno è più competente di chi ogni giorno si cimenta con un lavoro specifico). A questo possiamo abbinare attività di organizzazioni esterne che facciano periodicamente dei check indipendenti sulla mia sicurezza per scovare varchi, debolezze, lacune e migliorie.
Dalla consapevolezza alla formazione il passo è breve. Come rinforzare il ruolo e le competenze delle persone? Con programmi di formazione mirati ad accrescere le loro competenze specifiche in base al ruolo, alle responsabilità ed alle autorità in materia di sicurezza delle informazioni. Non quindi corsi generici o partecipazioni a seminari “globali” ma interventi mirati e selettivi.
Analisi delle competenze e dei fabbisogni per determinare i gap formativi e decidere le strategie migliori di risoluzione, non solo corsi frontali ma anche e-learning, studio autonomo ecc. Purché sia ben chiaro come verificarne l’efficacia, prima che gli interventi formativi partano.
La verifica di efficacia della formazioni è una questione interna: cosa mi aspetto che sappiano fare le persone al termine della formazione? Come verificherò le competenze ottenute? Chi lo farà? Quali risultati minimi mi aspetto di ottenere? In quali casi sarà necessario valutare altre soluzioni più efficaci?
Di fatto sto descrivendo un Sistema di Gestione per la Sicurezza delle Informazioni e non la sicurezza informatica di una organizzazione.
Sono attività e decisioni a livello di governance della sicurezza.
È certo ed inevitabile che la sicurezza delle informazioni non possa prescindere dalla sicurezza informatica e quindi dalle tecnologie in gioco ma quest’ultima non può e non deve essere l’unica sicurezza in una organizzazione.
Troppi sono i casi, noti e non, che lo dimostrano.
Ma anche una sicurezza delle informazioni formale e non sostanziale è un errore. La valutazione dei rischi annuale…. Voi guardereste nel vostro conto corrente personale ed agli investimenti una volta all’anno?
Se le informazioni sono ciò che ha valore per una organizzazione perché me ne interesso così di rado?
Eppure ogni manager esegue innumerevoli azioni di misurazione e monitoraggio ogni giorno, quando si parla di sicurezza delle informazioni magicamente tutte le regole scompaiono o sbiadiscono a causa di altre necessità, esigenze o priorità.
Forse si tratta di sicurezza basata su fattori non strategici ecco perché può essere accantonata!
La sicurezza delle informazioni è un progetto di governance, da Top Management, così come lo sono la Business Impact Analysis e la definizione degli scenari critici e delle strategie di risposta alla perdita delle informazioni critiche.
Sto quindi parlando di sistemi semplici, basati su poche informazioni realmente critiche, legate alle esigenze strategico-tattiche di un’organizzazione.
Vogliamo poi parlare della scarsa correlazione tra gli investimenti in materia di sicurezza delle informazioni con i sistemi economico finanziari? Alcune pubblicazioni parlano di investimenti minimi compresi tra il 4% ed il 10% per poter considerare la sicurezza delle informazioni come un fattore di rilievo. Quanti di noi possono contare su tali investimenti? Perché non riusciamo a far passare questo concetto?
Semplice: gran parte degli investimenti parlano di sicurezza informatica e non di sicurezza delle informazioni! Di fatto non esiste una correlazione causa-effetto delle richieste di investimento con gli scenari d’impatto e con analisi di dettaglio dei rischi effettivi correlati ad ogni scenario.
Sto parlando di un cambio culturale ed organizzativo. Di questo abbiamo bisogno e non solo di apparati sempre più performanti (e costosi).
L’attacco sull’essere umano va a bersaglio con molta più facilità che l’attacco su sistemi informatici. Ne volete la prova? Quanti di voi hanno avuto a che fare con i vari Ramson/Cripto virus? Da cosa sono originati? Dalla “clicchite compulsiva” delle persone! Servono mediamente da 4 a 7 “click” più l’inserimento di vari dati per attivare uno di questi oggetti. Se intervistate le persone da cui è partito il contagio scoprite che non sono mai state rese consapevoli dei reali rischi e degli impatti di un comportamento superficiale, nonostante corsi e roboanti certificazioni ottenute nel corso di improbabili “sessioni formative” erogate da perfetti sconosciuti a “buon prezzo”!
Un’analisi delle vulnerabilità è prioritaria per capire i reali rischi (delle vulnerabilità, le minacce sono solo una conseguenza!). Quali sono le vulnerabilità che sfruttano questi “furbacchioni”: la fretta, l’ambizione, la paura del capo, le scadenze, l’autorità ecc. Tutte cose che possono essere spiegate e comprese all’interno di poche e specifiche attività di informazione e formazione. Fondamentale è il rinforzo, la ripetizione, il rinnovo del messaggio. Non basta averlo detto una volta, occorre rinforzare il messaggio e sfruttare eventuali “lezioni apprese” dall’esperienza per far notare cosa è già successo (incidenti effettivi e mancati). Fare tesoro degli incidenti pare sia un’attività di cui nessuno si interessa. Gli incidenti si nascondono, se ne ha paura. E questo è un grosso vantaggio per gli attaccanti. Una delle prime leve di attacchi basati su Social Engineering: instillare nella vittima una paura, una minaccia alla propria posizione se non agisce in un certo modo. Eppure basterebbe tirar fuori dalle aree tecniche gli analisti della sicurezza e far raccontare loro i vari incidenti che hanno gestito per la propria organizzazione, di quali vulnerabilità sono state sfruttate e come sia possibile non ricadere negli stessi errori.
Del resto perché un Amministratore Delegato o un CdA dovrebbe autorizzare una spesa superiore su cose che avrebbero già dovuto essere risolte con i budget già stanziati? Forse perché erano sbagliate le premesse sulle quali i budget sono stati basati. O forse perché il CISO (o chi per esso) ha pensato solo alla tecnologia ignorando impatti e rischi reali. Di fatto omettendo il collegamento tra le strategie-tattiche e l’operatività, omettendo quindi il collegamento tra gli scenari d’impatto forniti dalla BIA e la valutazione dei rischi correlati a livello di sicurezza delle informazioni.
Infinite combinazioni di minacce ammettono altrettante soluzioni tecnologiche ecco spiegato il punto debole. Quali sono le reali vulnerabilità, che determinano i reali rischi riferibili agli scenari d’impatto sul business reale dell’organizzazione?
Spostiamo il focus e forse sarà più facile, non solo gestire la sicurezza delle informazioni ma anche garantire una sicurezza informatica efficace (l’efficienza è ancora lontana dal poter essere discussa, almeno fin quando non avremo imparato a capire la sicurezza delle informazioni).
Io sono a vostra disposizione per confronti e dibattiti sul tema, anche con dati (rigorosamente anonimizzati ed autorizzati) presi da situazioni reali.
Buon lavoro
A cura di: Fabrizio Cirilli
Svolge attività di consulenza, audit, assessment e formazione nelle tematiche di: IT service management, information security, risk management, incident handling, business continuity, disaster recovery, security supply chain.
