La necessità critica per ogni azienda di rispondere prontamente a un ambiente in rapida evoluzione richiede una altrettanto rapida capacità di valutare i rischi: l’agilità in questo senso si fa strategica.
Dunque, poiché “i problemi di domani sono il rischio di oggi”, saperli identificare, valutare e possibilmente ridurli per tempo, può significativamente ottimizzare la performance aziendale.
Questo è vero per ogni ambito di rischio operativo aziendale: finanziario, progettuale, di posizionamento sul mercato (nazionale internazionale) e naturalmente vale a maggior ragione per l’ambito della cyber security.
La gestione del rischio non è una novità per chi si occupa di sicurezza, lo è meno per tutti gli altri che spesso ne sottostimano l’utilità e il RoI. Quando l’analisi e gestione del rischio sono effettuati a valle di tutte le scelte di business, tecnologiche e di processo aziendali è inevitabile che richieda del tempo. Tempo che si rende necessario per completare l’intero processo sulla ampiezza totale del perimetro di analisi.
Per risolvere anche questa eventualità è nato l’agile risk management. La sua applicazione alla sicurezza informatica ne migliora la performance e i costi correlati.
Indice degli argomenti
Metodologie agili e applicazione alla gestione del rischio
Le metodologie agili sono approcci iterativi e incrementali alla gestione dei progetti, utilizzati nello sviluppo di software e in altri ambiti aziendali come, ad esempio, nella gestione del flusso di lavoro di un progetto. La ciclicità di ogni iterazione (il cosiddetto sprint n.d.r.) garantisce obiettivi delimitati, sforzi e azioni circoscritte per focalizzare e massimizzare il risultato.
Le metodologie agili si sono affermate come un approccio dinamico e reattivo alla gestione di attività complesse, perché consentono una maggiore flessibilità e adattabilità ai cambiamenti dei requisiti e degli obiettivi del progetto, il che le rende particolarmente utili per la gestione dei rischi.
È da notare che sebbene il processo sia flessibile e adattabile il rischio valutato resta constante, perciò il successo del progetto è legato in ogni caso alla capacità di identificare, valutare e gestire efficacemente i rischi.
Ma quindi in cosa è diverso il processo di analisi del rischio “agile”? Il processo complessivo per eseguire l’analisi dei rischi in un ambiente agile è generalmente lo stesso di un progetto tradizionale basato su una pianificazione; tuttavia, potrebbe non essere altrettanto formale e disciplinato.
Una normale processo di analisi del rischio consta delle fasi di: definizione dell’ambito (scope), identificazione dei rischi, valutazione del rischio, individuazione delle misure di protezione/prevenzione, attuazione delle misure e riduzione del rischio, monitoraggio e controllo periodico (per il miglioramento) a cui si aggiunge il trasferimento/accettazione del rischio residuo.
Rispetto al processo standard nel processo agile le fasi sono ridotte a 4: identificazione dei rischi, analisi dei rischi, risposta ai rischi, monitoraggio e controllo. Questo perché lo scope è circoscritto al progetto e quindi non necessita di essere ulteriormente perimetrato e lo stesso vale per le misure di protezione che sono circoscritte al contesto del progetto.
Ma la differenza più significativa riguarda la componente tempo: la gestione agile dei rischi è un processo continuo di valutazione e gestione dei rischi durante ogni sprint dell’intero progetto. E questo permette di anticipare molte decisioni e di risparmiare tempi e costi (fonte: ISACA).
La gestione agile del rischio di security
Quando si parla di rischi è ovvio considerarli tutti relativamente alle diverse categorie di interesse. I rischi di sicurezza sono una categoria non nuova, ma che necessita e beneficia di una precoce valutazione del rischio al pari di tutti gli altri rischi operativi che possono incidere sul successo di un progetto.
Integrare i rischi di cyber security nel ciclo iterativo di una metodologia agile significa valutare precocemente le minacce ovvero, inserire la valutazione delle minacce in real time (Real Time Threat Intelligence- RTTI) e naturalmente effettuare la valutazione delle vulnerabilità tecniche in ogni sprint.
In particolare, si procede ad una modellazione delle minacce per identificare potenziali minacce e vulnerabilità durante ogni ciclo iterativo per affrontarle in modo preventivo/proattivo.
Tecniche come il framework STRIDE possono aiutare i team ad analizzare in modo sistematico e a porre rimedio. STRIDE è l’acronimo di “Spoofing, Tampering, Repudiation, Information disclosure, Denial of service ed Elevation of privilege” e rappresenta un modello per l’identificazione delle minacce alla sicurezza informatica sviluppato da Praerit Garg e Loren Kohnfelder presso Microsoft (fonte: researchgate).
Per identificare le vulnerabilità è necessario adottare pratiche di DevSecOps ovvero effettuare test di sicurezza statici (SAST) e dinamici (DAST) in modo automatico e continuo per monitorare costantemente le vulnerabilità e fornire un feedback immediato agli sviluppatori.
Le evidenze di debolezze e/o vulnerabilità trovate, costituiscono il piano di miglioramento e mitigazione per lo sprint successivo, unitamente agli altri interventi (modifiche funzionali, di usabilità, performance, robustezza, considerazioni e nuovi requisiti) da implementare nell’iterazione successiva (fonte: IJSRA).
Quando si analizzano i rischi, se ne valuta il livello di criticità, l’impatto e la probabilità di accadimento. L’idea è quella di concentrare gli sforzi sui rischi più critici, con la probabilità e l’impatto più elevati.
Si può usare la matrice dei rischi in cui a ogni rischio è assegnato un valore in base al suo livello di criticità, probabilità e impatto. I più urgenti sono da risolvere nello sprint immediatamente successivo, gli altri possono essere pianificati.
Con questo procedimento i controlli di sicurezza a riduzione del rischio sono inseriti e analizzati alla granularità appropriata rispetto al progetto e nel momento corrispondente alla priorità/gravità.
Ad esempio, se il progetto è uno sviluppo software i controlli sono integrati nel codice allo sprint appropriato, se il progetto è relativo ad una integrazione fra diversi componenti software, i controlli sono a livello di funzioni e interfacce di integrazione (API) non appena complete, se il progetto riguarda un flusso di lavoro, i controlli saranno organizzativi e procedurali prima di finalizzare l’ultima versione.
In ogni iterazione è possibile inserire nelle user story (annotazioni dello sprint) le considerazioni sulla sicurezza per tenerne traccia durante il processo di sviluppo.
La teoria della Cyber security agile risk management può costituire un punto iniziale per guidare gli sviluppatori di progetto e i manager nella strutturazione dei loro progetti tenendo presente la gestione del rischio di sicurezza informatica, promuovendo processi agili meno sovraccarichi e approfondimenti degli stakeholder sulle questioni pertinenti; ma naturalmente è durante la pratica operativa che si concretizzano soluzioni e best practice specifiche e più appropriate al caso d’uso.
Prese tutte insieme le best practice costituiscono un patrimonio di conoscenza per tutto il gruppo di lavoro su come si affrontano i rischi di sicurezza informatica in modo agile.
Vantaggi del processo agile di analisi del rischio
La continuità della valutazione del rischio garantisce efficacia per i progetti complessi meno strutturati, mentre i metodi tradizionali sono migliori per i progetti con requisiti ben definiti.
In effetti, data la natura flessibile e adattabile di questo tipo di analisi, i rischi sono direttamente correlati all’incertezza del progetto e come tali, sono gestibili in modo migliore e più accurato, migliorando la performance del progetto stesso.
Per questo motivo, è più facile adattarsi ai rischi in un ambiente agile, in progressione parallela rispetto al progetto. Ciò implica a sua volta, una risposta rapida ai rischi emergenti esattamente nel momento in cui si presentano, senza dover intervenire in modo postumo. E l’elemento di pronto intervento rappresenta un beneficio dal punto di vista della vigilanza e reattività ai rischi del progetto.
I cicli iterativi di un processo agile forniscono punti di interruzione naturali per la valutazione e la mitigazione dei rischi, contribuendo a una gestione del rischio più efficiente e concorrendo all’approccio del miglioramento continuo.
La gestione agile dei rischi li integra, nel processo di sviluppo attraverso la collaborazione continua e il feedback del gruppo, elemento che ottimizza la comunicazione e l’interazione efficace del gruppo di lavoro, ma anche una più solida consapevolezza sui rischi.
Ne deriva un miglior apprendimento dei rischi e perfezionamento sulle contromisure; elementi che sono direttamente collegati alla cultura del miglioramento continuo.
Un ulteriore fattore sul gruppo di lavoro è la maggiore responsabilizzazione di ciascuno su tutti gli aspetti del progetto, rischi in primis, perché in un ambiente agile, l’intero team è coinvolto in ogni aspetto di tutto lo sprint e quindi i temi di security diventano nativamente noti a tutti.
Anche la capacità di pianificazione beneficia del processo agile, perché, essendo adattiva, richiede di modificare i piani in base al mutare delle circostanze (compresi i rischi come sopraccitato).
Quando l’utente finale del progetto è coinvolto negli sprint di sviluppo, le tematiche di sicurezza nativamente integrate nel processo agile, rappresentano una immediata formazione di consapevolezza alla cyber security e una base di prevenzione.
Ultimo ma non meno importante vantaggio riguarda la significativa riduzione dei costi relativi alla sicurezza informatica: gli sprint aumentano la prevedibilità (perché gestiscono subito l’incertezza) e limitano il rischio di costi imprevisti.
