Lo scenario

Cyber security, tutte le incertezze che ancora confondono le aziende

Ambiguità lessicali e operative provocano confusione sul tema cyber security, sebbene l’argomento abbia assunto in azienda un’importanza fondamentale. Le incertezze portano anche ad atteggiamenti errati dei professionisti e della governance, causati da una scarsa consapevolezza dei ruoli e delle vulnerabilità

03 Giu 2019
C
Marco Crociani

Company security Governance - Lead Auditor 27001 Member of AIPSI (Italian Chapter of ISSA)


Sebbene la cyber security sia una materia fondamentale oggi per le aziende, esiste ancora molta confusione sul significato che in concreto l’ambito assume e, di conseguenza, quali siano i professionisti più adatti per occuparsi delle varie sfaccettature della materia.

È necessario un cambiamento culturale in azienda, che porti a maggiore consapevolezza sul tema, per evitare che la confusione porti a rischi evitabili e a situazioni sgradevoli, come dimostrano anche esperienze personali.

Cyber security e confusione: due esperienze dell’autore

Un giorno ho avuto la necessità di contattare un help desk per richiedere il reset della password di un mio account che avevo improvvisamente bloccato.

L’operatore dell’help desk, dopo aver svolto le attività di autenticazione previste e forzato la password a un valore di default, mi comunica la nuova password e mi dice che non l’avrei potuta cambiare nelle successive 24 ore.

Rimasi interdetto perché dal mio punto di vista, e non credo che su questo io sia in errore, deve essere obbligatorio e doveroso modificare la password al primo login. Quindi chiesi il motivo all’operatore di questa stranezza.

Ricevetti una risposta che mi lasciò doppiamente interdetto: “È previsto dalle politiche di sicurezza!”. Poiché le politiche di sicurezza le avevo redatte io, e mai mi sarei azzardato a dare una disposizione simile, e soprattutto non in una politica di sicurezza, la risposta mi gettò nello sconforto.

Naturalmente mi diedi da fare per capire l’origine di questa affermazione, cercando di capire se fosse dettata da una assunzione arbitraria dell’operatore (ogni tanto succede) o se avesse ricevuto istruzioni in merito (scoprii che quella valida  era la seconda ipotesi: dettata da una questione tecnica bizzarramente gestita male, che tentai di fare correggere).

In un’altra occasione, un imprenditore mio amico mi disse che aveva messo un annuncio in internet per la ricerca di esperti di sicurezza IT per coprire un suo bisogno.

Tra le risposte ricevute una buona parte erano curriculum di soggetti che, avendo svolto, tra le varie attività, anche quella di buttafuori in locali notturni o come membri dei servizi di sicurezza in eventi più o meno mondani, si sentivano titolati a poter ricoprire il ruolo che era ricercato.

A parte il fatto che non avevano compreso il significato della ricerca di “sicurezza IT”, spesso mi rendo conto che sul termine sicurezza ci sia una grande confusione, sia nel significato del termine che nelle funzioni in cui la sicurezza in articola in una azienda.

Sicuramente ci sono varie questioni, anche culturali, che inducono questi atteggiamenti.

I fattori che creano confusione

Il primo è  tipo linguistico dato dalla ambiguità del termine che, in lingua italiana, non distingue la sicurezza dei beni aziendali (Security) dalla sicurezza fisica delle persone (Safety).

Anche a me è capitato in sede di un colloquio di parlare delle mie competenze e citare tre le altre il termine sicurezza e la reazione da parte dell’intervistatore è stata: “Per la parte di dispositivi di protezione del personale siamo già a posto!”.

Altra ambiguità ma sicuramente più facilmente comprensibile è la convergenza nello stesso termine sia degli aspetti di sicurezza fisica che logica, poiché entrambi svolgono complementariamente  un ruolo nel raggiungimento dell’obiettivo primario della sicurezza, solo che il primo si vede ed il secondo è meno palpabile.

WEBINAR
Network e Security Automation: i vantaggi per le aziende
Sicurezza
Software

Intendo per sicurezza quella serie di attività che rendono sicuro  tutto ciò che contribuisce alla costruzione del valore aziendale, ossia ciò su cui si basa e fa affidamento la operatività della organizzazione.

Nel caso delle informazioni di articola nelle attività e nelle tecnologie che ne garantiscano l’affidabilità, la  disponibilità quando servono e a chi ne ha la necessità (escludendo altri attori)  e la confidenzialità al loro giusto grado di riservatezza.

Un altro fattore che crea confusione è dovuto dall’alone di mistero, quasi da Spy story, che a volte viene attribuito all’argomento sicurezza, per cui, quando investiti a qualche titolo dal termine, ci si ritrova ad impersonare un ruolo diverso da quello che effettivamente si ha nella organizzazione.

Mi è anche capitato la situazione contraria in cui, ponendo una domanda innocua, e magari un po’ naif, venissi guardato con sospetto come se stessi cercando di scoprire non so quale segreto mentre, per esempio, per esempio di trattava solo di sapere come leggere un prospetto o una voce sul mio cedolino.

Questo atteggiamento non si trova nelle persone che si occupano di sicurezza da lunga data, perché hanno molto chiare le regole del gioco: ognuno da un suo contributo che è parte di un tutto.

Professionisti e atteggiamenti nocivi

Tuttavia mi si è accesa una lampadina sul tema: quante persone in una organizzazione avocano a sé la competenza massima relativa alla sicurezza? Diverse volte mi sono trovato a dover fronteggiare discussioni su questi temi perché, ahimè, succede che appena si assegnano dei compiti che hanno a che fare con istanze di sicurezza ognuno si sente investito a rappresentare la sicurezza in toto ed essere il massimo esperto sul tema screditando ed ignorando il contributo che altri possono dare sul tema.

In questa situazione ho trovato diversi atteggiamenti che, ognuno per la sua parte, se non intercettati e controllati, possono recare grandi danni soprattutto se non affiancati ad una efficace attività di formazione.

A titolo di esempio riporto un campione degli atteggiamenti che mi è capitato di fronteggiare dei problemi che potrebbero generare:

  • Un primo campione è dato dai gestori delle reti, ossia coloro che hanno la capacità tecnica di decidere chi sta dentro e chi sta fuori, chi può parlare con chi e come. Fermano virus ed attacchi DoS, provvedono, a volte, anche a generare le chiavi di autenticazione rete e magari sono anche deputati a gestire le chiavi di cifratura usate nella organizzazione. Fanno tutto nel loro ambiente con regole che si danno da soli, nulla deve trapelare. Sono arrivati al punto che  ad una esplicita richiesta hanno negato  la visione dello schema di rete per “motivi di sicurezza” al responsabile della sicurezza aziendale: perché “la topologia della rete è strategica, non la deve conoscere nessuno”! Proteggono la rete aziendale la rendono sicura. Sicura rispetto a cosa ?
  • I configuratori degli applicativi, che provvedono alla configurazione dei ruoli di accesso agli applicativi: possono determinare quali funzionalità sono accessibili ad una determinata classe di utenti o meno, inoltre sono a conoscenza dei nominativi degli appartenenti alle varie classi: in un ambiente poco trasparente fa vedere di disporre di una informazione preziosa che non dovrebbe nemmeno essere segreta.
  • Chi distribuisce token o strumenti di autenticazione, che, possedendo le chiavi di ingresso alle applicazioni: sono i possessori della garanzia della sicurezza.
  • Si possono aggiungere quelli che sono deputati alla gestione ed al supporto di strumenti per la gestione della documentazione e delle informazioni riservate, che hanno in mano “i segreti della azienda”. Se fossero maggiormente consapevoli del ruolo che hanno si limiterebbero a gestire il sistema tenendosi lontani dalla possibilità di accedere ai documenti ed evitare le “pruderie” di conoscerne i loro contenuti.
  • Poi, anche se marginali, ci sono coloro che gestiscono o trattano documenti riservati o cifrati: che per il fatto che sono tali vivono in un empireo a cui i comuni mortali non è permesso l’accesso.
  • Chi controlla la distribuzione del software e delle licenza che, impedendo l’installazione di software non riconosciuti ed impedendo una sorgente di installazione di malware, rendono sicure le operazioni ordinarie in azienda: è lui che attua la sicurezza in azienda e che decide se un tuo bisogno di qualche strumento “fuori standard”, magari una nuova tecnologia necessaria per uno sviluppo o un caso particolare, può essere installato sugli apparati aziendali. Questo atteggiamento di porta al risultato di indurre chi deve poter lavorare o a farlo o fuori del contesto aziendale, non controllato, magari con dati aziendali, con strumenti non protetti e non censiti; o di doversi prodigare utilizzando gli strumenti disponibili con grande ed eccessivo ed ingiustificato
  • Chi è chiamato ad attuare le parti legali e formali di gestione degli incidenti di sicurezza (per esempio i data breaches come previsti dal GDPR), che avoca a se la competenza sull’argomento sicurezza riducendolo solo alla questione del trattamento dei dati personali, con annessi e connessi, mentre tutto il resto, anche quello che ci sta prima e che è in grado di produrre evidenze dimostrabili dei fatti (e magari da trattare nell’ambito di una catena di custodia adeguata, pensata, e predisposta), “non c’entra” .
  • Chi si occupa di business continuity, backup e restore, o disaster recovery, che essendo gestori dell’estrema difesa della continuità e della sopravvivenza della azienda sono i paladini d’elite della salvaguardia della sicurezza della azienda.

Si potrebbero aggiungere altri atteggiamenti, ognuno ha sperimentato i suoi, ma in breve sintesi: ci sono diverse figure in una azienda che si attribuiscono il titolo “La sicurezza sono io!”.

In queste considerazioni non ho citato il rischio, a volte gravissimo, dato dalla saccenza di chi, occupando posizioni di vertice, non tenendo conto di tutte le sfaccettature decide cosa è da trattare come reale  argomento di sicurezza e cosa non lo è.

Per cui punta su argomenti insignificanti tralasciando, snobbando, segnali di fenomeni ben più gravi che possono compromettere seriamente la sicurezza della organizzazione.

Gli effetti della confusione

In questo stato di confusione si creano delle polarizzazioni singolari che possono avere molteplici effetti. Tra questi  ne intravedo uno particolarmente pericoloso che è la crasi, o collasso, di più funzioni, o peggio di tutte, in una unica figura deputata alla sicurezza facendo saltare il principio della segregazione dei ruoli e concentrare in un unico punto il controllo e i meccanismi di sicurezza: se salta questa si compromette una importante  parte di operatività.

La segregazione dei ruoli serve per ridurre, se non annullare sul nascere, gli effetti di comportamenti anomali o non desiderati (più aumentano i punti e le persone che devono essere compromesse per modificare un sistema più e difficile raggiungere l’obbiettivo da parte di un attaccante malevolo).

Altro possibile effetto di tale confusione porta al rischio che una qualsiasi persona in una organizzazione che paventa un qualche problema di sicurezza rischi di interpellare la figura non adeguata che, a sua volta autoinvestitasi della responsabilità di attuazione della sicurezza, tenterà di risolvere l’argomento con le risorse e le conoscenze di cui dispone.

Con il rischio di usare “il martello al posto del cacciavite”: ossia di  ottenere un risultato con lo strumento sbagliato, va a finire che prima o poi qualcosa si rompe. In uno scenario così descritto non si può affermare che, in tema di responsabilità sulla sicurezza, hanno tutti ragione e tutti torto. Io sarei più propenso a dire che hanno tutti torto e poi , caso per caso (ovvero a seconda degli ambiti, delle risorse disponibili , del valore di ciò che deve essere sicuro), si deve fare la tara.

I consigli per evitare rischi

Come porre rimedio a questo pericolo? Ci sono alcuni fronti da considerare che hanno la caratteristica di essere incentrati sulla comunicazione a tutti tondo.

Il primo punto di partenza potrebbe essere quello di dotarsi di una Governance di Sicurezza che funga da cabina di regia, con il ruolo di assistere la direzione della organizzazione nella valutazione dei rischi , nella gestione dei problemi, nell’ indirizzamento delle soluzioni (non farle: quello è di competenza di chi ha “le mani sul pezzo”.

Deve inoltre curare che sia chiaro e noto quale funzione la Governance svolge all’interno della organizzazione: ossia quella di provvedere a essere il punto di snodo fra la direzione aziendale, e la funzione delle varie anime della sicurezza e quella di tutti gli interessati al buon successo della azienda.

Dovrebbe avere anche il compito di  Sfatare la sicurezza come roba da spie e da security through obscurity e traghettarla verso la diffusione delle consapevolezza che essa è  una delle forme e degli strumenti necessari per la conduzione delle attività come tutte le altre;  così come lo è il diligente uso degli strumenti di lavoro  e l’impegno profuso nello svolgimento delle proprie attività.

Perciò deve preoccuparsi delle attività di awareness in modo da render pubblico il ruolo, il sistema, e gli attori della sicurezza all’interno dell’organizzazione per dare conoscenza che i bisogni sono gestiti e che bisogni emergenti possono essere considerati e gestiti.

In tale modo chiunque dovrebbe essere messo in grado di: poter dare il proprio contributo per la parte che gli compete nell’esercizio dei controlli di sicurezza previsti dal suo ruolo ; sapere a chi rivolgersi nel caso di problemi o sospetti riguardo alla corretta possibilità di conduzione della propria attività; sapere a chi poter poter segnalare eventuali miglioramenti.

L’organizzazione deve anche , con il supporto della Governance, provvedere a collocare e chiarire il ruolo che ciascuno ricopre nei processi e nelle funzioni di sicurezza, eliminando tutte le ambiguità, e cercare di rendere possibile una appropriata segregazione dei ruoli, attività che, soprattutto nelle piccole e medie imprese, è di difficile attuazione a causa delle limitazione delle risorse ma che deve trovare compimento un una oculata scelta.

Il problema da risolvere è quello di avere una figura che sia in grado di coprire il ruolo: quali sono le conoscenza e le caratteristiche che deve possedere la persona adeguato a poter svolgere l’attività di governance.

Ci sono in giro diversi schemi certificativi, che hanno applicazione ed validità nei vari ambiti, che possono costituire una base per definire i requisiti minimi di conoscenza. Alcuni di questi non sono in grado di dare una valutazione oltre alla mera conoscenza anche basata sulla esperienza.

È possibile avere una certificazione facendo un grosso lavoro solo teorico, sta poi al selezionatore valutare se il livello di esperienza nel ruolo è più o meno accettabile, non mi addentro nel fatto che per effettuare questi lavori le capacità di empatia con l’ambiente in cui la persona deve operare, alcuni specifici “soft-skill”, ha un peso rilevante nella scelta.

Per dare una mano almeno nella definizione delle capacità anche il CEN ha definito un frame work dei profili professionali in ambito europeo, definite nello standard europeo e-CF (recepito a livello nazionale come standard UNI EN 16234-1:2016), che è possibile anche certificare.

FORUM PA 6 - 11 LUGLIO
Costruire la fiducia digitale: cybersecurity e privacy
Network Security
Privacy

Questo sistema fornisce una bussola sia per la identificazione del tipo di figura richiesta, perché anche associata ad un’indicazione del tempo in cui è stata maturata l’esperienza nel ruolo (necessaria per ottenere una certificazione in questo schema: non basta conoscere ma si deve anche aver fatto), o che per individuare le lacune di conoscenze , averne la consapevolezza, ed eventualmente suggerire la formazione complementare necessaria.

@RIPRODUZIONE RISERVATA