La cyber security è una materia poco nota alla maggior parte delle persone, seppure si senta parlare sempre più spesso di attacchi informatici, violazioni, furti di informazioni che mettono in allarme le organizzazioni e i cittadini: eppure, è fondamentale che tutti comprendano l’importanza e i benefici di un approccio strategico alla gestione dei rischi e delle misure di cyber security.
Per destreggiarsi all’interno di questo mondo occorrono effettivamente conoscenze e competenze tecniche che non possono essere apprese in poco tempo e soprattutto che richiedono un continuo aggiornamento a fronte della rapida evoluzione degli scenari tecnologici e degli attacchi.
Quindi la cyber security è una materia per specialisti? Probabilmente sì, ma non può rimanere un tema trattato nelle “segrete stanze” dei sistemi informativi. Deve piuttosto diventare un argomento centrale nella definizione delle strategie di impresa, perché proprio i recenti fatti di cronaca hanno dimostrato quanto sia abilitante per garantire la resilienza delle imprese.
Indice degli argomenti
Gestione dei rischi e delle misure di cyber security: un parallelo con la Covid-19
Per questo vorremo provare a fare un parallelo che ci porterà (forse) a vedere la cyber security sotto una luce diversa e a capire che le problematiche sostanziali tipiche di questa materia sono le stesse che vediamo in altri contesti più vicini alla realtà di tutti i giorni.
Uno dei rischi tipici in ambito cyber security è il cosiddetto malware. All’inizio dell’era informatica si parlava di “virus informatici”, ora con l’evoluzione delle tecniche d’attacco questa categoria include una varietà più ampia di software malevoli, tra cui per esempio i ransomware (software in grado di cifrare i dati su un sistema con l’obiettivo di richiedere un riscatto in cambio del ripristino).
Le caratteristiche comuni alla maggior parte dei malware sono la capacità di “infettare” i sistemi (ovvero annidarsi e nascondersi nei file di sistema per danneggiarli) e la capacità di “replicarsi” e “propagarsi” all’interno delle reti informatiche.
Tutti conosciamo d’altra parte i c.d. antivirus ovvero dei software da installare sui sistemi (per es. il PC) per rilevare e bloccare i malware: tra le funzionalità tipiche di un antivirus c’è la “quarantena” che prevede di isolare un file “sospetto” in una zona di memoria protetta in modo che non possa mettere a rischio il sistema.
Alcuni di questi termini sono diventati tristemente noti al pubblico da quando è cominciata la pandemia di Covid-19. Per esempio, sentiamo spesso parlare del tasso di replicazione del virus (il famoso “R con T”) che indica il numero medio di persone infettate da una persona portatrice del virus. Si discute della durata della quarantena per chi ha avuto contatti con una persona positiva al virus. Termini come “misure di protezione”, che sono il pane quotidiano di chi si occupa di cyber security, sono diventate di uso comune tra il pubblico e sono spesso oggetto di dibattito.
Grazie a questo parallelo tenteremo di spiegare quali sono le problematiche, le scelte e i dilemmi tipici nella definizione di una strategia di cyber security in un’organizzazione utilizzando gli analoghi elementi nella gestione dell’epidemia come esempi di confronto.
Gestione dei rischi e delle misure di cyber security:una questione di sistema
La strategia di gestione della sicurezza cyber in un organizzazione si dovrebbe basare su un sistema di gestione della (cyber) sicurezza, ovvero un insieme complesso e dinamico di politiche, processi, persone, strumenti che agendo in maniera coordinata contrastano le minacce cyber e quindi riducono il rischio di attacchi, infezioni, violazioni e via dicendo.
Cosa si intende in pratica per sistema si può capire nell’esempio della Covid-19, infatti per contrastare la diffusione del virus (la minaccia) e quindi limitare il rischio (l’epidemia) sono state definite politiche (per es. le scelte in merito alle chiusure, le politiche economiche…), processi (per es. i protocolli per la quarantena), a livello di organizzazione sono stati rafforzati gli organici di medici e infermieri, creati comitati e task force e infine sono stati attivati strumenti quali le mascherine, le app per il tracciamento, i tamponi, i medicinali e le apparecchiature per la terapia intensiva.
Allo stesso modo una strategia cyber security dovrà prevedere politiche per es. in merito all’uso corretto e sicuro dei PC, politiche e procedure di gestione degli accessi logici ai sistemi; dovrà prevedere processi di controllo delle attività operative (es. i backup, le modifiche ai sistemi); dovrà prevedere un organizzazione dedicata (per es. un Chief Information Security Officer, una funzione sicurezza…), dovrà prevedere degli strumenti per il contrasto degli attacchi (ad es. gli antivirus, i firewall, strumenti di monitoraggio delle reti).
Le risorse disponibili
Senza un’attività coordinata e coerente di tutte queste componenti, tuttavia l’azione di contrasto alle minacce risulta poco efficace.
Un esempio pratico nel nostro “parallelo” può essere il tema delle mascherine: infatti, se da un lato si impone l’uso della mascherina (le politiche) ma dall’altro vi è una carenza di disponibilità delle stesse (gli strumenti), di fatto la politica diventa inefficace.
Questo accade molto spesso nella gestione della cyber security: a fronte di politiche e strategia efficaci “sulla carta”, nella realtà le carenze di budget e gli elevati costi di implementazione e gestione degli strumenti (es. SIEM, SOC) determinano un’efficacia ridotta della strategia.
È importante, perciò, tenere conto delle limitazioni “pratiche” nel momento in cui si definisce la strategia di cyber security per renderla non solo efficace ma anche ragionevole, cercando di ottenere al contempo il commitment del management al fine di assicurare il necessario supporto in termini di risorse.
L’ottimo è nemico del bene
Un altro aspetto rilevante riguarda le modalità di adozione di strumenti e tecnologie per la cyber security che tenga conto di tutti i fattori rilevanti che possano incidere sulla loro efficacia.
Nel nostro “parallelo” un esempio lampante è la vicenda dell’app Immuni. Come sappiamo infatti, l’app è stata scaricata da un numero limitato di cittadini e questo fatto significa che si riescono a tracciare i contatti effettivi solo in pochi casi lasciando scoperto un perimetro molto esteso.
Allo stesso modo l’adozione di strumenti di monitoraggio della rete aziendale su un perimetro limitato consente agli attaccanti di aggirare tali sistemi e aggredire l’organizzazione senza che questo venga rilevato.
In questi casi occorre cercare di presidiare l’intero perimetro magari con una soluzione meno evoluta dedicando un effort maggiore ai segmenti di rete più critici (es. quelli con più traffico). In sintesi, è importante ricordare che le soluzioni di monitoraggio (come Immuni o i sistemi di monitoraggio delle reti) funzionano se la copertura in termini di perimetro è elevata, altrimenti perdono rapidamente di efficacia.
Numeri e statistiche
Quando si parla di cyber security spesso si citano numeri e statistiche che enfatizzano la criticità della situazione e l’urgenza degli interventi.
Esistono servizi di threat intelligence che monitorano gli attacchi e i tentativi di attacco sia verso l’organizzazione che nel contesto esterno.
La Covid-19 ci sta ha costretto a diventare un po’ statistici e a convivere con i numeri dell’epidemia e ogni giorno si valutano le tendenze, le percentuali, le distribuzioni. A fronte degli stessi numeri sentiamo spesso diverse opinioni, c’è chi li usa per dire che si sta facendo un buon lavoro, c’è chi li usa per dire il contrario, chi ancora li usa per criticare le chiusure e i provvedimenti ecc. con la probabile conseguenza di mandare in confusione il cittadino.
A prescindere da chi ha ragione in queste attività interpretative il tema vero è che le statistiche quasi sempre offrono una vista parziale della realtà; quindi, vanno lette con tale consapevolezza e interpretate per quello che sono cercando di estrarne le informazioni necessarie al nostro scopo.
Allo stesso modo chi si occupa di cyber security all’interno di un’organizzazione deve essere in grado di leggere opportunamente i dati e le statistiche sulle minacce cyber, sugli attacchi, sugli eventi di sicurezza rilevati dai sistemi di monitoraggio ecc. andando ad implementare gli opportuni indicatori, le necessarie viste e il conseguente reporting.
Inoltre, gli è richiesto lo sforzo di interpretare le statistiche offerte dai sistemi di threat intelligence tenendo conto dei bias che tali sistemi si portano dietro che possono da una parte enfatizzare l’efficacia delle soluzioni adottate (per es. se le statistiche provengono dai sistemi di Intrusion Detection o Prevention – IDS/IPS tenderanno ad enfatizzare il numero di minacce bloccate anziché il totale o quelle non bloccate).
È inoltre fondamentale associare le statistiche e gli indicatori ad azioni di risposta concrete, per esempio l’attivazione di un’attività di analisi del rischio su un determinato cluster di sistemi nel momento in cui gli indicatori relativi agli eventi cyber registrati su quel cluster superino una certa soglia.
Infine, chi si occupa di cyber security ha il (difficile) compito di rappresentare i dati e le statistiche in maniera efficace ed oggettiva al management, fornendo le informazioni necessarie e sufficienti per consentirgli di prendere una decisione in maniera informata.
Esempio tipico in questo caso sono le statistiche relative al numero di attacchi o alla spesa in cyber security, che spesso vengono presentate in termini assoluti (numero di attacchi o euro spesi per anno) invece di fornire degli indicatori che consentano di valutare la situazione della propria organizzazione rispetto ad un settore (per es. spesa cyber security vs spesa IT) o da un periodo all’altro (incidenti 2020 vs incidenti 2021).
Approccio risk-based
Il livello di rischio è il driver di riferimento quando si prendono decisioni in merito alla gestione di una minaccia.
Nel caso della Covid-19, per esempio, si parla di probabilità di contagio e gravità dei sintomi e le misure di contrasto alla minaccia Covid sono definite in maniera proporzionale a questi due fattori. Quando il numero di postivi aumenta (quindi aumenta la probabilità di contagio) aumentano le misure restrittive.
Un altro elemento legato al rischio è la cosiddetta propensione al rischio cioè quel livello di rischio che si ritiene accettabile ed entro il quale non si ritiene necessario introdurre ulteriori misure restrittive. Questo concetto è di difficile definizione nel caso della Covid-19, perché chiaramente la propensione al rischio dovrebbe essere praticamente zero, poiché nessuna morte è tollerabile.
Per la cyber security, invece, risulta più semplice definire una propensione al rischio, seppure non sia banale la sua definizione tecnica. La propensione al rischio in questo caso può essere letta come “il giusto bilanciamento tra investimenti in cyber security e rischio residuo atteso”.
Anche la cyber security dovrebbe adottare un approccio risk-based concentrando gli sforzi maggiori sulle aree di rischio maggiori e intervenendo nei casi in cui le probabilità di un incidente aumentino. Questo significa evidentemente valutare periodicamente i rischi, definire gli opportuni indicatori e stabilire delle strategie di risposta alle eventuali variazioni.
Queste valutazioni devono sempre coinvolgere il management e il business perché se è vero che gli sforzi e gli investimenti possono essere stimati dalla funzione cyber security, il livello di rischio residuo atteso deve essere “accettabile” dal management che deve avere l’ultima parola sulla propensione al rischio come sopra definita.
