INTRODUZIONE
Alessandro Piva
Direttore Osservatorio Information Security & Privacy, Politecnico di Milano.
La gestione dell’information security si basa su tre principi fondamentali: la confidenzialità, l’integrità e la disponibilità. La consapevolezza di questi principi si esplicita nella realizzazione di una strategia concreta, di un piano operativo basato su scelte tecnologiche e modelli organizzativi coerenti
I principi di gestione della sicurezza informatica
Gli obiettivi di una strategia di information security si basano su tre principi fondamentali: confidenzialità, integrità e disponibilità (detta anche triade CIA — Confidentiality, Integrity and Availability). Tali principi devono essere ricercati in ogni soluzione di sicurezza, tenendo conto anche delle implicazioni introdotte dalle vulnerabilità e dai rischi.
Un meccanismo di sicurezza deve in prima battuta offrire confidenzialità, ovvero garantire che i dati e le risorse siano preservati dal possibile utilizzo o accesso da parte di soggetti non autorizzati. La confidenzialità deve essere assicurata lungo tutte le fasi di vita del dato, a partire dal suo immagazzinamento, durante il suo utilizzo o il suo transito lungo una rete di connessione.
Le cause di violazione della confidenzialità possono essere imputabili ad un attacco malevolo oppure ad un errore umano. Le modalità di attacco possono essere molteplici, e passare ad esempio dalla sottrazione di password, dall’intercettazione di dati su una rete, oppure da azioni di social engineering solo per citarne alcune. Gli errori delle persone in grado di compromettere la confidenzialità delle informazioni riguardano ad esempio lo scorretto utilizzo di strumenti e regole di autentificazione e il libero accesso a dispositivi a terze parti non autorizzate.
Vi sono svariati strumenti che possono essere utilizzati per garantire la confidenzialità delle informazioni: la criptazione delle comunicazioni, le procedure di autentificazione, la creazione di modelli di data governance ben definiti e le azioni di awareness sugli utenti.
Il concetto di confidenzialità non è univoco, essendo diversi gli elementi che devono essere presi in considerazione dalla singola organizzazione in relazione al proprio business, ad esempio il grado di sensibilità delle informazioni che vengono trattate e il livello di criticità e di segretezza che le caratterizzano.
Il secondo principio della sicurezza riguarda l’integrità, ovvero la capacità di mantenere la veridicità dei dati e delle risorse e garantire che non siano in alcun modo modificate o cancellate, se non ad opera di soggetti autorizzati. Parlare di integrità significa prendere in considerazione differenti scenari: prevenire modifiche non autorizzate ad informazioni da parte degli utenti, ma anche garantire che le informazioni stesse siano univocamente identificabili e verificabili in tutti i contesti in cui vengono utilizzate.
Per assicurare l’integrità è necessario mettere in atto policy di autentificazione chiare e monitorare costantemente l’effettivo accesso ed utilizzo delle risorse, con strumenti in grado di creare log di controllo. Controllo degli accessi (per esempio tramite sistemi di Identity & Access Management), procedure di autentificazione, sistemi di Intrusion Detection, restrizioni di accesso e, ancora una volta, formazione degli utenti rappresentano soluzioni utili per rispettare questo principiò.
Le violazioni all’integrità dei dati possono avvenire a diversi livelli, dal semplice utente fino agli amministratori e possono essere legate ad un utilizzo non conforme alle policy definite o ad un sistema di security progettato in modo scorretto; vi sono anche vulnerabilità insite nel codice stesso che espongono applicazioni e risorse a potenziali usi fraudolenti, mettendo a rischio l’integrità delle informazioni.
Infine, la disponibilità si riferisce alla possibilità, per i soggetti autorizzati, di poter accedere alle risorse di cui hanno bisogno per un tempo stabilito ed in modo ininterrotto. Rendere un servizio disponibile significa impedire che durante l’intervallo di tempo definito avvengano interruzioni di servizio e garantire che le risorse infrastrutturali siano pronte per la corretta erogazione di quanto richiesto. Devono quindi essere messi in atto meccanismi in grado di mantenere i livelli di servizio definiti, avvalendosi di strumenti di Disaster Recovery, back up e Business Continuity, in grado di limitare gli effetti di possibili indisponibilità di servizio o perdita di dati.
Le minacce che mettono a rischio la disponibilità di un servizio possono riguardare errori software, rotture di device, fattori ambientali ed eventi catastrofici che mettono fuorigioco le infrastrutture, come ad esempio interruzioni dell’erogazione dell’energia elettrica, inondazioni, terremoti. Vi sono anche azioni malevole finalizzate nello specifico a rendere irraggiungibili i servizi: è il caso degli attacchi DoS/DDos (Denial of Service/Distributed Denial of Service) o delle interruzioni di comunicazione. Accanto alle motivazioni imputabili ad un’azione dolosa, esistono altre ragioni che possono generare una violazione di disponibilità, come ad esempio il sovrautilizzo di componenti hardware e software o l’accidentale rimozione di dati.
Le contromisure che si possono mettere in atto in questo caso riguardano ad esempio il disegno di infrastrutture di rete in grado di garantire la ridondanza dei sistemi e di offrire i servizi richiesti anche in caso di guasto o incidente, sistemi firewall in grado di proteggere le reti interne e sistemi di monitoraggio continuo del traffico. Le policy di Business Continuity garantiscono inoltre l’implementazione di soluzioni in grado di limitare i possibili punti di attacco.
I concetti di confidenzialità, integrità e disponibilità sono strettamente correlati tra loro ed il disegno di un sistema di gestione della sicurezza informatica necessita che vengano tenuti in considerazione in modo unitario.
Dalla consapevolezza alla realizzazione c una strategia di gestione della sicurezza e della privacy
La possibilità di mettere in campo piani ed azioni concrete, con uno scope che non si limiti al solo ambito tecnologico, richiede una consapevolezza organizzativa chiara rispetto alla necessità di un approccio di lungo periodo alla gestione dell’information security e privacy. Da questa presa di coscienza discende la necessità di strutturare un’organizzazione con moli di governane ed indirizzo che sia in grado di sviluppare una strategia ben delineata e di allinearla alle esigenze del business.
Il piano strategico, definito e concordato con il Top Management aziendale, esplicita ad alto livello come l’organizzazione intende governare le minacce e come si propone di garantire la sicurezza delle informazioni aziendali sensibili. Una volta stabilite le linee di indirizzo si identifica un framework, sulla base di modelli di riferimento e specificità del settore dell’impresa. Il piano necessita di essere comunicato in modo chiaro all’interno dell’organizzazione e di essere revisionato continuativamente, per identificare la coerenza con il piano strategico e l’individuazione di aree di intervento. La capacità di circoscrivere processi e procedure di valutazione del rischio, che sappiano localizzare e analizzare le diverse minacce basate sul profilo di rischio dell’organizzazione, diventa fondamentale per mettere in atto misure efficaci in grado di mantenere i rischi all’interno di limiti accettabili.
Il paradigma di gestione della sicurezza sta cambiando nel corso del tempo, passando progressivamente da una gestione perimetrale ad un approccio maggiormente incentrato sul dato. La maggior consapevolezza della complessità intrinseca in un mondo dove il digitale è sempre più pervasivo nei processi aziendali conduce ad una trasformazione: da una visione legata alla mera compliance si passa alla gestione del rischio e della sua mitigazione, tramite il controllo dell’intero ciclo di vita dell’informazione. Cambia l’approccio al fattore umano, alla persona da sensibilizzare ed incoraggiare a comportamenti responsabili.
I progetti e le azioni messe in campo possono essere di svariato tipo e possono orientarsi ad anticipare possibili minacce o a mitigarne gli effetti. Oggi, accanto alla capacità di prevenire e contrastare gli attacchi, è sempre più richiesto di saperli predire, monitorare e di saper rispondere in modo tempestivo ed efficace. L’identificazione di metriche di monitoraggio e di misurazione delle performance serve poi a identificare azioni correttive e a mettere in atto miglioramenti nei processi di governo della security e nella revisione del piano nel suo complesso. Infine, l’approvazione della nuova regolamentazione europea sulla privacy (General Data Protection Regulation GDPR) richiede di analizzare le implicazioni per la sicurezza e. di mettere in atto conseguentemente misure tecnologiche, organizzative e di processo.
Con riferimento al campione di analisi di grandi organizzazioni III analizzato dall’Osservatorio Information Security & Privacy, solo i118% delle imprese operanti in Italia ha messo in campo un piano di investimento con orizzonte pluriennale con inserimento di riferimenti espliciti nel piano industriale (nelle . aziende quotate con maggiore capitalizzazione si arriva al 58%). Un ulteriore n% ha sempre un piano pluriennale, senza però / nessun richiamo nel piano industriale. Nel 34% dei casi, vi è un piano con orizzonte annuale, mentre nel 27% restante il budget viene stanziato solo all’occorrenza. Rispetto allo scorso anno il quadro mostra una maggiore consapevolezza, con un 7% in più di organizzazioni che hanno predisposto un piano pluriennale.
La roadmap evolutiva
Per far fronte a modelli di innovazione sempre più rapidi e dirompenti, l’approccio delle aziende verso l’information security deve maturare lungo due direzioni principali: da una parte diviene basilare sviluppare consapevolezza strategica e vision, dall’altra mettere in campo azioni e piani concreti, dal punto di vista dei ruoli organizzativi e degli approcci tecnologici. Le aziende che si possono definire mature su entrambe le direzioni sono il 19% del campione mentre, all’opposto, vi è un 48% che risulta ad uno stadio iniziale di questo percorso. Nelle restanti organizzazioni è interessante notare come consapevolezza strategica e vision prevalgano (25%) sulla definizione di moli organizzativi e approcci tecnologici chiari (8%). Come si vedrà in seguito, a fronte di questa situazione a macchia di leopardo emerge in ogni caso una crescita progressiva della maturità da parte delle imprese. La velocità di adozione delle strategie e di implementazione di progetti volti ad incrementare la sicurezza nella gestione delle informazioni fatica però a tenere il passo dell’evoluzione delle tecnologie digitali e delle gravi minacce alla sicurezza che da queste possono derivare. Lo si nota chiaramente osservando le aree di investimento delle aziende in security: aspetti fondamentali nell’evoluzione digitale delle imprese come il Cloud e la Mobility rimangono ancora di nicchia, benché rilevanti in prospettiva futura.
Fonte: Gruppo Sole 24 Ore
