[section_title title=Misure per la difesa]
In realtà, le cose tendono a diventare più complesse e intricate quando si parla di aziende.
Mentre una casa resta una casa e il suo perimetro è un’entità fisica evidente, il concetto stesso di perimetro svanisce nel caso delle aziende moderne. Le organizzazioni diventano sempre più “senza confini” e ibride, con network complessi in cui ciò che cade “dentro “o “fuori ” dal perimetro è incerto, a volte indefinito, semplicemente perché il concetto stesso di perimetro ha perso parzialmente significato o ne è diventato del tutto privo.
Inoltre, il valore dei dati dipende in larga misura dal contesto dei processi di business in cui questi vengono prodotti, analizzati, modificati, inviati, distribuiti, etc. Dato che i malware moderni e sofisticati possono operare in un contesto di processo, non esiste una difesa perimetrale in grado di svolgere il lavoro di protezione dei dati da un attacco che avviene dall’interno. In una situazione “senza perimetro”, l’unica possibilità di successo si basa sull’adozione di un portafoglio di molteplici misure di sicurezza, ben mirate e adattative. Da notare che ho parlato di misure, non semplicemente di tecnologie.
Una misura basilare è considerare di default che le difese possono essere violate. Quindi, quello di cui si ha realmente bisogno è definire delle linee guida di governance e norme ben chiare, che possano dettare quali sono i comportamenti corretti nel caso specifico. La tecnologia può essere adottata successivamente, per aiutare a rilevare immediatamente l’emergere di una possibile deviazione rispetto a tali regole.
L’osservazione sui processi mi porta a introdurre la terza – e forse la più rilevante – componente fondamentale di qualsiasi strategia di sicurezza informatica sensata: la variabile Homo Sapiens.
Il fattore umano è, infatti, l’elemento più debole in tutto il quadro. I processi machine-to-machine stanno acquistando una rilevanza sempre crescente, ma la maggior parte dei processi viene (ancora) portata avanti e governata da esseri umani. Per questo motivo, devono essere presi in considerazione tutti i modi possibili per mitigare i fattori di rischio umani, capendo quello che potrebbero comportare nei diversi e specifici contesti di processo, in termini di possibili ripercussioni e su quali dati … non necessariamente di competenza specifica dello staff IT.
Ogni possibile iniziativa di sicurezza valida e le misure operative conseguenti devono racchiudere una visione olistica che comprenda tutti e tre gli elementi menzionati qui sopra: scenari “senza confini”, definizione delle priorità e della rilevanza dei dati, attori umani.
Poiché la cybersecurity è ancora in gran parte confusa con la sicurezza dell’IT, non vediamo spesso aziende già impegnate nel considerare il Change Management con adeguata priorità, inserendolo a pieno titolo nei propri bilanci di sicurezza, per esempio con l’obiettivo di far crescere la consapevolezza in azienda dei rischi e delle caratteristiche peculiari di un business altamente digitale. Eppure, la maggior parte delle frodi è perpetrata da personale interno, e la maggior parte degli errori derivano da comportamenti legali ma sbagliati, adottati da dipendenti fidati ma ancora non pienamente consapevoli.
Una misura di sicurezza ben progettata dovrebbe essere quindi sempre costituita da tre diverse componenti: tecnologie adattative abilitanti, processi di business ben governati e consapevolezza elevata e informata del personale. La protezione dei dati rilevanti è quindi il risultato di un approccio cooperativo, che si basa sulla raccolta del patrimonio informativo di maggior valore, selezionato attraverso opzioni tecnologiche equilibrate nel contesto di processi critici gestiti da uomini consapevoli dei rischi. Certamente non è facile. Gli hacker e i cybercriminali lo sanno fin troppo bene!
A che punto è la vostra organizzazione nell’ottemperare alle raccomandazioni di cui sopra?
Se la risposta è: “non troppo lontana”, allora sapete qual è la direzione da seguire. Raggiungere una situazione di “cyber-resistenza” a livello ampio nell’organizzazione è obiettivo primario di una strategia di sicurezza ben progettata. Affidarsi esclusivamente, o pesantemente, alla tecnologia non è una strada percorribile, anche se può sembrare un percorso semplice e allettante: si acquista un prodotto X o si distribuisce la tecnologia Y e il gioco è fatto. Spesso questa è la mitica promessa dei vendor, una miniera d’oro per loro in termini di vendita, che però non implica o comporta il blocco definitivo dei potenziali attacchi. Anzi!