Dove e perché: due parole, un percorso. Dalla sicurezza dei dati a quella dell’organizzazione.

Scritto a quattro mani, da Claudio Pantaleo e da Luca Bechelli, l’approfondimento de I VENERDI’ DI S NEWS tocca un tema quanto mai attuale: la sicurezza dei dati e quella dell’organizzazione stessa. Un trattato molto specifico ed approfondito, opera di due menti brillanti e di due professionisti di alto profilo. (ndr. I curricula degli autori, al termine del trattato).  

Abbiamo speso bene e dove serviva, per proteggere i nostri dati?
Dove e perché: due parole, un percorso. Dalla sicurezza dei dati a quella dell'organizzazione

L'attualità ci mostra quotidianamente come l'informazione sia fondamentale e permei ogni istante della nostra vita, anche lavorativa.
Quando si dice “informazione”, in azienda, non si può, infatti, fare riferimento soltanto al “significato”.
Nell'azienda il “dato” è presente in molte forme: email, documenti cartacei, fax, contenuto di chiamate VoIP, posta cartacea, chiamate telefoniche tradizionali, dati in transito sulla rete, immagini video dei sistemi di sorveglianza, etc…

L'informazione può avere attributi che ne possono connotare l'uso possibile e le caratteristiche di sicurezza:
– “sola lettura”, come per i supporti ottici,
– volatile (ma non troppo, come insegnano i “cold boot attack” quando contenuta nelle memorie RAM dei computer,
– archiviata (sui pc di uno o più utenti, oltre che sui database e sulle aree condivise),
– mobile se salvata su tablet o smartphones, o,
– cifrata, alla bisogna.

Non da meno, l'informazione può essere convertita da un formato all'altro (la stampa è l'esempio di conversione da digitale ad analogico per eccellenza). Si potrebbe dire quindi che il dato è “amorfo”, come un liquido, in grado di adattarsi a differenti contenitori.
Dal punto di vista della sicurezza essa è soprattutto pervasiva, talvolta talmente tanto da sfuggire al controllo del proprietario stesso: l'azienda.

Tale pervasività è spesso sottovalutata, al punto che le stesse aziende non sono consapevoli del livello di dipendenza che hanno sia dai dati, sia dagli strumenti (i.e. servizi e componenti informatici) tramite i quali i loro dati sono accessibili ed utilizzabili.
Esercitare un controllo accurato sulle informazioni gestite, è pertanto un compito dal quale ogni azienda non dovrebbe sottrarsi.

D'altro canto, il valore dell'informazione per il business e per l'operatività delle organizzazioni, e più in generale per la società, assume risvolti sempre meno prevedibili ma certamente rilevanti; per fare due esempi, recentemente i giornali hanno rimbalzato la notizia della prima protesi (tracheale) e della prima arma funzionante, realizzate entrambe mediante stampanti 3D. Questi casi sono esemplificativi di come il dato informatico abbia ricadute dirette sulla vita e sulla sicurezza delle persone. Infatti, cosa accadrebbe se lo schema produttivo di un'arma fosse reso disponibile in modo incontrollato, permettendo quindi a chiunque di costruirsi in casa la propria arma letale? Quali impatti avremmo se il file contenente la progettazione di una protesi da impiantare in un paziente, fosse modificato senza controllo?

In questo scenario, guardando alle diverse tipologie di aziende che operano nei diversi settori, senza necessariamente concentrarsi sulle “grandi” alle quali tradizionalmente guarda il mercato della sicurezza ICT, è possibile rilevare una grande quantità di organizzazioni aventi caratteristiche molto simili in termini di gestione della sicurezza ICT. Molte di esse hanno a disposizione tecnologie evolute applicate con un scarsa personalizzazione, assicurando pertanto un livello di sicurezza appena ragionevole contro minacce di natura globale e generalizzata ma, attenzione non molto è predisposto a proteggersi dalle minacce rivolte loro direttamente o verso il loro settore d’attività. Inoltre, molte imprese adottano strumenti e metodologie di Risk Management “preconfezionate” da scaffale, insufficienti a gestire il rischio in relazione alle peculiarità del contesto, e quindi a prendere decisioni strategiche in relazione alle problematiche più rilevanti.

Ancora, alcune aziende sono sovente caratterizzate dall'attuazione di misure di sicurezza in modo non correlato con il valore degli asset che devono proteggere, secondo un approccio che standardizza la gestione ICT ma che attua un paradigma di sicurezza tutto focalizzato sul rafforzamento del perimetro di protezione esterno dell'azienda, tralasciando (o dando meno rilevanza a) tutto quello che può avvenire all'interno di esso.

Un approccio basato su un modello di sicurezza che ricalca i modelli di servizio dell'ICT Service Management, risulta  incapace di attuare strategie di sicurezza adatte a coprire i rischi peculiari, nella misura in cui non si tiene conto della diversità degli asset e, conseguentemente, della differenza di valore che hanno per l'organizzazione. Tale approccio ha certamente consentito all'azienda, nel tempo, di dotarsi di strumenti tecnologici validi a fronte del risparmio indotto da una sorta di “economia di scala”.
In realtà, lo stesso approccio ha avvalorato in molte imprese la convinzione di poter fare sicurezza con un livello minimo di relazione e conoscenza del contesto che si va a proteggere, e ha esasperato tutte quelle situazioni di scarsa cooperazione, certamente frequenti anche nelle imprese più virtuose, tra la sicurezza ICT e le altre unità organizzative.

L'effetto negativo più evidente, tralasciando i casi emblematici di incidenti informatici, è l'incapacità della funzione di sicurezza ICT di valutare i benefici del proprio operato e dei propri investimenti, poiché essi non vengono determinati in relazione a fattori di rischio o, più spiccatamente, del valore di quanto protetto.
Tradurre l'operato della sicurezza nella capacità di realizzare economie di scala, induce quindi un circolo vizioso nel quale essa sarà sempre meno capace di dimostrare al proprio business la validità del proprio operato, soprattutto di fronte alla necessità di dover fronteggiare le nuove minacce all'orizzonte.

Si pensi, ad esempio, al trend crescente del BYOD (Bring Your Own Device), che coinvolge aziende che hanno investito negli anni passati nella sicurezza delle postazioni di lavoro, che devono oggi esprimere la capacità di attuare le medesime misure di protezione anche sui dispositivi mobili, dove agli utenti è concesso ricevere informazioni aziendali via email oltre a condividere documenti magari riservati su cloud più o meno privati, etc…

Una gestione della sicurezza che va a diversificare le misure di protezione da adottare, in relazione al rischio ed al valore dei propri asset, al contrario permette di:
– spendere dove realmente serve,
– spendere in quello che serve.
Ottenere tale risultato ovviamente non è facile, soprattutto nell'ottica di preservare gli investimenti già fatti e di evitare, sull'onda del cambiamento, di introdurre nuovi fattori di rischio.

Sono quindi da evitare approcci radicali, anche se basati su metodologie evolute, che potrebbero ulteriormente distogliere l'organizzazione dallo svolgere un’azione introspettiva, orientata a migliorare la capacità di interpretare le esigenze derivanti dalle proprie peculiarità.
Viceversa, partire da quanto è stato fatto in passato, può favorire un miglioramento sostenibile, in termini di know how, di spesa, di assetto organizzativo, etc…

Analizzare, ad esempio, i problemi maggiormente ricorrenti in termini di violazioni delle policy aziendali o della sicurezza, come rilevato dalle tecnologie di protezione già in essere, mirando a risolvere quelle che impegnano maggiormente il personale nel “day-by-day”, non costituisce in se un approccio paragonabile ad una analisi dei rischi, ma è un modo molto pragmatico di mettere ordine, di aggredire il problema in tempi rapidi per risolvere quelle situazioni contingenti che altrimenti distolgono la funzione di sicurezza da problematiche più rilevanti.

Parallelamente, l'azienda deve avviare analoghe iniziative secondo un approccio “top-down”, in altre parole rivedere il proprio sistema di regole in relazione agli obiettivi che intende prefiggersi. L'impostazione dovrebbe essere prevalentemente tattica e orientata ad obiettivi a breve termine, che si ha la ragionevole certezza di raggiungere, in attesa di avere gli elementi validi per la definizione di una strategia di più ampio respiro.

Tra gli obiettivi, l'azienda non dovrà dimenticare di rivedere la propria politica di classificazione dei dati, dalla quale derivano i criteri di sicurezza da attuare nell'ambito dei vari trattamenti delle informazioni.
Le regole (siano esse policy, linee guida etc…) dovrebbero poi essere supportate, per quanto possibile, da strumenti automatizzati, per favorirne il rispetto da parte degli utenti e delle altre unità organizzative. E' poi imprescindibile che tali regole siano facilmente verificabili, per misurarne l'efficacia e rilevarne le eventuali non conformità.

Tale intervento, sia dal punto di vista di regole e obiettivi, sia a partire dai problemi contingenti, potrà essere ripetuto più volte, andando ad aumentare di volta in volta la granularità delle analisi volte a determinare le priorità di azione. Le priorità stesse, potranno essere attribuite di volta in volta secondo criteri differenti:
– azioni che consentono, con un basso impatto, di ottenere benefici rilevanti, oppure,
– iniziative a carattere strutturale, più complesse e con maggiore ritorno nel lungo periodo.
Le prime potranno consentire di verificare la bontà dell'approccio adottato nelle prime iterazioni, mentre le seconde daranno impulso ad una nuova fase verso la quale l'organizzazione dovrà necessariamente tendere, che sarà: “la definizione di un sistema di gestione della sicurezza basato su un approccio strutturato e metodologicamente avanzato di gestione del rischio”.

Il tutto nell’ottica del “prevenire”, evitare quindi i problemi prima che si manifestino. Lavorare sulle possibili cause, “ what if ”, per preparare le giuste difese e il paracadute o le scialuppe di salvataggio. Non va dimenticato che “Il più grande dei problemi poteva essere facilmente risolto all'inizio, quando era ancora piccolo” !!

Claudio Pantaleo inizia nel 1975 la sua attività lavorativa in IBM nel settore tecnico con incarichi in Europa,  Africa, Medio Oriente e Nord America. Nel 1988 assegnazione internazionale presso il centro di istruzione internazionale dell IBM a Bruxelles. Dal 1994 entra nella Funzione Security Aziendale e nel 1995 assume anche la Funzione di Intelligence Operativa nella Security, inserito in un gruppo che opera a livello mondiale con enfasi su Europa, Medio Oriente ed Africa. Dopo 29 anni lascia la IBM ed assume l ’incarico di Head of Security della British American Tobacco (BAT) Italia SpA e successivamente dell ’Area Sud Europa. Dal 1° gennaio 2009 al 31 luglio 2012, in ATM, a Milano, assume l ’incarico di Direttore Sistemi e Tecnologie Protezione Patrimonio, con la responsabilità della Security a 360°, della Data Privacy, Risk Management, Business Continuity, per le aziende del “Gruppo ATM”.

Luca Bechelli è consulente indipendente nel campo della sicurezza informatica dal 2000 per progetti nazionali ed internazionali su tematiche di Security Governance, Risk Management, Data Protection, Privilege Management, Incident Handling e partecipa alla progettazione ed al project management per attività di system integration. Svolge attività di R&D con aziende nel campo della sicurezza e tramite collaborazioni con enti di ricerca.Da alcuni anni è docente del 
Master in Tecnologie Internet del Dipartimento di Ingegneria dell’Università di Pisa per la parte di esercitazione del corso di sicurezza informatica. E' co-autore di pubblicazioni scientifiche e tecnico/divulgative. Socio CLUSIT dal 2001, è membro del Direttivo e del Comitato Tecnico Scientifico dal 2007 ed ha partecipato come docente a numerosi seminari CLUSIT Education, anche nell'ambito dei Security Summit.