Home » News » Cybersecurity

Security By Design

di Redazione - 12 Settembre 2014
Security By Design

In attesa del prossimo Security Summit, a Verona il 2 ottobre, con S News media partner, che vedrà la presentazione dell'ultima edizione del Rapporto Clusit, proponiamo oggi questo Focus On a cura di Walter Ginevri e Alessandro Vallega.

Security By Design

Tra i professionisti della Sicurezza, e perfino a livello delle istituzioni Europee, si parla spesso di Security by Design, ovvero dell’approccio secondo il quale è bene progettare i prodotti e i servizi informatici pensando alla sicurezza fin dal principio.

Secondo gli esperti, si tratta dell’unico modo per contrastare efficacemente le minacce e le frodi che hanno come bersaglio i sistemi informativi e che sono ormai diventate un fenomeno diffuso di criminalità.

Su questo tema, Clusit ha dato vita ad una collaborazione con la principale associazione internazionale di Project Management, ovvero il Project Management Institute (PMI) e, più precisamente, con i suoi rappresentanti del Northern Italy Chapter (PMI-NIC).
Tutto ciò ha permesso di portare a compimento un’indagine rivolta ad una base associativa composta da oltre 1600 project manager del settore privato e pubblico.
Accettando il rischio di vanificare l’effetto sorpresa, possiamo anticipare che le risposte ci inducono ad un certo ottimismo (Fig. 1), anche se, come vedremo nel seguito, “non è tutto oro quel che luccica”. Infatti a fronte di un’azienda che impone un approccio di Security By Design è ragionevole pensare che tale “design” si attui ottemperando ai requisiti tramite un approccio comune e condiviso da molteplici progetti.


clusit
Fig 1: Tipologia di soluzioni di sicurezza

Descrizione del campione
La ricerca è stata condotta nel mese di gennaio 2014 sugli associati PMI-NIC. Vi hanno risposto 283 persone, caratterizzati dal possedere la certificazione professionale di Project Management Professional. Essi corrispondono a circa un quinto degli associati e vanno rapportati ai 4.500 project manager totali certificati in Italia. Sono quindi un ottimo campione di analisi.
I project manager che hanno risposto al questionario operano su aziende grandi e piccole (per addetti e per fatturato) di ogni settore industriale italiano come riportato nelle figure successive.


clusit
Fig 2: Descrizione del campione – Rapporto Clusit 2014 sulla Sicurezza ICT in Italia

Risultanze
Prima di giungere alle conclusioni e ai commenti finali, l’analisi realizzata ci permette di fare diverse considerazioni:
Tutti gli intervistati ritengono che “la presenza di requisiti non funzionali attinenti la sicurezza ICT”, ovvero la richiesta di sicurezza nei progetti, sia aumentata (69%) o almeno rimasta invariata (30%) negli ultimi due anni. Quasi nessuno degli intervistati ne riscontra una diminuzione. Questo risultato non costituisce alcuna sorpresa e conferma quello che da più parti già si conosce; infatti i Project Manager e gli esperti di sicurezza, sono testimoni di sempre maggiori richieste dovute all’aumentata sensibilità aziendale ai temi della sicurezza per via degli incidenti di sicurezza molto pubblicizzati sui media e dalle richieste di aderenza a leggi e regolamenti (compliance).


clusit
Fig 3: Sensibilità al tema della sicurezza

Il campione, a fronte di una domanda sulle motivazioni aziendali rispetto all’adozione di misure di sicurezza, indica in maniera assolutamente paritetica il rischio (47,7%) e la compliance (48%), ovvero si investe in sicurezza per “l’esigenza di assicurare la compliance rispetto a leggi e normative di sicurezza” e per “l’esigenza di ridurre il rischio di business dovuto a perdita di dati, frodi etc.”. La stessa proporzione si riscontra anche separando le grandi aziende dalle piccole e medie, mentre le aziende bancarie sono leggermente maggiormente sensibili al rischio e quelle in ambito telecomunicazione alla compliance. Sempre ininfluente la percentuale di quelli che ritengono si faccia per “l’esigenza di ridurre il rischio di compromettere l’immagine aziendale” (4%); e questo nonostante sia l’Europa sia l’Italia con alcuni provvedimenti per alcuni specifici settori, richiederà o richiede la notifica obbligatoria di eventuali perdite di dati personali alle autorità e alle persone danneggiate (il cosidetto “data breach notification act”).

Come già menzionato (Fig. 1), più del 50% dei rispondenti si trova più frequentemente ad adottare soluzioni di sicurezza di “tipo architetturale messe a fattor comune fra più progetti”. A questi si uniscono un 23% che “adotta in maniera più o meno paritetica le soluzioni messe in comune e quelle a livello di singolo progetto”. Tale significativa maggioranza indica che le aziende hanno creato una sovrastruttura di sicurezza alla quale i progetti devono far riferimento, e, come è facile intuire, gli autori di questo report la reputano una buona notizia. É infatti oneroso e faticoso realizzare la security ogni volta, progetto per progetto. É sicuramente più efficiente lavorare a livello architetturale. A fronte di un dato certamente positivo, troviamo un 52% che segnala, sia la necessità di “implementare dei requisiti di sicurezza in corso d’opera” (31%) che quella di dover operare tale intervento “dopo il rilascio del prodotto/servizio” (21%). La nostra interpretazione è che le soluzioni architetturali siano di recente adozione e comunque non sufficienti a coprire tutti i requisiti di sicurezza costringendo, in certi casi, a delle rilavorazioni onerose.
Il 55% dei rispondenti attribuisce al cliente/committente una certa insensibilità rispetto alla sicurezza. Alla domanda “nell’ambito dei progetti a lei affidati, in che misura i tempi e i costi necessari per implementare i requisiti di sicurezza ICT sono stati riconosciuti dal cliente/committente?” il 14% ha risposto “per nulla”, il 42% “molto limitatamente”, di converso il 44% è invece soddisfatto e un singolo isolato caso, che ci piacerebbe conoscere, ha dichiarato di aver osservato tale riconoscimento “oltre le normali aspettative”. A parte le facili battute, su questa tematica si innesta la ricorrente controversia relativa ai cosiddetti “requisiti non funzionali”, su cui le specifiche di progetto sono spesso formulate in maniera lacunosa dal committente e, a volte, non chiarite preventivamente e quindi negoziate dal fornitore della soluzione.

In aggiunta a quanto appena argomentato e a parziale scarico di responsabilità del committente, il fattore ritenuto più importante dal Project Manager per “soddisfare i requisiti di sicurezza ICT” è la “disponibilità delle competenze necessarie all’interno del team di progetto” (44%) mentre rimane solo al secondo posto “negoziare tempi e costi adeguati per implementare i requisiti di sicurezza ICT” (28%). A nostro avviso, tale indicazione rappresenta un’ulteriore conferma di quanto sia determinante la capacità di azione collettiva del team e di come il PM possa giocare un ruolo centrale nel “supportare il project team sensibilizzandolo sull’importanza della sicurezza ICT” (23)%. Tale percentuale, se raffrontata con quella riferita alla necessità di “controllare costantemente l’operato del team valutandone i risultati prodotti” (5%) dà la misura di come il “leading by example” sia ritenuto molto più efficace del “leading by control”.

Sul tema dell’importanza della formazione specifica di sicurezza per lo stesso Project Manager, quasi il 42% del campione la ritiene “molto importante per ricoprire al meglio il ruolo”, il 51% la ritiene “utile ma non indispensabile” e solo il 7% la ritiene non essenziale in quanto essere un tema specialistico. In questo caso, si tratta di un dato più difficile da decifrare e per il quale possiamo azzardare l’ipotesi che presupposti diversi abbiano generato una tale risposta, ovvero: da una parte, quello di chi considera la sensibilità alla sicurezza come un tema più “culturale” su cui il PM può dare un contributo significativo; dall’altra, quella di chi ne vede soprattutto l’aspetto tecnico e quindi la sua estraneità rispetto al ruolo manageriale del PM. Ovviamente, il nostro auspicio che i primi prevalgano sempre più sui secondi. Il tema della Security by Design non poteva essere affrontato senza andare un po’ nel dettaglio di quali effettive misure fossero poi implementate, ma le risposte alla semplice domanda,a risposta multipla con fino a 4 scelte, “nell’ambito dei progetti a lei affidati, quali tipi di soluzioni di sicurezza si è trovato ad implementare?” offrono uno scenario articolato e soggetto a differenti interpretazioni. Proviamo a farlo utilizzando la tabella seguente.
Nell’ultima colonna è riportato quante volte quella specifica misura è stata indicata dai rispondenti (ad esempio 217 per il controllo accessi); nelle colonne precedenti è riportato il numero totale di altre misure scelte insieme a quella della specifica riga. Per esempio 26 persone hanno scelto un’altra misura oltre al controllo accessi.

Il controllo accessi, strong authentication, identity federation, single sign on eccetera, ovvero tutte le tecnologie per assicurarsi dell’identità degli utilizzatori dei sistemi e per restringere la quantità dei dati accedibili si piazza con 217 risposte nettamente al primo posto, praticamente il 75% dei rispondenti ha dichiarato di aver adottato questa misura. Tale numero va però interpretato. Infatti il controllo accessi è ampiamente diffuso in tutti i sistemi, non esiste praticamente più alcuna applicazione che non richieda almeno una coppia di utente e password per permettere l’accesso alle sue funzionalità. Quello che può però cambiare da un punto di vista tecnico è il modo in cui si effettua il processo di autenticazione: la verifica dell’utente viene svolta dentro l’applicazione oppure da del middleware specializzato? In questo secondo caso si potrebbe parlare di Security by Design mentre non nel primo.

Il secondo insieme di misure riguarda la caratteristica della Disponibilità, stiamo parlando del “Backup, ridondanze eccetera” che segue con 160 risposte.
Questa indicazione non ci sorprende: il tema della disponibilità del dato è ormai ben conosciuto dalle aziende e la sua mancanza è immediatamente visibile al top management; di conseguenza negli anni sono stati realizzati diversi investimenti in tale area. Diverso è il caso della Riservatezza che implicherebbe una serie di misure tra le quali la “cifratura del dato a riposo e/o della trasmissione” (92) o dell’Integrità con, per esempio il “logging, auditing, cruscotti e allarmi.. ” (93). Per queste caratterstiche e le relative misure gli autori si aspettano nel prossimo futuro una crescita di attenzione che speriamo di misurare il prossimo anno (Fig. 4).

Conclusioni
Avendo anticipato nelle premesse una visione ottimista circa le prospettive future emerse da questa indagine, non possiamo che ribadire come l’importanza del “Security by Design” sia stata ampiamente riconosciuta dalla popolazione dei project manager coinvolti. Detto questo, vorremmo concludere con delle osservazioni che derivano da una lettura più profonda di alcune delle risposte che sono state date.

In primo luogo, la criticità evidenziata relativamente ai requisiti di sicurezza ci deve sensibilizzare sul fatto che la debolezza e quindi la vulnerabilità di una soluzione deriva molto spesso dalla mancanza di un approccio di tipo “sistemico” per quanto attiene all’identificazione degli stakeholder, al disegno dell’architettura, all’integrazione delle competenze, alla mediazione fra gli interessi in gioco e quindi al rapporto stesso fra cliente e fornitore.


clusit
Fig 4: Adozione delle misure di sicurezza – Rapporto Clusit 2014 sulla Sicurezza ICT in Italia


Come sappiamo, rispetto a questo fenomeno non sono certo estranei l’utilizzo spinto dell’outsourcing, la parcellizzazione dei ruoli e delle responsabilità, la compressione dei costi e le rigidità contrattuali che spesso influenzano l’impostazione stessa del piano e dell’organizzazione progettuale.

In secondo luogo, le sottolineature relative alle competenze del team e al ruolo centrale del PM quale elemento di sensibilizzazione sul tema della sicurezza, non fanno che dimostrare come la performance progettuale sia basata su una formula molto semplice, che vede al numeratore il prodotto di due fattori, hard skills e soft skills, rispetto ai quali le buone prassi e soprattutto l’ambiente di lavoro devono contribuire, sia come facilitatori dell’azione collettiva, che come “riduttori di complessità”.
Ci piace infine ricordare che l’evento organizzato dal PMI-NIC nel febbraio del 2013 in collaborazione con Clusit, ha stabilito il record assoluto di presenze sfiorando i 400 partecipanti. Tutto ciò, al di là delle evidenze statistiche analizzate in questo survey, è comunque di buon auspicio per un futuro in cui le organizzazioni riconoscano al tema della sicurezza ICT tutta l’importanza e l’attenzione che merita.

a cura di Walter Ginevri e Alessandro Vallega

#ICT
Condividi questo articolo su:
Articoli correlati
Domenico Favuzzi Presidente e AD Gruppo Exprivia
Attualità

Exprivia completa l’acquisizione del Gruppo Present: 4.000 dipendenti e presenza in tutta Italia

Exprivia S.p.A. ha perfezionato il closing per l’acquisizione del Gruppo Present: nasce così un player ICT strategico per la trasformazione digitale del Paese, con 4.000 dipendenti e una presenza capillare...
27 Febbraio 2025 - Redazione
Exprivia acquisisce Gruppo Present
Attualità

L’integrazione di Exprivia e Present, un nuovo polo dell’ICT

Exprivia, gruppo internazionale specializzato in ICT, annuncia l’acquisizione del 100% del capitale del Gruppo Present. L’operazione rappresenta un passo importante nel percorso di crescita per linee esterne previsto dal piano...
13 Dicembre 2024 - Redazione
ELAN all'ADRIA Security Summit 2024
Attualità

ELAN ad Adria Security Summit 2024

Come ormai consuetudine, ELAN anche quest’anno partecipa ad Adria Security Summit, la fiera annuale di riferimento della regione Adriatica e dei Balcani per il settore Sicurezza, Automazione, Smart Solutions, ICT...
3 Ottobre 2024 - Redazione
Altre news da: Cybersecurity
Minacce AI cybersecurity
Cybersecurity

Minacce AI: il maggiore rischio cyber per le aziende nel 2025

Due terzi delle aziende in Europa, precisamente il 66%, considerano le minacce AI il maggiore rischio cyber per il loro business nel 2025, con i settori finanziario e dei servizi...
22 Aprile 2025 - Redazione
IBM X-Force Threat Intelligence Index 2025
Cybersecurity

IBM X-Force Threat Index 2025: furto di credenziali su larga scala si intensifica

L’X-Force Threat Intelligence Index 2025 pubblicato da IBM evidenzia che i criminali informatici hanno continuato a orientarsi verso tattiche più furtive, con un aumento dei furti di credenziali di basso...
18 Aprile 2025 - Redazione
Resilienza informatica
Cybersecurity

Complessità dell’infrastruttura IT ostacolo per la resilienza informatica

Secondo la nuova ricerca “Unlock the Resilience Factor” di Zscaler, la complessità delle infrastrutture IT e di sicurezza è indicata come il principale ostacolo al raggiungimento della resilienza informatica, e...
15 Aprile 2025 - Redazione

RIVISTA

Scarica l’ultimo numero in versione PDF.

Fiere ed eventi

S NewsLetter

Rimani sempre aggiornato sulle ultime novità della sicurezza.

Ho letto e compreso la vostra privacy policy.