Molto spesso, nell’esporre alcuni ostici concetti relativi alla cyber security, mi ritrovo a fare delle analogie con alcune pratiche mediche. Devo confessare che la presenza di termini condivisi aiuta molto, provate a pensare ai termini quali infezione, virus, attacco, protezione, analisi: vengono comunemente utilizzati sia in ambito medico che in ambito cyber security.
Gli studi medici, nel corso degli anni, sono riusciti a individuare, per le diverse categorie di individui, quali sono i parametri entro i quali determinati valori devono restare per poter escludere, con una ragionevole certezza, tutta una serie di patologie.
Se dovessimo paragonare il concetto di security posture ad una pratica medica, mi sentirei abbastanza tranquillo nell’associarlo ai risultati di un’analisi clinica
Grazie alle moderne tecnologie, la medicina è in grado di verificare i valori del nostro organismo e, mettendoli a paragone con i parametri standard, stabilire se esistono gli estremi per intervenire o approfondire.
Allo stesso modo la security posture è il risultato di un’analisi (risk assessment) che restituisce una valutazione per tutti gli ambiti della cyber security analizzati e li mette a confronto con quelli che sono i parametri tipici della specifica tipologia di azienda (standard di sicurezza di riferimento) per capire se è necessario intervenire (applicando delle remediation).
Le continue scoperte in campo medico mettono a disposizione nuovi tipi di analisi per permettere un più preciso controllo dello stato di salute, allo stesso il processo di risk assessment deve essere eseguito con regolarità per garantire che la security posture sia adeguata alle nuove minacce di sicurezza.
Security posture e standard di sicurezza di riferimento
Provate a pensare di ritrovarvi in una città sconosciuta con una mappa in mano e la necessità di recarvi in un determinato punto. Se non riuscite a identificare sulla mappa il punto in cui vi trovate, prima ancora di quello verso cui siete diretti, la mappa stessa risulterà inutile.
Il processo che dovrebbe governare la cybersecurity è diverso da azienda ad azienda. Ad esempio, un ente pubblico ha un’esposizione di rischio diversa da una banca, e gli stessi enti pubblici hanno livelli di rischio diverso a seconda della tipologia di dati che trattano (provate a pensare, ad esempio, ai dati che tratta una biblioteca rispetto a quelli di un ospedale)
Lo standard di sicurezza rappresenta di fatto l’obiettivo che l’azienda si pone di raggiungere in termini di cybersecurity mentre la security posture indica la posizione in cui l’azienda si trova rispetto allo standard di sicurezza di riferimento.
Per permettere ad ogni azienda di porsi un obiettivo adeguato al proprio profilo sono stati definiti, a livello internazionale, diversi standard di sicurezza (ISO27001, NIST, CIS), è quindi fondamentale, prima di definire il processo di cybersecurity aziendale, stabilire lo standard di sicurezza a cui fare riferimento.
Scegliere lo standard di sicurezza e eseguire il risk assessment
Nella nostra analogia medica abbiamo visto che il risk assessment può essere paragonato ad una serie di analisi cliniche finalizzate a stabilire lo stato di salute del paziente, tuttavia prima di eseguire le analisi è necessario decidere quali saranno le analisi da effettuare e questa decisione viene presa sulla tipologia di paziente.
Nel processo di cyber security la tipologia di analisi da effettuare corrisponde allo standard di sicurezza di riferimento. La scelta dello standard di sicurezza più adeguato all’azienda avviene tramite un processo di assessment finalizzato a comprendere la struttura aziendale in termini di esposizione al rischio. Il processo prevede la raccolta di informazioni quali dimensioni, tipologia di business, filiali, tipo di dati trattati ecc.
L’analisi dei dati permette di definire lo standard più adeguato e, come diretta conseguenza, il numero e la tipologia di controlli da effettuare. I controlli previsti dallo standard di sicurezza di riferimento definiscono di fatto i contenuti del risk assessment, che una volta portati a termine, restituisco l’immagine della security posture.
I controlli di sicurezza sono spesso suddivisi per ambiti così da focalizzare in modo più chiaro le aree su cui intervenire.
Stabilire il gap tra la security posture e lo standard di sicurezza
Ritornando al nostro esempio iniziale, il risultato del risk assessment ci ha fornito le indicazioni del punto in cui ci troviamo sulla mappa e il percorso da seguire per raggiungere la nostra destinazione, ovvero l’obiettivo.
Il percorso rappresenta a tutti gli effetti il processo che deve essere implementato per garantire che gli tutti gli aspetti relativi alla cybersecurity previsti dallo standard di sicurezza di riferimento vengano adeguatamente considerati e gestiti.
È naturale durante un viaggio controllare periodicamente se siamo sul percorso corretto, e di solito lo facciamo dividendo il nostro viaggio in tappe. Allo stesso modo il processo di gestione della cybersecurity è cosparso di punti intermedi rappresentate dai controlli dello standard di riferimento (gli stessi utilizzati durante il risk assessment), che ci aiutano ad assicurarci che il lavoro che stiamo facendo stia andando nella direzione giusta.
Cybersecurity un processo non uno strumento
Molto spesso di fronte ad un attacco cyber riuscito, le aziende vittime non si capacitano di come sia potuto accadere avendo implementato strumenti e investito capitali.
L’evidenza che quasi sempre emerge è che gli investimenti sono stati fatti con un approccio orientato allo strumento piuttosto che al processo. La differenza fondamentale è che l’approccio come processo prevede un controllo ricorsivo delle esposizioni al rischio per individuare le vulnerabilità vecchie e nuove, applicare i rimedi più adeguati e mantenere la security posture a livelli adeguati
Continuando con l’analogia medica iniziale, il processo di cyber security può essere visto come l’insieme di abitudini finalizzate a mantenere il nostro fisico in un buono stato di salute.
Tuttavia, praticare sport, avere un’alimentazione sana, sottoporsi a controlli sono comportamenti che devono essere svolti con continuità.
Allo stesso modo eseguire risk assessment, svolgere attività di formazione e informazione, mantenere aggiornati i sistemi di sicurezza, implementare nuove soluzioni ed effettuare test di esposizione alle vulnerabilità sono operazioni che devono essere approcciate in modo costante e ricorsivo al fine di evitare l’indebolimento della security posture.
