Sicurezza informatica

L’infosfera e la sicurezza dei dati: rischio, ISO/IEC 27001 e fattore umano

Cosa fare per mettere al sicuro il patrimonio informativo? Il primo passo è un’analisi del rischio, che permetta di comprendere la sua consistenza, quindi di identificare, analizzare, ponderare (misurare) e trattare il rischio

14 Set 2020

Manuel Angelo Salvi

DPO & Standards consultant presso GRC Team S.r.l.

Cosa si può fare per mettere al sicuro il patrimonio informativo? La risposta è: progettare un piano di gestione del rischio e implementarlo. Senza i nostri dati oggi saremmo persi. Senza immagini e foto digitali la nostra memoria sarebbe danneggiata, senza i nostri archivi digitali il nostro lavoro di anni sparirebbe, senza contatti mail e telefonici la nostra capacità di interagire sarebbe compromessa.

Ma cosa accadrebbe se questo infinito patrimonio di dati fosse sempre accessibile a chiunque senza alcuna limitazione?

Risk Treatment Plan

Il primo passo per prendere consapevolezza del patrimonio informatico è un’analisi del rischio, che permetta di comprendere innanzitutto la sua consistenza e quindi di identificare, analizzare, ponderare (misurare) e trattare il rischio.

Identificazione del rischio

L’identificazione del rischio è il processo di individuazione, riconoscimento e descrizione del rischio. Si tratta di identificare asset, minacce e vulnerabilità e correlarli fra loro.

Gli asset sono le risorse, i beni, il patrimonio. Mentre quelle fisiche, come uno stabilimento e un macchinario sono immediatamente individuabili, quelle digitali spesso intangibili o non immediatamente visibili, rimangono sovente nascoste alla nostra attenzione, anche se spesso sono più critiche o necessarie di quelle fisiche. Una delle attività basiche di qualsiasi gestione oculata del proprio patrimonio informativo dovrebbe infatti essere la redazione di un registro delle risorse informatiche che identifichi le risorse IT e le classifichi per tipologia e posizione. Le risorse sono le informazioni digitali, il software e hardware, i server fisici e virtuali, le applicazioni, gli end-point (pc, smartphone, tablet, hard disk portatili, etc), la rete informatica stessa e le sue apparecchiature.

La minaccia è la causa potenziale di un incidente, che può comportare danni a un sistema o all’organizzazione. L’incidente è un evento o serie di eventi, non voluti e/o inattesi, relativi alla sicurezza delle informazioni, che hanno una probabilità significativa di compromettere le attività e di minacciare la sicurezza delle informazioni.

Le vulnerabilità sono la debolezza di un asset o di un controllo di sicurezza, che può essere sfruttata da una o più minacce.

Analisi del rischio

L’analisi del rischio è il processo di comprensione della natura del rischio e di determinazione del livello di rischio.

Se la fase di identificazione del rischio si prefigurava di individuare gli elementi che compongono la nostra equazione (asset, minacce e vulnerabilità), la fase di analisi del rischio si pone l’obiettivo di assegnare loro dei valori oggettivi e ripetibili.

Il livello di rischio è la grandezza di un rischio espresso come combinazione delle sue conseguenze e della loro verosimiglianza/probabilità.

Ma quali sono i parametri su sui valutare il rischio?

  • il contesto;
  • l’asset e il suo valore, da cui dipende l’impatto;
  • la minaccia e la sua verosimiglianza o probabilità;

le vulnerabilità e la loro gravità o i controlli di sicurezza e la loro robustezza.

Una volta calcolato il livello di rischio, è necessario prendere delle decisioni (ponderazione del rischio) per affrontarlo o trattarlo ipotizzando misure per prevenirlo o ridurne il potenziale impatto.

Ponderazione del rischio

La ponderazione del rischio (risk evaluation) è il processo di comparazione dei risultati dell’analisi del rischio rispetto ai criteri di rischio, per determinare se il rischio è accettabile o tollerabile.

I criteri prestabiliti potrebbero essere un livello di sicurezza minimo stabilito, oppure un rischio considerato accettabile (compromesso fra il rischio di impresa e la sua economicità); o creare dei controlli compensativi efficaci; o dare priorità ai rischi più elevati o alle minacce le cui conseguenze potrebbero compromettere la sostenibilità dell’organizzazione.

WHITEPAPER
Quali sono i mobile malware più diffusi?
Mobility
Cybersecurity

Si potrebbero ordinare i rischi dal più elevato al meno elevato e cominciare a intervenire partendo dai rischi ritenuti inaccettabili, e via via nel tempo scendendo lungo la lista, finché non vi saranno altro che rischi accettabili (Rischio residuo).

Trattamento del rischio

Terminata la fase di Risk Assessment si procede al trattamento del rischio, il processo per modificare il rischio, che comprende numerose ipotesi quali:

  • evitare il rischio decidendo di rinunciare all’attività (es: vendita di ramo d’azienda, a causa di minacce e/o opportunità).
  • accettare il rischio anche a fronte di controlli di sicurezza ritenuti eccessivamente onerosi (es: la duplicazione esatta e non parziale di tutti i sistemi informatici in un sito di disaster recovery).
  • modificare la probabilità di accadimento, aggiungendo o migliorando i controlli di prevenzione e di rilevazione.
  • modificare le conseguenze intervenendo non verso la minaccia ma verso il contenimento del danno (es: i backup).
  • condividere il rischio con altri soggetti, esternalizzandoli presso un fornitore (es: fornitori esterni; polizze assicurative).
  • mantenere il rischio valutando di non fare nulla, qualora la probabilità di accadimento sia talmente bassa da rendere i benefici di ogni azione non rilevanti; oppure qualora il costo per nuovi controlli di sicurezza sia sproporzionato.

L’insieme di tutte le decisioni prese, rischio per rischio, é il Piano di trattamento del rischio – Risk Treatment Plan.

Come utilizzare la ISO / IEC 27001

Secondo un report di BSI British Standards Institution “la 27001” Information Security Management Systems (ISMS) consente di abbattere il rischio del 75%.

La sicurezza del patrimonio informativo purtroppo non è solo una mera questione di cybersecurity. Non sarà sufficiente ingaggiare il miglior ethical hacker su piazza per essere al sicuro o investire come dichiarato dall’Ad di Microsoft S. Nadella 1 miliardo di dollari ogni anno in sicurezza informatica.

Il fattore umano infatti in tema di sicurezza è ancora oggi la più grande minaccia per la infrastruttura e “la 27001” abbatte questo specifico rischio del 50%.

Il Sistema di Gestione per la Sicurezza delle Informazioni – SGSI è lo strumento pensato e realizzato per prevenire e difendere il patrimonio informativo. Quante volte mi sono imbattuto in questi anni in imprenditori che dicevano: “Mi serve solo la certificazione. Ci pensate voi a preparare i documenti?”

Il “bollino” per migliorare la propria immagine sul mercato è una legittima richiesta ma pensare che lo standard sia una sovrastruttura burocratica priva di valore è un grossolano fraintendimento, tipico di chi o non ha capito cosa sia uno standard o di chi nella propria miopia è convinto di non aver nulla da apprendere. Implementare un Sistema di Gestione “fake” redigendo della documentazione perfetta dal punto di vista teorico, ma poi non utilizzata dall’organizzazione è un sovra-costo e una perdita di competitività.

Introdurre delle politiche per la sicurezza delle informazioni (linee guida e regolamenti) pensate e redatte coniugando best practice internazionali con la tua struttura organizzativa, significa migliorare comportamenti e abitudini del tuo personale rendendole più sicuri e efficienti. Come tutti i cambiamenti comporterà qualche difficoltà ma libererà energie nuove.

Ripensare e definire ruoli e responsabilità, introducendo una corretta segregazione delle informazioni, non solo proteggerà il patrimonio informativo da errori o doli ma instraderà l’organizzazione verso un percorso di miglioramento continuo. Rimanere costantemente in contatto con le autorità o con gruppi/associazioni professionali sulla sicurezza delle informazioni, permetterà alla tua organizzazione di restare al passo con la febbrile evoluzione delle minacce.

Gestire lo smartworking e le sue numerose criticità in maniera consapevole e non improvvisata come accaduto a molti a causa del Covid-19, in un mondo che non sarà più uguale a quello di prima, è necessario. Se la tua organizzazione avesse implementato pienamente la ISO 27001, le problematiche legate a connettività, protezione degli end-point, autentificazione degli utenti (Identity & Access Management) sarebbero state affrontate da tempo.

Strutturare un sistema che metta al sicuro da una delle più gravi minacce a una organizzazione, il fattore umano, è fondamentale. Prima, durante e alla cessazione del rapporto di lavoro, è utile istituire dei momenti di controllo. Effettuare uno screening sul background del candidato e sulla sua reale percezione del rischio, così come strutturare adeguate clausole in materia di data security sono il primo passo imprescindibile di un rapporto di lavoro nell’era dell’informazione. Responsabilità, consapevolezza, istruzione, formazione e addestramento non possono essere solo slogan ma devono essere supportate da budget e un piano d’implementazione di tali attività. Istituire un processo disciplinare formale e comunicato, darà forza e concretezza rendendo reali policy e procedure. Definire anche solo una check list delle attività e controlli da svolgere al termine della cessazione del rapporto di lavoro è cosa di buon senso ma raramente messa in pratica.

Dell’importanza della gestione degli asset è stato già detto ma un inventario compilato e mantenuto aggiornato, con un responsabile dedicato, così come regole d’utilizzo e di restituzione ti proteggeranno da alcune delle le più comuni vulnerabilità.

Il controllo degli accessi soprattutto oggi in cui stiamo migrando da un modello di sicurezza basato sulla protezione del perimetro verso soluzioni che mirano ad autenticare l’utente (Identity e Access Management) è fondamentale. Garantire l’accesso alle informazioni e risorse corrette da parte delle persone giuste dovrebbe essere una priorità per qualsiasi organizzazione. Strutturare un sistema di Log-on sicure, una policy delle password e sfruttare al massimo i numerosi strumenti presenti sul mercato per gestire e monitorare le diverse funzioni di accesso non è più rimandabile.

Relativamente alla sicurezza fisica e ambientale è utile verificare la tenuta del perimetro fisico, degli ambienti interni comprese le aree di carico e scarico. Per le apparecchiature, possibile tallone d’Achille di qualsiasi organizzazione, molto si può fare per prevenire la perdita, il danneggiamento, il furto o la loro compromissione.

Prendendo in considerazione la sicurezza delle attività operative è necessario assicurarsi che queste siano documentate e controllate. Malware, back up, registrazioni dei log, vulnerabilità, limitazioni all’installazione di software sono solo alcuni degli elementi da prendere in considerazione per assicurarsi che le attività operative siano messe in piena sicurezza.

La sicurezza delle comunicazioni, la manutenzione dei sistemi, le relazioni con i fornitori, una policy di gestione degli incidenti sono tutti elementi che attraverso l’implementazione di un sistema di gestione ISO / IEC 27001 andrai a sviscerare e a mettere in sicurezza.

Il fattore umano

Hai analizzato la tua situazione, hai individuato il rischio, steso policy e procedure per mitigarlo, ti sei certificato e esperti del settore hanno confermato la bontà della tua strategia ma esiste ancora una falla: tu… e le persone che ti circondano.

Sappiamo tutti che oltre l’80% degli incidenti è attribuito all’errore umano. Non lo facciamo appositamente, ma siamo naturalmente distratti e prima o poi scivoliamo sulla classica buccia di banana.

Usabilità e accessibilità

Più la user experience dei nostri applicativi digitali è ben fatta e più noi scivoliamo di click in click. L’inerzia dettata dalla facilità d’uso ci rende superficiali e non ci incoraggia a essere cauti o diffidenti. Una webmail, che mi capita di usare, ha una fastidiosa impostazione per cui ogni primo invio mi dà un segnale di errore, costringendomi a ripetere l’invio pochi secondi dopo. Questa frizione della mia UX mi ha salvato più di una volta da una brutta figura, perchè se pur abituato mi costringe ogni volta a un piccolo ripensamento.

Cybersecurity skills

Le competenze in tema di sicurezza sono ovunque profondamente scarse. Così come il tuo RSPP organizza corsi e simulazione per evacuazione, procedure antincendio e via discorrendo, per garantire la salute e sicurezza dei lavoratori; così dovrebbe esserci una policy di continuo aggiornamento, formazione e informazione su quelle che sono le minacce alla tua sicurezza informatica. I cyber criminali ogni giorno si arrovellano per cercare un nuovo stratagemma per fregare qualche pollo ma noi spesso non facciamo nulla per evitare di essere quel pollo.

Procedure operative

Le persone hanno bisogno che venga detto loro cosa possono o cosa non possono fare. Stendere procedure operative riduce il numero e la tipologia di errore. La loro progettazione è delicata e deve essere fatta insieme a quelle stesse persone, che poi quotidianamente applicheranno le decisioni prese. Se la politica di sicurezza informatica sarà troppo severa, le persone troveranno soluzioni alternative, scorciatoie o boicotteranno l’applicazione dei passaggi più tediosi.

Conclusioni

In un mondo iper-connesso dove generiamo dati in ogni momento della giornata e dove ogni elemento della nostra attività lavorativa è data consumer e sempre più data driven, è fondamentale proteggere il nostro principale patrimonio, inteso come ricchezza, unicità e operatività ordinaria.

I dati sono la principale ricchezza. Qualunque sia l’attività immagina di accendere i tuoi sistemi domattina e che questi non rispondano, immagina che tutti i tuoi supporti di memoria siano stati azzerati, immagina che tutta la tua produzione digitale fino a oggi sia resa un “blank sheet”. In termini economici quanto costerebbe?

I dati sono l’unicità. Quanto impiegheresti a ricostruire e riscrivere quel foglio bianco che ti ritroveresti a guardare dopo l’immane catastrofe descritta? E soprattutto anche dopo averlo ricostruito da zero quanto saresti stato realmente in grado di ripristinarlo? Quanti dati, elementi, progetti, lavori, esperienza si sarebbe vaporizzata per sempre? Dopo questa ricostruzione tu e il tuo business sareste quelli di prima o una sua versione diversa e depauperata?

I dati sono l’operatività ordinaria. Quanto tempo impiegheresti a ripristinare la tua operatività ordinaria dopo l’azzeramento del patrimonio informativo?

@RIPRODUZIONE RISERVATA
S
Manuel Angelo Salvi
DPO & Standards consultant presso GRC Team S.r.l.

Articolo 1 di 5