20 citazioni per spiegare l’information security

Se questo articolo ti è piaciuto, condividilo!

A volte spiegare in cosa consiste la sicurezza delle informazioni è arduo, perché non sempre si è in grado di racchiudere in una frase concetti piuttosto articolati e spesso non vi è nemmeno la necessità di farlo. Un concetto può benissimo essere condensato e rappresentato in una sola espressione ben costruita, a volte sotto forma di metafora, che colpisca il destinatario e gli faccia giungere comunque l’essenza del messaggio. Con questo articolo voglio provare a spiegare alcuni concetti fondamentali dell’information security sfruttando 20 citazioni famose sulla sicurezza, cercando di fornire una breve interpretazione a supporto di ognuna.

Il governo della sicurezza

Partiamo dal vertice della piramide, il governo della sicurezza:

1. “Security must begin at the top of an organization. It is a leadership issue and the Chief Executive must set the example” – Native Intelligence, Inc. (heard at a security conference).

La sicurezza deve partire dai vertici aziendali che devono essere i primi a dare l’esempio: concetto veritiero e fondamentale, ribadito anche dalla prossima citazione.

2. “A business will have good security if its corporate culture is correct. That depends on one thing: tone at the top. There will be no grassroots effort to overwhelm corporate neglect” – William “Bill” Malik, VP and Research Area Director for Information Security @ Gartner.

La cultura di sicurezza deve essere assolutamente radicata ai vertici aziendali e la sicurezza aziendale deve essere governata al meglio. Lo sforzo di sopraffare l’eventuale trascuratezza del top management non potrà mai venire dalla base della gerarchia aziendale.

3. “If you spend more on coffee than on information security, you will be hacked. What’s more, you deserve to be hacked” – Richard A. Clarke, White House Cybersecurity Advisor.

La sicurezza richiede adeguati investimenti per poter raggiungere gli obiettivi minimi di protezione dei beni e delle informazioni aziendali. L’ammontare degli investimenti in sicurezza non sempre comporta un proporzionale aumento dei livelli di sicurezza, ma è fondamentale che la sicurezza disponga sempre di un budget adeguato per svolgere il proprio ruolo. Chi non investe a sufficienza in sicurezza merita di restare vittima di un attacco informatico.

Sicurezza e tecnologia

La prossima citazione rende l’idea della grande differenza che oggi esiste fra i beni aziendali tangibili e le informazioni:

4. “Hardware is easy to protect: lock it in a room, chain it to a desk or buy a spare. Information poses more of a problem: it can exist in more than one place, be transported halfway across the planet in seconds and be stolen without your knowledge” – Bruce Schneier, Security Guru.

Mentre un bene aziendale tangibile può essere protetto fisicamente in maniera più o meno agevole, la protezione dei dati rappresenta un’importante sfida per l’azienda. Esse, infatti, possono esistere in più posti contemporaneamente, possono essere trasferite ovunque in un battito di ciglia ed essere sottratte senza che ci si possa accorgere del furto.

5. “The mantra of any good security engineer is: «Security is not a product, but a process». It’s more than designing strong cryptography into a system: it’s designing the entire system such that all security measures, including cryptography, work together” – Bruce Schneier.

Uno dei miei concetti preferiti: la sicurezza delle informazioni deve permeare qualsiasi elemento, bene o dato aziendale nella sua essenza. L’idea, ancora oggi troppo diffusa, che qualsiasi problema di sicurezza possa essere risolto con un apposito prodotto hardware o software è terribilmente sbagliata. L’approccio iniziale verso la sicurezza deve sempre consistere nell’adeguare i processi e solo in un secondo tempo nell’affiancare i necessari prodotti per supportare i processi opportunamente disegnati per la sicurezza.

6. “If you think technology can solve your security problems, then you don’t understand the problems and you don’t understand the technology” – Bruce Schneier.

Semplice e chiaro: la sicurezza delle informazioni deve diventare una vera e propria forma mentale che governi e sovrintenda tutti i processi. Il ricorso alla sola tecnologia non può contribuire in alcun modo a formare il giusto approccio alla sicurezza nella testa del singolo individuo.

Risk Management

Affrontiamo ora lo spinoso e poco compreso argomento del Risk Management, ovvero dell’analisi, della valutazione e della gestione dei rischi di sicurezza nonché, più in generale, del corretto approccio verso la sicurezza delle informazioni.

7. “Better be despised for too anxious apprehensions, than ruined by too confident security” – Edmund Burke, politico, filosofo e scrittore irlandese del XVIII secolo.

Ho voluto integrare questa citazione di vecchia data per introdurre un altro fondamentale concetto: ciò che ai neofiti e agli scettici può sembrare un eccesso di ansia ed apprensione, può invece essere un consapevole realismo sull’effettiva probabilità di accadimento di eventi di sicurezza potenzialmente dannosi. Il falso senso di sicurezza che l’adozione di strumenti e prodotti di sicurezza può generare nel top management è, infatti, uno dei peggiori pericoli.

8. “History has taught us: never underestimate the amount of money, time and effort someone will expend to thwart a security system. It’s always better to assume the worst. Assume your adversaries are better than they are. Assume science and technology will soon be able to do things they cannot yet. Give yourself a margin for error. Give yourself more security than you need today. When the unexpected happens, you’ll be glad you did” – Bruce Schneier.

Altra importante conferma al concetto precedente: la storia ci ha insegnato che è meglio non sottovalutare lo sforzo che qualcuno può fare per attaccare un sistema di sicurezza. È sempre meglio assumere lo scenario peggiore, valutare gli avversari meglio di ciò che appaiono, considerare che la sempre più rapida evoluzione di scienza e tecnologia possono consentire domani qualcosa che oggi sembra impensabile. Altro consiglio fondamentale: conservare un margine d’errore e mantenere il livello di sicurezza sempre un po’ più elevato rispetto al necessario. Tutto ciò consente di essere pronti ad affrontare eventi imprevisti e, sebbene non sempre sia possibile, è un valido approccio verso la sicurezza delle informazioni, in particolare nell’ambito specifico del Risk Management.

9. “More people are killed every year by pigs than by sharks, which shows you how good we are at evaluating risk” – Bruce Schneier.

Restando sempre in ambito Risk Management, prendo spunto da quest’altro brillante aforisma di Schneier per evidenziare un altro concetto che ritengo fondamentale: molto spesso il top management è convinto di conoscere perfettamente beni, informazioni e rischi della propria azienda, ma dopo una corretta analisi dei rischi spesso rimane sconcertato e scopre di aver avuto per anni una visione parziale e distorta. È proprio questo uno degli obiettivi fondamentali del Risk Management: consentire al management di conoscere al meglio la propria azienda, individuando con un sufficiente grado di certezza in quali contromisure investire e con quale priorità ed entità.

L’anello debole

In aggiunta al concetto precedentemente espresso in merito al ruolo secondario che la tecnologia e i prodotti assumono per la sicurezza, voglio porre l’attenzione su quello che è indiscutibilmente il ruolo di primo attore: le persone.

10. “People often represent the weakest link in the security chain and are chronically responsible for the failure of security systems” – Bruce Schneier dal libro “Secrets & Lies – Digital Security in a Networked World”.

L’anello debole della sicurezza è spesso rappresentato dalle persone che, inevitabilmente, sono quasi sempre responsabili del funzionamento inadeguato dei sistemi di sicurezza.

11. “Phishing is a major problem because there really is no patch for human stupidity” – Mike Danseglio, ex program manager di Microsoft Security Solutions Group.

Sebbene questa affermazione possa essere giudicata un po’ troppo penalizzante per il genere umano, il messaggio consiste nel ribadire l’importanza che le persone rivestono per la salvaguardia della sicurezza aziendale. Prodotti, strumenti e sistemi di sicurezza non possono sopperire alla capacità di discernimento dell’essere umano per la quale, purtroppo, non esistono ancora aggiornamenti.

Sicurezza informatica

Voglio affrontare, infine, l’ambito della sicurezza informatica, ovvero la protezione di sistemi, applicazioni e reti di telecomunicazione.

12. “Security in Information Technology is like locking your house or car: it doesn’t stop the bad guys but if it’s good enough they may move on to an easier target” – Paul Herbka, Presidente dell’ISSA Advisory Board.

Ovvero: la sicurezza informatica è come la serratura della propria auto o della porta di casa. Non può fermare i malintenzionati ma se è sufficientemente efficace può indurli a cercare un altro obiettivo più facile. Il giusto livello di sicurezza deve scaturire da un’attenta valutazione degli investimenti necessari e della reale efficacia che è in grado di offrire anche in comparazione con altri obiettivi di analoga appetibilità.

Ma esiste il sistema realmente e completamente sicuro? La risposta ci viene fornita dalle citazioni che seguono:

13. “You could stop the rest of your IT and pull all your resources into security for a year, and still not be 100% secure” – Owen O’Connor, Presidente del capitol irlandese dell’ISSA.

Insomma, il sistema assolutamente sicuro al 100% non esiste, pertanto il giusto livello di sicurezza è sempre costituito dal corretto bilanciamento di rischi, contromisure e investimenti.

14. “The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guards. And even then I have my doubts” – Eugene “Spaf” Spafford, Professore di Informatica alla Purdue University ed esperto di sicurezza informatica.

Poiché il sistema sicuro non esiste, bisogna sempre diffidare di colui che afferma che i suoi sistemi sono assolutamente sicuri, perché non conosce la sicurezza oppure è semplicemente un folle.

15. “In theory, one can build provably secure systems. In theory, theory can be applied to practice but, in practice, it can’t” – Marc Dacier, Docente dell’Eurecom Institute.

Sebbene qualche zelante teorico possa insistere nel provare che il sistema sicuro esiste e sia applicabile in pratica, in pratica ciò non è possibile.

16. “A secure system is one that does what it is supposed to do, and nothing more” – John B. Ippolito, CISSP e PMP di Native Intelligence, Inc.

Una definizione condivisibile di sistema sicuro, quanto pressoché irrealizzabile in ambito informatico.

17. “If you spent more on your GUI than on your security, you don’t have a secure application. Start preparing for the PR fallout of your website (or application) getting hacked now” – Dave Aitel, CTO di Immunity, Inc.

Un parametro semplice ma fondamentale per comprendere se un ambiente, un sistema o un’applicazione siano sufficientemente sicuri. Se la maggior parte degli sforzi sono stati indirizzati verso l’interfaccia grafica o altri elementi diversi dalla sicurezza, allora è inevitabile che il livello di sicurezza risultante non sarà adeguato.

18. “As security or firewall administrators, we’ve got basically the same concerns as plumbers: the size of the pipe, the contents of the pipe, making sure the correct traffic is in the correct pipes, and keeping the pipes from splitting and leaking all over the place. Of course, like plumbers, when the pipes do leak, we’re the ones responsible for cleaning up the mess, and we’re the ones who come up smelling awful…” – Marcus J. Ranum, esperto rinomato in disegno e implementazione di sistemi di sicurezza.

Una metafora interessante: gli amministratori di sicurezza equiparati agli idraulici. Con le stesse preoccupazioni degli idraulici: capacità e contenuto del tubo, assicurare che il traffico scorra nei tubi giusti e che i tubi non si rompano e perdano il contenuto. Come gli idraulici, quando il tubo perde, essi sono quelli responsabili di ripulire tutto e quelli che ritornano con addosso un terribile fetore.

19. “You can’t hold firewalls and intrusion detection systems (IDS) accountable. You can only hold people accountable” – Daryl J. White, Director e CFO di Imation Corp.

Quando un sistema di sicurezza non svolge accuratamente la propria funzione, la colpa e la responsabilità non sono mai del sistema stesso ma di chi l’ha configurato, gestito e amministrato. Per chiudere, una semplice affermazione inerente la disponibilità e l’integrità delle informazioni: