Cosa c’entra la sicurezza delle informazioni con una cipolla? Oh beh, c’entra eccome! Impariamo insieme un metodo semplice ma efficace per individuare le migliori misure di sicurezza.
In un recente evento, di cui sono stato relatore sul tema dei rischi online per i minori, ho parlato ovviamente di sicurezza delle informazioni e ho scelto di rappresentarla attraverso l’immagine di una cipolla. Sicurezza in profondità (nel nostro gergo “Defense-in-Depth”), questo era l’argomento specifico: la migliore sicurezza è quella attuata su più livelli.
Quando mi chiedono un parere a fronte di un problema di sicurezza, spesso e volentieri l’interlocutore si aspetta che io proferisca il nome del prodotto o di quella strabiliante tecnologia che risolverà tutti i problemi di sicurezza lamentati in un battito di ciglia. Altrettanto spesso, sono costretto a deludere le attese.
La tecnologia, infatti, soffre da sempre, e sempre più spesso, di un grosso problema: non è mai affidabile al 100%. Difetti di progettazione, errori di programmazione, vulnerabilità, codice malevolo e backdoor costituiscono il tallone d’Achille di qualsiasi tecnologia. Inoltre, più una tecnologia è complessa e zeppa di funzionalità, maggiore è la probabilità che sia inaffidabile. Keep it simple è una massima del settore: più una cosa è semplice, maggiori sono le chance di scovarne le vulnerabilità, di metterla in sicurezza e di proteggerla come si deve. Per quanto mi riguarda, la tecnologia di sicurezza è relegata ad una semplice funzione di supporto per operazioni di prevenzione, rilevazione, controllo e monitoraggio, ed è solo uno dei tanti livelli di protezione cui bisogna affidarsi.
Partendo dall’idea di una cipolla, quindi, il cuore interno rappresenta ciò che vogliamo proteggere, un bene particolarmente critico o le nostre informazioni private e sensibili. La sicurezza delle informazioni, ad esempio, è così definita poiché mette sempre al centro della cipolla le informazioni aziendali critiche. Tutti gli altri strati della cipolla, dall’interno fino alla scorza esterna, rappresentano i livelli di protezione che dobbiamo implementare per prevenire intrusioni, furti o danneggiamenti del punto più interno.
L’errore più frequente che molti commettono è quello di fermarsi ad uno o due strati tipicamente tecnologici, ad esempio un firewall e un sistema di controllo degli accessi, punto. Quanto basta per alimentare un falso senso di sicurezza nello sprovveduto proprietario delle informazioni critiche da proteggere. Ma i firewall si neutralizzano e si bypassano, un sistema di controllo accessi è vulnerabile ad una lunga serie di attacchi, dal social engineering al furto di credenziali, agli attacchi brute force. Anche qualora si pensasse all’introduzione di un sistema di log per verificare eventuali tentativi di accesso non autorizzato, spesso e volentieri ci si dimentica di proteggerlo in accesso e in modifica, rendendo anch’esso vulnerabile a intrusioni e modifiche non autorizzate. Inoltre, qualsiasi strumento tecnologico di sicurezza è inesorabilmente soggetto ad una terribile piaga: l’errore umano, che è spesso dovuto alla scarsa consapevolezza ed educazione dell’utente in termini di sicurezza e che in molti casi aggira e rende del tutto inefficaci le misure tecnologiche di protezione.
Il punto sul quale mi batto costantemente è che la sicurezza non parte dalla tecnologia, ma dalle persone. Gli aspetti più importanti della sicurezza sono legati alla consapevolezza delle persone (gli utenti), alle misure operative da attuare tutti i giorni e ai giusti comportamenti da adottare. Un insieme fondamentale che non è possibile comprare a scatola chiusa in un negozio di informatica, esso richiede la definizione, la stesura, la pubblicazione e l’applicazione di politiche di sicurezza, di procedure e processi a supporto, di standard comportamentali da fare assimilare alle persone che trattano informazioni.
Elemento ancora più importante è l’attuazione di un piano programmatico di formazione, educazione e trasferimento di consapevolezza che indirizzi al meglio i più importanti aspetti sociologici, psicologici e comportamentali, per indurre le persone ad attuare in maniera automatica, senza forzature, una corretta e sicura condotta a salvaguardia delle informazioni e dei beni aziendali. Molto importante è focalizzare la formazione e l’addestramento sulla conoscenza approfondita di ciò che si vuole proteggere, perché non è possibile proteggere adeguatamente qualcosa che non si conosce abbastanza. Manuali d’istruzione, guide e letteratura tecnica devono diventare il pane quotidiano per gli esperti di sicurezza che si assumono la responsabilità di proteggere informazioni, piattaforme software, basi dati e altre tipologie di asset aziendali.
Consapevolezza, educazione, formazione, politiche, processi, procedure, standard e linee guida sono diversi livelli di protezione che si aggiungono a quelli prettamente tecnologici, creando ulteriori strati nell’infrastruttura di sicurezza e andando a tamponare o prevenire eventuali falle di tipo tecnico. Solo così un firewall o un sistema di controllo accessi avranno maggiori possibilità di essere configurati e gestiti al meglio, mentre la gestione delle informazioni avverrà in maniera più consapevole ed accorta, rendendo vana la maggior parte delle intrusioni e degli attacchi informatici dovuti a carenze tecnologiche. Qualora la tecnologia fallisca, sarà la consapevolezza di sicurezza dell’utente a consentire la rilevazione e la soluzione del problema. Viceversa, qualora si verificasse un errore umano o un errato comportamento dell’utente, la tecnologia consentirà di tamponare le eventuali conseguenze.
Questi criteri sono certamente validi in ambito aziendale, ma lo sono altrettanto anche in ambito personale privato. Anche i computer domestici e i dispositivi digitali mobili soffrono di difetti, vulnerabilità e malware, esattamente come i sistemi aziendali. Oggi uno smartphone privato contiene molti più dati sensibili di un normale computer domestico, foto private proprie, dei propri figli e famigliari, di terzi, oppure sessioni costantemente aperte su social media, sistemi di messaggistica (posta elettronica e instant messaging) e servizi di cloud computing (Google Drive, Dropbox, iCloud, Mega, ecc.). Come tutti i dispositivi di piccolo e medio formato, smartphone e tablet sono soggetti ad un elevato rischio di sottrazione, smarrimento ed intrusione.
Se l’utente di uno smartphone è consapevole che determinati dati sensibili non vanno conservati a lungo all’interno del dispositivo, o che le sessioni dei social media e dei servizi cloud devono essere chiuse ad ogni utilizzo oppure deve essere cambiate le credenziali d’accesso immediatamente in caso di furto o smarrimento, allora qualsiasi evenienza negativa potrà essere assorbita senza particolari danni. Leggere i manuali di istruzioni e le guide allegate, consultare le risorse online sui temi di sicurezza delle informazioni personali, intrusioni, frodi, fughe di informazioni e vulnerabilità dei propri dispositivi è un punto di partenza fondamentale, oltre che saggio.
Conoscere per proteggere, questa è la giusta chiave. Conoscere le proprie informazioni personali critiche e sensibili, conoscere i propri dispositivi informatici, le loro funzionalità e i loro meccanismi. Conoscere le minacce e le vulnerabilità cui essi sono soggetti. Conoscere i migliori strumenti di protezione. Conoscere i sintomi di un’intrusione o di un’infezione in corso. Conoscere le migliori pratiche di sicurezza e i giusti comportamenti di prevenzione. Conoscere sé stessi. La conoscenza non deve limitarsi al semplice uso, altrimenti mettiamo le nostre informazioni, la nostra vita a disposizione di chiunque voglia appropriarsene o sfruttarle per gli scopi più disparati.
Ecco qual è il significato della cipolla: ogni volta che abbiamo qualcosa da proteggere, e lo abbiamo di certo, immaginiamo la sezione di una cipolla e poniamo l’elemento da proteggere al centro. Poi, pensiamo a quali misure tecnologiche, organizzative, formative e comportamentali vogliamo posizionare nei vari strati per proteggerlo al meglio, bilanciando le soluzioni e ponendo sempre in primo piano gli elementi non tecnologici: conoscenza, consapevolezza, formazione, educazione, comportamento. Solo dopo potremo pensare a quali soluzioni tecnologiche adottare per coprire le eventuali zone scoperte.
Il metodo della cipolla: un metodo semplice che consentirà ottimi risultati.
Ettore Guarnaccia
Trackback / Ping