Un adeguato livello di sicurezza per la propria azienda è maggiormente ottenibile attraverso la piena conformità a leggi, regolamentazioni e standard di settore, oppure attraverso un’attenta valutazione delle minacce e dei rischi cui l’azienda è soggetta? Scopriamo insieme perché ottenere una piena conformità non significa automaticamente conseguire un adeguato livello di sicurezza.

Nel settore della sicurezza delle informazioni è possibile osservare due principali approcci: uno basato sulla conformità e uno su minacce e rischi (tralascio, ovviamente, i casi in cui l’approccio adottato è la navigazione a vista). Nel primo caso la sicurezza è indirizzata principalmente alla soddisfazione di una serie di norme di sicurezza necessarie per adempiere ad un obiettivo di compliance, ad esempio requisiti di leggi, regolamentazioni e normativa aziendale. Nel secondo caso, invece, la sicurezza viene attuata mediante l’implementazione di controlli a protezione delle informazioni come misura di prevenzione o reazione verso le minacce e i rischi che un’azienda deve fronteggiare.

Basare la sicurezza delle informazioni sulla conformità significa applicare uniformemente i controlli richiesti in tutti i settori aziendali, con il risultato che l’efficacia di ciascun singolo controllo è spesso ignota. Definire le contromisure di sicurezza in base a minacce e rischi, invece, prevede generalmente l’applicazione dei controlli secondo una scala di priorità, dettata dalle probabilità  di accadimento e dai possibili impatti che le minacce potrebbero avere sull’azienda qualora si verifichino.

Fra i due approcci c’è più o meno la stessa differenza tra la grande muraglia cinese e la strategia difensiva dei normanni. I cinesi costruirono una muraglia molto lunga che andava da un capo all’altro del confine del loro territorio, con l’obiettivo di tenere fuori tutti i possibili invasori. Una grande idea per l’epoca, che richiedeva però un grande quantità di volume di persone e infrastrutture per l’implementazione e il mantenimento, e le cui capacità difensive erano più o meno allo stesso livello per tutta la lunghezza della fortificazione. I normanni, invece, costruirono sul suolo britannico forti castelli con diversi strati di difesa, posizionandoli in luoghi strategici in cui le minacce erano maggiori e dove era più agevole proteggere i castelli vicini. In questo caso non erano previste difese in tutti i possibili punti di vulnerabilità, ma i luoghi in cui queste erano implementate risultavano molto ben protetti.

Entrambe le strategie difensive avevano i loro pro e contro, ed erano state ideate così per rispondere a specifiche circostanze di rischio che il difensore doveva fronteggiare. Ma qual è la strategia di protezione più adatta alla nostra azienda?

La sicurezza delle informazioni basata sulla compliance, se attuata correttamente, è forse il più vasto genere di difesa che un’azienda possa implementare. Il problema è che non sono molti i settori in cui esistono requisiti ben definiti e in cui avviene un’applicazione diffusa e meticolosa dei controlli richiesti. A parte, forse, quello militare, dove la mancata protezione delle informazioni riservate può portare a morte e distruzione, dove non si bada a spese pur di assicurare adeguati livelli di sicurezza, dove tutto è compartimentato e l’accesso è concesso esclusivamente in base all’effettiva necessità di sapere (principio del need-to-know). Ogni sistema e ogni connessione vengono accuratamente monitorati, ci sono addetti che osservano ogni tua mossa, esistono regole e checklist per qualsiasi cosa e il mancato rispetto delle norme viene severamente punito. Inoltre vengono continuamente cercate soluzioni migliori per la protezione delle informazioni e chi le offre viene generosamente ricompensato.

Non funziona così nel settore privato né nelle agenzie governative non militari. In primo luogo, le leggi e le regolamentazioni sono estremamente vaghe quando trattano la sicurezza delle informazioni, con affermazioni tipo “le informazioni personali devono essere protette da accessi o modifiche non autorizzati”. Come conseguenza, esistono diverse zone di grigio dove l’interpretazione è lasciata alla fantasia e all’immaginazione di coloro che devono implementare i controlli e, come ben sappiamo, a noi italiani la fantasia non manca di certo. Per colmare questo diffuso problema di regolamentazione, professionisti, consulenti, information security manager, compliance manager e auditor si affidano a standard e linee guida di sicurezza delle informazioni. Ad esempio, i framework ISO e NIST che forniscono un’ottima base di norme e requisiti di sicurezza generalmente implementabili.

Anche qui non mancano i problemi, a partire dal fatto che gli standard contengono misure di sicurezza da considerare come misure minime, perciò non indicano quasi mai la migliore soluzione possibile. Tuttavia, la maggior parte delle aziende, che tipicamente destinano budget molto limitati alla sicurezza delle informazioni, considerano queste misure minime come veri e propri obiettivi da raggiungere e mantenere, e non, come invece dovrebbero, come dei meri punti di partenza per definire un vero e proprio programma di information security. Tanto che solo raramente le aziende riescono a soddisfare i requisiti minimi, ancor più raramente a fare di meglio. Inoltre gli standard non sono così attuali, poiché vengono aggiornati occasionalmente ogni 3-5 anni e non sono poi così utili a fronteggiare le minacce di nuova generazione in rapido sviluppo.

Di conseguenza, a meno che l’azienda non prenda realmente sul serio la sicurezza delle informazioni e disponga del budget e delle risorse umane in grado di farla funzionare, una sicurezza basata sulla compliance non è poi così consigliabile. Sono tante le aziende che devono rispettare specifici standard di settore (ad esempio il settore bancario o quello medico) ma non sempre il pieno rispetto di uno standard o di una normativa di legge significa automaticamente avere un adeguato livello di sicurezza. In tal senso il caso Target è emblematico: a settembre 2013 l’azienda fu certificata come pienamente conforme allo standard PCI DSS ma, nonostante ciò, qualche settimana dopo subì la più grossa violazione retail nella storia degli Stati Uniti, nel corso della quale furono sottratti 40 milioni di numeri di carte di credito e 70 milioni di dati fra indirizzi, numeri telefonici e altre informazioni personali.

La lezione appresa è semplice:

“una piena conformità non garantisce un’adeguata sicurezza”.

Nell’implementazione di un programma di sicurezza delle informazioni basato sulle minacce, invece, l’azienda individua prima le risorse che devono essere protette, poi le minacce e le vulnerabilità cui esse sono sottoposte, quindi le conseguenze che potrebbero verificarsi qualora le risorse informative venissero realmente compromesse. Normalmente questo avviene attraverso processi come la classificazione degli asset e l’analisi del rischio. Infine, viene definita una priorità per i rischi rilevati e si decide quali controlli e contromisure di sicurezza siano più efficaci ed efficienti nel mitigarli. Ad esempio, ciò potrebbe tradursi nell’applicazione di rigidi filtri sulle connessioni in uscita o nell’implementazione del monitoraggio dei log in tempo reale, piuttosto che acquistare il più fantastico dei firewall. Oppure potrebbe concretizzarsi in qualcosa di più semplice, come la garanzia che gli amministratori di sistema utilizzino credenziali d’accesso differenziate fra il semplice accesso al sistema e l’accesso di tipo amministrativo.

Qualsiasi siano i controlli individuati, essi vengono selezionati per fronteggiare specifici rischi o problemi di sicurezza, non per soddisfare la vasta baseline di uno standard, nato appositamente per indirizzare aspetti generici. Inoltre, un programma di sicurezza basato su minacce e rischi è molto più efficace nel prevenire e nel contrastare le minacce emergenti di nuova generazione, anche in virtù del fatto che il programma richiede un adeguamento a fronte di cambiamenti significativi del sistema informativo o dello scenario di riferimento.

A fronte di questa pur snella e semplice analisi, è possibile affermare che, quantomeno per tutte le realtà non militari, la migliore sicurezza delle informazioni si ottiene basandosi sull’analisi del rischio e sul costante controllo delle minacce cui l’azienda è soggetta. La conformità a leggi e norme è indubbiamente un obbligo per le aziende che operano in settori regolamentati, così come gli standard possono offrire una valida e comprensiva base di partenza per l’impostazione delle misure di sicurezza tecniche e organizzative, ma il cieco rispetto di linee guida insufficienti e talvolta antiquate deve essere opportunamente affiancato da un processo continuativo e ripetuto di valutazione delle minacce e dei rischi, di analisi costi-benefici sulle possibili mitigazioni e di implementazione delle misure di sicurezza più adeguate al contesto reale.

Ettore Guarnaccia