I sistemi di sicurezza informatica sono oggi chiamati non più solo a proteggere e mettere al riparo dalle intrusioni digitali, ma a contribuire all’abilitazione stessa del business. Infatti, la funzione di sicurezza informatica, pensata in modo da monitorare continuamente i sistemi digitali, implementata per individuare immediatamente una effrazione e per contenere e rimediare ad un incidente informatico, contribuisce in modo determinante alla continuità operativa dei sistemi aziendali che supportano il business.
Lo sviluppo tecnologico dei sistemi informatici ha causato nel tempo un parallelo sviluppo dei sistemi di sicurezza informatica: firewall, gateway, antivirus, antispyware, honeypot, Intrusion Detection System (IDS), Intrusion Prevention System (IPS), sistemi di Data Loss Prevention (DLP), sistemi di deep packet inspection, di traffic filtering, sistemi di crittografia, di gestione dei Back UP, sandbox, Advanced malware protection, Next Gen Firewall, sistemi di autenticazione, tokens, etc. Raramente però tutti questi sistemi sono gestiti dalle stesse persone e spesso sono annessi a uno stesso sistema informatico in tempi diversi e con obiettivi di gestione differenti. La totalità di queste soluzioni costituisce una cascata di informazioni da governare e da proteggere, e rappresenta una estensione potenziale della superficie di attacco, proprio perché ogni singola tecnologia, per la parte che è chiamata a proteggere, diventa parte di quel sistema informativo. Un approccio di sicurezza di questo tipo è definito “a puzzle”, perché cresce in modo opportunistico secondo le esigenze e si sviluppa in ogni direzione, piuttosto che in modo strutturato. Lo stesso vale per i sistemi che crescono a silos, ovvero a comparti stagni, in cui ogni ambito si fa le sue regole di gestione e policy. La definizione a silos enfatizza l’approccio guardandolo dal punto di vista dei layer architetturali coinvolti.
La conseguenza più immediata della eterogenea introduzione di sistemi di sicurezza informatica causa una grande varietà di approcci e livelli di maturità diversi fra loro. Questa situazione solitamente culmina in un momento di tale caos ingestibile, che si rende necessario razionalizzare e centralizzare. Per farlo, si deve evolvere verso un approccio unico che permetta però di mantenere le singole features dei rispettivi i tool perché restino interoperabili fra loro, ma ricondotti a policy uniche e a procedure diverse, ma coerenti, complementari e correlate. Si parla in questi casi di evolvere verso un modello olistico, cioè sviluppare in modo collaborativo un approccio al contrasto delle minacce, includendo il quadro organizzativo e favorendo integrazione e cooperazione ad ogni livello, digitale, logico, fisco.
Si parla in questo senso anche di convergenza di quella che deve essere l’intera architettura del sistema. Giulio Iucci, presidente di Anie Sicurezza, chiarisce che “la convergenza è ormai una realtà ‘sistemica’, tutto è connesso, come in un unico, grande organismo. Per questo l’approccio alla Cyber-sicurezza deve essere olistico, globale, e altrettanto sistemico”.
L’infrastruttura critica non è più solo quella che regge e abilita ai servizi essenziali per la popolazione. In qualche modo una infrastruttura critica è anche quell’insieme di sistemi informatici, compresi i sistemi di sicurezza informatica che, per la singola azienda, consente le attività e le operazioni di business. Continua Giulio Iucci “In passato c’erano le infrastrutture critiche. Oggi, tutto è diventato critico, dal punto di vista della sicurezza Hi-tech. Per cui, la logica di azione e intervento cambia completamente. Non esiste più la ‘periferia’ della rete, il marginale e il secondario del sistema. È tutto centrale e primario, e ciò porta una nuova logica della vulnerabilità. Il punto fondamentale, su cui costruire sicurezza, è quindi l’intera architettura di sistema, e la visione olistica del tutto”.
Anche le modalità di sicurezza cambiano e se prima i sistemi di sicurezza informatica erano impostati sul modello di “azione e reazione”, oggi il Comando e Controllo richiede interventi preventivi basati sul monitoraggio dei sistemi, l’intercettazione dei dati, la correlazione tra loro e l’analisi. Questo abilita l’Early Warning preventivo e richiede, a valle del processo di incidente management, l’introduzione di un riesame delle debolezze per introdurre correttivi finalizzati al miglioramento continuo. In questo senso, l’adozione di framework certificativi come la ISO 27001 (basata sul ciclo di Deming del Plan-do-check-Act n.d.r.) e/o il NIST Framework possono aiutare nel passaggio dal modello old-style di introduzione dei sistemi di sicurezza informatica al nuovo assetto.
Si tratta, quindi, di passare dalla tradizionale gestione “contingente” della sicurezza a una visione strategica e complessiva della protezione. Partendo da una valutazione delle minacce non di tipo generico, ma specifica alla propria realtà, mediante utilizzo di un Threat Model, si associano i rischi specifici e in relazione a ciascuno di essi sono organizzati e governati i processi aziendali, le misure di sicurezza e i sistemi di sicurezza informatica riorganizzati con un approccio sinergico.
In questo consiste un approccio olistico: una visione globale e strategica dei sistemi di sicurezza informatica nell’ambito della più generale organizzazione dei sistemi digitali a supporto del business.