Alla luce dei continui attacchi informatici che enti grandi e piccoli stanno subendo negli ultimi anni, nasce l’esigenza di adottare delle politiche comuni tra le reti della ricerca e le entità ad esse collegate in Europa che aiutino a gestire al meglio le emergenze legate alla cybersecurity e prevenirle il più possibile.

Di cosa si tratta? Non parliamo di una delle tante normative ISO, né di principi imposti dall’alto, ma di regole sviluppate in modo condiviso dalla comunità delle reti della ricerca e che evolvono continuamente all’interno di essa.

Ne parliamo in dettaglio con Claudio Allocchio, Chief Information Security Officer GARR, che sta seguendo per la comunità dell’istruzione e della ricerca italiana il processo di definizione di un documento condiviso.<

Claudio Allocchio
Consortium GARR
Chief Information Security Officer
Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

Cosa si intende per security policy?

Il termine security policy rappresenta un insieme di regole tecniche e comportamentali che specificano quale rete o suo elemento sia abilitata a comunicare con altre reti o elementi di rete con l’obiettivo generale di allontanare i rischi. I testi di informatica giuridica suddividono queste regole in tre livelli: quello di rete, quello generico della sicurezza dei dati e quello che riguarda la specifica macchina. Tutti e tre contengono delle direttive generali necessarie per fare in modo che non ci sia “l’anello debole della catena”.

Un altro aspetto estremamente delicato nella definizione della security policy riguarda quello legale. Come considerare i dati da analizzare? Come possiamo utilizzarli e per quanto tempo? Sono tutte questioni che possono porre problematiche in termini di violazione della privacy e che dovranno trovare una risposta all’interno del documento.

Quali sono gli elementi da considerare?

La security policy si compone generalmente di più aspetti. C’è innanzitutto un quadro generale introduttivo che definisce i termini, gli ambiti di applicazione e i responsabili della loro adozione ed un mission statement che definisce lo scopo della security policy e gli obiettivi da raggiungere, come, ad esempio, stabilire procedure operative per la gestione dei problemi, mantenere un controllo e un aggiornamento regolare della situazione e adottare posizioni e responsabilità chiare nella gestione della sicurezza. Vengono poi elencati i principi generali come ad esempio avere una gestione consapevole ed adeguata dei rischi identificati e i riferimenti normativi, indicati in un allegato separato e facilmente aggiornabile. Infine, viene descritta la governance per attuare la security policy con lo scopo di definire i ruoli all’interno delle organizzazioni e la documentazione necessaria, oltre al monitoraggio costante della situazione e la sensibilizzazione e formazione del personale coinvolto.

La definizione della governance è un punto cruciale. Qual è la situazione nella comunità della ricerca?

Considerando la rapidità con cui si muove il mondo della rete, va da sé che i contenuti dovranno essere costantemente aggiornati per esser certi che la gestione sia adeguata ai rischi identificati e che le misure di sicurezza adottate siano commisurate al rischio effettivo e alle necessità delle organizzazioni.

La governance, infatti, definisce chiaramente la necessità di un monitoraggio continuo e la definizione di parametri di controllo, per essere certi che le azioni intraprese siano adeguate all’attività svolta e prevedano una chiara procedura di recupero delle informazioni con indicazioni su come rimediare ad un problema.

Nella comunità della ricerca c’è ancora da lavorare negli aspetti di governance. Sono in via di definizione le responsabilità per alcune azioni, i soggetti che le devono applicare e fin dove è possibile applicarle. GARR, per l’infrastruttura di rete, ha seguito parte della normativa ISO 27001 come modello ispiratore ed è ancora in corso di discussione la necessità di una vera e propria certificazione su questi temi. Infine, è necessario indicare all’interno del documento il riferimento alla gestione quotidiana di incidenti di sicurezza attraverso l’attività del GARRCERT e le sue procedure e le interazioni pratiche sui servizi, ad esempio filtraggi e misure di riduzione del problema.

In che modo occorre procedere?

Nell’ambito di una comunità come quella GARR, ovvero una community network multidisciplinare nata intorno a diversi gruppi di utenti e che deve considerare sia aspetti di rete che dei contenuti che viaggiano al suo interno, la creazione di una security policy richiede un insieme di indicazioni che vengono sviluppate dentro la comunità, sono applicabili alla situazione specifica, vengono adottate da tutta la comunità ed evolvono insieme alla comunità. Dev’essere dunque un lavoro fatto insieme e che troverà la sua realizzazione all’interno della comunità.

Non può trattarsi di una decisione imposta dall’alto, anche perché è dalle singole istituzioni che deve arrivare un grosso contributo alla definizione delle regole. Gli enti (auspicabilmente il maggior numero possibile) dovranno suggerirci quali persone siano incaricate di gestire la sicurezza e queste persone potranno dare un contributo alla definizione delle relative policy, calandole nella propria realtà operativa.

Quale potrà essere il ruolo di GARR?

GARR avrà un ruolo attivo sia come coordinamento che come gestione quotidiana. Infatti, da una parte è responsabile del trasporto in rete dei dati e della gestione del backbone e dei collegamenti con tutti gli altri partner nazionali ed internazionali, dall’altra può coordinare le diverse istanze che vengono dai vari membri della comunità. C’è una grande varietà di atteggiamenti tra le diverse organizzazioni. Ad esempio, ci sono enti che hanno maggiori attenzioni sulla riservatezza dei dati ed altri che si preoccupano maggiormente di mantenere efficiente il servizio di rete e di calcolo, o altri ancora che privilegiano l’aspetto della protezione della propria infrastruttura da eventuali attacchi. È importante quindi saper armonizzare e rispettare tutte le posizioni.

Esistono delle buone pratiche che si possono seguire?

Sicuramente possiamo ispirarci a quanto già fatto, o in fase di preparazione, dalle altre reti europee della ricerca e dell’istruzione. Ad esempio, stiamo già collaborando con la rete olandese SURFnet ed altre reti. È fondamentale cooperare anche perché dovremo confrontarci tutti con la medesima normativa europea sul trattamento e protezione dei dati personali per farci trovare pronti per la scadenza del 2018.

Cosa possiamo aspettarci da questo documento?

Attraverso la security policy si troverà un valido alleato contro il problema più attuale del momento, gli attacchi DDos. Attraverso delle linee guida chiare su come gestirli avremo meno problemi nel mitigarli a livello sia tecnico che amministrativo. Nuove sfide si presenteranno con l’avvento di nuovi servizi cloud e la security policy, infatti, dovrà essere estesa anche ai nuovi ambiti.

Entro quali tempi sarà pronto?

Entro la fine dell’estate, o al più tardi entro l’autunno, ci auguriamo di avere una bozza di tutti i capitoli necessari, per poi discuterli più in dettaglio ed arrivare al 2018 con il documento pronto.