Questo sito utilizza i cookie per migliorare servizi ed esperienza dei lettori. Se decidi di continuare la navigazione consideriamo che accetti il loro uso. Per maggiori informazioni sull uso dei cookies e su come eliminarli leggi l'informativa estesa
di Alessandro Sinibaldi, CERT-AGID
In questo articolo, propongo un modello di riferimento, basato su tre livelli, per la sicurezza in un ente.
Il primo partendo dall’alto è quello dei Principi, che devono essere facilmente comprensibili e memorizzabili.
Il secondo livello è occupato dalle Contromisure, di cui sono un esempio le misure minime per le Pubbliche Amministrazioni o i 114 controlli di ISO 27001.
Il terzo livello è invece quello delle Regole tecniche, cioè dell’implementazione concreta delle misure di sicurezza. Insieme, i tre livelli rispondono rispettivamente alle domande “Perché?”, “Cosa?” e “Come?” nel senso che il primo livello fornisce le motivazioni o la vision, il secondo indica le contromisure da implementare che siano diretta emanazione dei principi, e il terzo è l’applicazione pratica. I tre livelli procedono nel senso di volatilità crescente perché, mentre i Principi sono pensati per essere il più immutabili possibile, così non è per le misure né tantomeno per le regole tecniche le quali sono legate a uno specifico contesto tecnologico, normativo, economico e sociale e, come tale, più rapidamente variabili.
PRINCIPIO DI INVENTARIO • “Conosci te stesso”, intendendo con ciò che si deve sapere (e documentare) quali sono i propri asset, quali sono le minacce a questi asset, quali le vulnerabilità e quali i rischi a cui si è sottoposti.
PRINCIPIO DI ATTRIBUZIONE • Significa attribuire responsabilità chiare, gestire il logging e il monitoring degli eventi, gestire le autorizzazioni in modo corretto ma anche gestire i flussi di dati (cosa va a chi) e gestire le operazioni sui dati.
PRINCIPIO DELLA PERVASIVITÀ • Significa usare metodologie, standard e best practices, sviluppare policy, promuovere la security awareness, gestire tutto il ciclo di vita degli asset, presidiare i progetti, fare audit regolari.
PRINCIPIO DELLA RIDONDANZA • Tutto ciò che ha Valore deve avere una copia o un possibile sostituto che significa infrastrutture ridondate, backup, assenza di Single Point of Failure (anche nel senso di competenze e responsabilità) ma anche uso dell’autenticazione multifattore dove necessario.
PRINCIPIO DEL MINIMO • “Con il poco si gode, con il molto si tribola”. Alcuni esempi: ridurre la superficie di attacco, seguire i criteri del minimo privilegio e del need to know, usare catene di comando accorciate, semplificare i processi.
PRINCIPIO DEL MIGLIORAMENTO CONTINUO • Si può e si deve sempre fare di meglio che significa prevedere il cambiamento, aggiornare continuamente le competenze, monitorare l’evoluzione del contesto di sicurezza, fare assessment con regolarità.
PRINCIPIO DELL’AUTOMATIZZAZIONE • Significa ridurre le attività manuali e promuovere la digitalizzazione, usare indicatori oggettivi, misurare l’efficienza e l’efficacia dei processi.
PRINCIPIO DELLA TEMPORALITÀ • Significa imparare a lavorare per priorità, tenersi al passo con aggiornamenti e patch, correlare gli eventi, posizionare gli allarmi in modo appropriato, pianificare le azioni, gestire i colli di bottiglia che portano ritardi e il lavoro in emergenza.
PRINCIPIO DELLA DIVERSITÀ • Significa usare il pensiero laterale, mettersi dal punto di vista di un attaccante, elicitare i requisiti tenendo conto di tutti gli stakeholder, usare prodotti di nicchia e diversi tra loro, promuovere il pensiero critico nel team e valorizzare le differenze culturali.
PRINCIPIO DELLA SEPARAZIONE • Significa usare la Separation of duties, dividere asset con esigenze di sicurezza diverse, segmentare l’infrastruttura, creare profili applicativi diversi.
Il contenuto di questo sito è rilasciato, tranne dove altrimenti indicato,
secondo i termini della licenza Creative Commons attribuzione - Non commerciale Condividi allo stesso modo 3.0 Italia
GARR News è edito da Consortium GARR, la rete italiana dell'università e della ricerca
GARR News n°22 - estate 2020 - Tiratura: 11.000 copie - Chiuso in redazione: 10 luglio 2020
Hanno collaborato a questo numero: Claudio Barchesi, Paolo Bolletta, Sebastiano Buscaglione, Andrea Corleto, Valeria De Paola, Marco Ferrazzoli, Marco Galliani, Mara Gualandi, Marco Malaspina, Giuditta Marinaro, Laura Moretti, Cristina Pacciani, Claudio Pisa, Leonardo Tunesi, Antonella Varaschin, Gloria Vuagnin
Abbiamo 444 visitatori e nessun utente online