Un modello di cybersecurity per le organizzazioni
#CybersecurityCafé
Primo passo: i principi di sicurezza
di Alessandro Sinibaldi, CERT-AGID
In questo articolo, propongo un modello di riferimento, basato su tre livelli, per la sicurezza in un ente.
Il primo partendo dall’alto è quello dei Principi, che devono essere facilmente comprensibili e memorizzabili.
Il secondo livello è occupato dalle Contromisure, di cui sono un esempio le misure minime per le Pubbliche Amministrazioni o i 114 controlli di ISO 27001.
Il terzo livello è invece quello delle Regole tecniche, cioè dell’implementazione concreta delle misure di sicurezza. Insieme, i tre livelli rispondono rispettivamente alle domande “Perché?”, “Cosa?” e “Come?” nel senso che il primo livello fornisce le motivazioni o la vision, il secondo indica le contromisure da implementare che siano diretta emanazione dei principi, e il terzo è l’applicazione pratica. I tre livelli procedono nel senso di volatilità crescente perché, mentre i Principi sono pensati per essere il più immutabili possibile, così non è per le misure né tantomeno per le regole tecniche le quali sono legate a uno specifico contesto tecnologico, normativo, economico e sociale e, come tale, più rapidamente variabili.
I DIECI PRINCIPI
PRINCIPIO DI INVENTARIO • “Conosci te stesso”, intendendo con ciò che si deve sapere (e documentare) quali sono i propri asset, quali sono le minacce a questi asset, quali le vulnerabilità e quali i rischi a cui si è sottoposti.
PRINCIPIO DI ATTRIBUZIONE • Significa attribuire responsabilità chiare, gestire il logging e il monitoring degli eventi, gestire le autorizzazioni in modo corretto ma anche gestire i flussi di dati (cosa va a chi) e gestire le operazioni sui dati.
PRINCIPIO DELLA PERVASIVITÀ • Significa usare metodologie, standard e best practices, sviluppare policy, promuovere la security awareness, gestire tutto il ciclo di vita degli asset, presidiare i progetti, fare audit regolari.
PRINCIPIO DELLA RIDONDANZA • Tutto ciò che ha Valore deve avere una copia o un possibile sostituto che significa infrastrutture ridondate, backup, assenza di Single Point of Failure (anche nel senso di competenze e responsabilità) ma anche uso dell’autenticazione multifattore dove necessario.
PRINCIPIO DEL MINIMO • “Con il poco si gode, con il molto si tribola”. Alcuni esempi: ridurre la superficie di attacco, seguire i criteri del minimo privilegio e del need to know, usare catene di comando accorciate, semplificare i processi.
PRINCIPIO DEL MIGLIORAMENTO CONTINUO • Si può e si deve sempre fare di meglio che significa prevedere il cambiamento, aggiornare continuamente le competenze, monitorare l’evoluzione del contesto di sicurezza, fare assessment con regolarità.
PRINCIPIO DELL’AUTOMATIZZAZIONE • Significa ridurre le attività manuali e promuovere la digitalizzazione, usare indicatori oggettivi, misurare l’efficienza e l’efficacia dei processi.
PRINCIPIO DELLA TEMPORALITÀ • Significa imparare a lavorare per priorità, tenersi al passo con aggiornamenti e patch, correlare gli eventi, posizionare gli allarmi in modo appropriato, pianificare le azioni, gestire i colli di bottiglia che portano ritardi e il lavoro in emergenza.
PRINCIPIO DELLA DIVERSITÀ • Significa usare il pensiero laterale, mettersi dal punto di vista di un attaccante, elicitare i requisiti tenendo conto di tutti gli stakeholder, usare prodotti di nicchia e diversi tra loro, promuovere il pensiero critico nel team e valorizzare le differenze culturali.
PRINCIPIO DELLA SEPARAZIONE • Significa usare la Separation of duties, dividere asset con esigenze di sicurezza diverse, segmentare l’infrastruttura, creare profili applicativi diversi.
Dai un voto da 1 a 5, ne terremo conto per scrivere i prossimi articoli.
Voto attuale:
Telegram