Il fluire dei dati oggi è inarrestabile. Nell'era dell'Infosfera può essere governato e protetto, non arrestato. La ISO 27001 è l'argine che...

Fri Aug 14 15:05:00 CEST 2020 - Thu Dec 31 15:05:00 CET 2020
Il prossimo dirompente unicorno che stravolgerà le nostre abitudini quotidiane non lancerà sul mercato una nuova tecnologia verticale ma piuttosto svilupperà una qualche soluzione orizzontale che riguarderà il “tutto a tutto”, realizzando pienamente il traguardo del prossimo venire: L’Anything to anything (a2a). Ve la immaginate un’applicazione universale in grado di far comunicare gli uni con gli altri i nostri innumerevoli dispositivi/applicativi, andando oltre le barriere di mancanza di standard, protocolli e limiti vari di hardware e software, che ci circondano?

Always-on

Già oggi è forse difficile distinguere tra on-line e off-line. L. Floridi parla di “On-life” descrivendo una realtà dove l’on-line è così pervasivo da essere indistinguibile dalla realtà. Lo smartworking, a cui tutti o quasi siamo stati costretti dal lockdown, ne è il miglior esempio con psicologi e esperti di vario genere, che digitalmente ci avvertono del pericolo psicofisico dell’essere costantemente connessi senza alcuna interruzione di continuità. Monitoraggio del sonno con fit-tracker, Meteo e news da smartphone a colazione, spesa online, lavoro e istruzione in video call, gaming o kindle o Netflix per rilassarci, sono solo alcuni degli innumerevoli esempi di sconfinamento dell’on-line nel off-line. Viaggiamo guidati da un GPS in aggiornamento in tempo reale, la banca la portiamo in tasca, con la app per il tracciamento dei contagi da covid-19 abbiamo il nostro diario sanitario e ci avvieremo verso l’e-health, mentre con la app io.it finalmente scopriremo i vantaggi dell’e-government.

Archivi, fatture, corrispondenza li abbiamo smaterializzati posizionandoli nel cloud. L’Industria 4.0 sta digitalizzando la produzione, ciò che solo fino a qualche anno fa sarebbe sembrato essere l’attività meno on-line possibile. Il denaro è da tempo una serie di bit. La movimentazione dei container del porto di Singapore, uno dei più grandi del mondo, è interamente digitalizzata.

Per i nostri figli e nipoti, per la Generazione Z il mondo è sempre stato wireless. J.Q. Anderson li chiama AO Always-on.

Senza i nostri dati oggi siamo persi. Senza immagini e foto digitali la nostra memoria sarebbe danneggiata, senza i nostri archivi digitali il nostro lavoro di anni sparirebbe, senza contatti mail e telefonici la nostra interagibilità sarebbe compromessa.

Ma cosa accadrebbe se questo infinito patrimonio di dati fosse sempre accessibile a chiunque senza alcuna limitazione? Molti se ne avvantaggerebbero mentre tu ne perderesti all’improvviso il possesso.

E cosa accadrebbe se ti fosse precluso l’accesso al tuo stesso patrimonio di dati?

Che siano specifiche di prodotto, progetti, disegni tecnici, strategie commerciali, codice sorgente, procedure operative, template standard costruiti in anni di lavoro, library accumulate nel tempo, se queste svanissero dalla sera al mattino sarebbe un grosso guaio. Il tuo patrimonio informativo è la reale differenza fra te e uno qualsiasi dei tuoi concorrenti.

Se questo patrimonio fosse divulgato, perderesti parte del tuo vantaggio competitivo. Se questo patrimonio fosse danneggiato o inaccessibile, rischieresti la parziale o completa paralisi delle tue attività.

Parafrasando R.Z. Sheppard, “Nella medesima misura in cui i pesci non possono concettualizzare l'acqua o gli uccelli l'aria, l'uomo non comprende pienamente la sua infosfera, quell’inestricabile e indistinguibile pervasività del digitale nel mondo reale.”

I dati archiviati nel mondo, secondo International Data Corp, sarà nel 2025 pari a 175 zetabyte (ZB).

1 ZB equivale a un miliardo di miliardi di Gigabyte.

Una mole di dati enorme prevalentemente archiviata nel cloud, attraverso il quale risolviamo i nostri problemi di business continuity, disaster recovery, back up e dematerializzazione dei processi, dando talvolta per scontato che i nostri dati siano così al sicuro.

Purtroppo non è così. Le chiamano Tecniche di Ingegneria Sociale o Human hacking ma non è altro che un raggiro per impossessarsi delle credenziali di accesso e infilarsi nei tuoi sistemi avendo poi totale libertà d’azione con i tuoi dati. 

E quindi cosa ti resta da fare per mettere al sicuro il tuo patrimonio informativo?

Progetta un piano di gestione del rischio e implementalo.

 

Risk Treatment Plan

Il primo passo per prendere consapevolezza del tuo patrimonio informatico è un’Analisi del rischio, che ti permetta di comprendere innanzitutto la sua consistenza e quindi di Identificare, Analizzare, Ponderare (misurare) e Trattare il rischio.

Identificazione del Rischio

L’Identificazione del rischio è il processo di individuazione, riconoscimento e descrizione del rischio. Si tratta di identificare asset, minacce e vulnerabilità e correlarli fra loro.

Gli Asset sono le tue risorse, i tuoi beni, il tuo patrimonio. Mentre quelle fisiche come uno stabilimento e un macchinario sono immediatamente individuabili, quelle digitali spesso intangibili o non immediatamente visibili, rimangono sovente nascoste alla nostra attenzione, anche se spesso sono più critiche o necessarie di quelle fisiche. Una delle attività basiche di qualsiasi gestione oculata del proprio patrimonio informativo dovrebbe infatti essere la redazione di un Registro delle risorse informatiche che identifichi le risorse IT e le classifichi per tipologia e posizione. Le risorse sono le tue informazioni digitali, il tuo software e hardware, i server fisici e virtuali,  le applicazioni,  gli end-point (pc, smartphone, tablet, hard disk portatili, etc), la rete informatica stessa e le sue apparecchiature.

La Minaccia è la causa potenziale di un incidente, che può comportare danni ad un sistema o all’organizzazione. L’Incidente è un evento o serie di eventi, non voluti e/o inattesi, relativi alla sicurezza delle informazioni, che hanno una probabilità significativa di compromettere le attività e di minacciare la sicurezza delle informazioni.

Le Vulnerabilità sono la debolezza di un asset o di un controllo di sicurezza, che può essere sfruttata da una o più minacce.


Analisi del Rischio

L’Analisi del rischio è il processo di comprensione della natura del rischio e di determinazione del livello di rischio.

Se la fase di Identificazione del rischio si prefigurava di individuare gli elementi che compongono la nostra equazione (Asset, Minacce e Vulnerabilità), la fase di Analisi del rischio si pone l’obiettivo di assegnare loro dei valori oggettivi e ripetibili.

Il Livello di rischio è la grandezza di un rischio espresso come combinazione delle sue conseguenze e della loro verosimiglianza/probabilità.

Ma quali sono i parametri su sui valutare il rischio?

  • il contesto;
  • l’asset e il suo valore, da cui dipende l’impatto;
  • la minaccia e la sua verosimiglianza o probabilità;
  • le vulnerabilità e la loro gravità o i controlli di sicurezza e la loro robustezza.

Una volta calcolato il livello di rischio, è necessario prendere delle decisioni (ponderazione del rischio) per affrontarlo o trattarlo ipotizzando misure per prevenirlo o  ridurne il potenziale impatto.


Ponderazione del Rischio

La Ponderazione del rischio (risk evaluation) è il processo di comparazione dei risultati dell’analisi del rischio rispetto ai criteri di rischio, per determinare se il rischio è accettabile o tollerabile.

I criteri prestabiliti potrebbero essere un livello di sicurezza minimo stabilito, oppure un rischio considerato accettabile (compromesso fra il rischio di impresa e la sua economicità);  o creare dei controlli compensativi efficaci; o dare priorità ai rischi più elevati o alle minacce le cui conseguenze potrebbero compromettere la sostenibilità dell’organizzazione.

Si potrebbero ordinare i rischi dal più elevato al meno elevato e cominciare a intervenire partendo dai rischi ritenuti inaccettabili, e via via nel tempo scendendo lungo la lista, finché non vi saranno altro che rischi accettabili (Rischio residuo).


Trattamento del rischio

Terminata la fase di Risk Assessment si procede al Trattamento del rischio, il processo per modificare il rischio, che comprende numerose ipotesi quali:

  • Evitare il rischio decidendo di rinunciare all’attività (es: vendita di ramo d’azienda, a causa di minacce e/o opportunità).
  • Accettare il rischio anche a fronte di controlli di sicurezza ritenuti eccessivamente onerosi (es: la duplicazione esatta e non parziale di tutti i sistemi informatici in un sito di disaster recovery).
  • Modificare la probabilità di accadimento, aggiungendo o migliorando i controlli di prevenzione e di rilevazione.
  • Modificare le conseguenze intervenendo non verso la minaccia ma verso il contenimento del danno (es: i backup).
  • Condividere il rischio con altri soggetti, esternalizzandoli presso un fornitore (es: fornitori esterni; polizze assicurative).
  • Mantenere il rischio valutando di non fare nulla, qualora la probabilità di accadimento sia talmente bassa da rendere i benefici di ogni azione non rilevanti; oppure qualora il costo per nuovi controlli di sicurezza sia sproporzionato.

L’insieme di tutte le decisioni prese, rischio per rischio, é il Piano di trattamento del rischio - Risk Treatment Plan.

Nel nostro caso la recinzione periferica dell’aia è stata rattoppata, mentre controlli più stringenti sono stati implementati istituzionalizzando la chiusura serale del pollaio.

In situazioni più complesse dovrebbe invece divenire la tua prassi.

ISO IEC 27001

Secondo un report di BSI British Standards Institution “la 27001” Information Security Management Systems (ISMS) ti consente di abbattere il rischio del 75%.

La sicurezza del tuo patrimonio informativo purtroppo non è solo una mera questione di cybersecurity. Non sarà sufficiente ingaggiare il miglior ethical hacker su piazza per essere al sicuro o investire come dichiarato dall’AD di Microsoft S. Nadella 1 miliardo di dollari ogni anno in sicurezza informatica.

Il Fattore umano infatti in tema di sicurezza è ancora oggi la più grande minaccia per la tua infrastruttura e “la 27001” abbatte questo specifico rischio del 50%.

Il Sistema di Gestione per la Sicurezza delle Informazioni - SGSI è lo strumento pensato e realizzato per prevenire e difendere il patrimonio informativo e non certo per appuntarsi un gagliardetto a mò di boyscout.

Quante volte mi sono imbattuto in questi anni in imprenditori che mi dicevano: “Mi serve solo la certificazione. Ci pensate voi a preparare i documenti?”

Il “bollino” per migliorare la propria immagine sul mercato è una legittima richiesta ma pensare che lo standard sia una sovrastruttura burocratica priva di valore è un grossolano fraintendimento, tipico di chi o non ha capito cosa sia uno standard o di chi nella propria miopia è convinto di non aver nulla da apprendere.

Implementare un Sistema di Gestione “fakeredigendo della documentazione perfetta dal punto di vista teorico ma poi non utilizzata dall’organizzazione è un sovra-costo e una perdita di competitività.

Introdurre delle Politiche per la sicurezza delle informazioni (lineguida e regolamenti) pensate e redatte coniugando best practices internazionali con la tua struttura organizzativa, significa migliorare comportamenti e abitudini del tuo personale rendendole più sicuri e efficienti. Come tutti i cambiamenti comporterà qualche difficoltà ma libererà energie nuove.

Ripensare e definire Ruoli e responsabilità, introducendo una corretta Segregazione delle informazioni, non solo proteggerà il tuo patrimonio informativo da errori o doli ma instraderà la tua organizzazione verso un percorso di miglioramento continuo. Rimanere costantemente in contatto con le autorità o con gruppi/associazioni professionali sulla sicurezza delle informazioni, permetterà alla tua organizzazione di restare al passo con la febbrile evoluzione delle minacce.

Gestire lo Smartworking e le sue numerose criticità in maniera consapevole e non improvvisata come accaduto a molti a causa del Covid-19, in un mondo che non sarà più uguale a quello di prima, è necessario. Se la tua organizzazione avesse implementato pienamente la ISO 27001, le problematiche legate a connettività, protezione degli end-point, autentificazione degli utenti (Identity & Access Management) sarebbero state affrontate da tempo.

Strutturare un sistema che ti metta al sicuro da una delle più gravi minacce alla tua organizzazione, il fattore umano, è fondamentale. Prima, durante e alla cessazione del rapporto di lavoro, è utile istituire dei momenti di controllo. Effettuare uno screening sul background del candidato e sulla sua reale percezione del rischio, così come strutturare adeguate clausole in materia di data security sono il primo passo imprescindibile di un rapporto di lavoro nell’era dell’informazione. Responsabilità, consapevolezza, istruzione, formazione e addestramento non possono essere solo slogan ma devono essere supportate da budget e un piano d’implementazione di tali attività. Istituire un processo disciplinare formale e comunicato, darà forza e concretezza rendendo reali policy e procedure. Definire anche solo una check list delle attività e controlli da svolgere al termine della cessazione del rapporto di lavoro è cosa di buon senso ma raramente messa in pratica.

Dell’importanza della gestione degli Asset è stato già detto ma un inventario compilato e mantenuto aggiornato, con un responsabile dedicato, così come regole d’utilizzo e di restituzione ti proteggeranno da alcune delle le più comuni vulnerabilità.

Il Controllo degli accessi soprattutto oggi in cui stiamo migrando da un modello di sicurezza basato sulla protezione del perimetro verso soluzioni che mirano ad autenticare l’utente (Identity e Access Management) è fondamentale. Garantire l'accesso alle informazioni e risorse corrette da parte delle persone giuste dovrebbe essere una priorità per qualsiasi organizzazione. Strutturare un sistema di Log-on sicure, una policy delle password e sfruttare al massimo i numerosi strumenti presenti sul mercato per gestire e monitorare le diverse funzioni di accesso non è più rimandabile.

Relativamente alla Sicurezza fisica e ambientale è utile verificare la tenuta del perimetro fisico, degli ambienti interni comprese le aree di carico e scarico. Per le apparecchiature, possibile tallone d’Achille di qualsiasi organizzazione, molto si può fare per prevenire la perdita, il danneggiamento, il furto o la loro compromissione.

Prendendo in considerazione la Sicurezza delle attività operative è necessario assicurarsi che queste siano documentate e controllate. Malware, Back up, registrazioni dei log, vulnerabilità, limitazioni all’installazione di software sono solo alcuni degli elementi da prendere in considerazione per assicurarsi che le attività operative siano messe in piena sicurezza.

La Sicurezza delle comunicazioni, la manutenzione dei sistemi, le relazioni con i fornitori, una policy di gestione degli incidenti sono tutti elementi che attraverso l’implementazione di un sistema di gestione ISO / IEC 27001 andrai a sviscerare e a mettere in sicurezza.

Conclusioni

In un mondo iper-connesso dove generiamo dati in ogni momento della giornata e dove ogni elemento della nostra attività lavorativa è data consumer e sempre più data driven, è fondamentale proteggere il nostro principale patrimonio, inteso come ricchezza, unicità e operatività ordinaria.

I tuoi dati sona la tua principale ricchezza. Qualunque sia la tua attività immagina di accendere i tuoi sistemi domattina e che questi non rispondano, immagina che tutti i tuoi supporti di memoria siano stati azzerati, immagine che tutta la tua produzione digitale fino ad oggi sia resa un “blank sheet”.

In termini economici quanto ti costerebbe?

I tuoi dati sono la tua unicità. Quanto impiegheresti a ricostruire e riscrivere quel foglio bianco che ti ritroveresti a guardare dopo l’immane catastrofe descritta? E soprattutto anche dopo averlo ricostruito da zero quanto saresti stato realmente in grado di ripristinarlo? Quanti dati, elementi, progetti, lavori, esperienza si sarebbe vaporizzata per sempre? Dopo questa ricostruzione tu e il tuo business sareste quelli di prima o una sua versione diversa e depauperata?

I tuoi dati sono la tua operatività ordinaria.

Quanto tempo impiegheresti a ripristinare la tua operatività ordinaria dopo l’azzeramento del tuo patrimonio informativo?

Fatti un favore, approfondisci questi temi qui solo abbozzati.

 

La nostra Filosofia
IMteam Group
Cosa facciamo
Il metodo GRC