La diffusione di strumenti personali e mobili per l’accesso, e i requisiti di conformità alla normativa, stanno portando l’attenzione su logiche di monitoraggio e rilevazione delle anomalie
La crescita sempre più rapida di un’economia immateriale che si appoggia ai sistemi informativi e a Internet, e la diffusione di strumenti personali e mobili per l’accesso alle informazioni, stanno cambiando lo scenario della sicurezza delle informazioni. Allo stesso tempo, la sempre maggiore difficoltà nell’individuare gli attacchi e la diffusione dirompente del Ransomware hanno aumentato l’attenzione alla sicurezza da parte di molte aziende che finora si ritenevano protette da strumenti tradizionali come firewall e antivirus.
Questi meccanismi tradizionali di difesa preventiva invece – per quanto ancora indispensabili – risultano essere sempre meno efficaci. Si sta finalmente diffondendo la logica, non nuova ma finora poco considerata, di non limitarsi a una difesa preventiva, ma di considerare quasi inevitabile una compromissione dei sistemi, ragionando quindi di più su logiche di monitoraggio e contenimento.
Allo stesso tempo, la normativa richiede sempre più spesso di implementare controlli di sicurezza in modo più puntuale e specifico. Ne sono un esempio due recenti provvedimenti del Garante per la Protezione dei dati personali: quello di giugno sul dossier sanitario, e quello di luglio sullo scambio di dati personali fra amministrazioni pubbliche. Fra i requisiti posti, è interessante evidenziare quello di mettere in atto “attività di audit basate sul monitoraggio e su meccanismi di alert che individuino comportamenti anomali o a rischio”, requisito presente in forma simile nei due decreti, e già presente nel cosiddetto “Provvedimento Garante 2” riferito al contesto bancario. In effetti, si tratta di un esempio di una tendenza generale della normativa nazionale ed europea, destinato probabilmente a estendersi anche ad altri settori.
Usabilità e sicurezza
Abbiamo bisogno quindi di rivedere la gestione della sicurezza dei sistemi informativi, nella direzione di una maggiore efficacia anche nella rilevazione di comportamenti ed eventi anomali. Tuttavia, una maggiore sicurezza non può comportare una maggiore difficoltà d’uso da parte degli utenti, anzi: forti spinte di mercato richiedono una grande facilità di accesso ai servizi e una maggiore semplicità d’uso per l’utente, anche per i meccanismi di sicurezza. Come conciliare queste esigenze di usabilità e di sicurezza, apparentemente contrastanti?
“Sicuro, semplice, economico: scegline due”
Così recita un noto principio della sicurezza. Dove ci sia la disponibilità a investire per ottenere una sicurezza più usabile, o dove gli investimenti siano in parte già richiesti dalla normativa, si possono considerare soluzioni riconducibili al concetto di adaptive security: meccanismi di sicurezza che valutino dinamicamente il contesto in cui il controllo deve essere applicato, per decidere se e come applicarlo. Il caso più noto e diffuso è quello della adaptive authentication: in funzione di diversi parametri legati ad esempio al tipo di operazione, alla geolocalizzazione dell’utente, e in generale al profilo d’uso del servizio da parte dell’utente stesso, il meccanismo valuta se per uno specifico accesso è sufficiente un’autenticazione “light”, o se magari è necessaria una “strong authentication”. In questo modo, i meccanismi che offrono maggiori garanzie, ma che spesso sono anche più scomodi per l’utente, sono utilizzati solo quando e dove il rischio è maggiore, offrendo negli altri casi un servizio più user-friendly. Principi di adaptive security possono migliorare di molto l’usabilità dei controlli di sicurezza, ma perché siano realmente efficaci è essenziale che queste logiche siano implementate a livello di architetture e infrastruttura, evitando per quanto possibile le soluzioni puntuali limitate al singolo progetto o servizio.
Claudio Telmon, membro del Direttivo e del Comitato Tecnico Scientifico di Clusit
