I processi sono la Cenerentola della cybersecurity

I processi sono la Cenerentola della cybersecurity

“Essere sicuri” è forse solo un’opinione o un ideale. La sicurezza non è un prodotto che si può vendere e comprare. Dobbiamo investire di più nel far crescere i processi

Abbiamo tutti sentito molte volte che “la sicurezza totale non esiste”, che “la sicurezza è una percezione”, che “la sicurezza non è un prodotto che si può comprare e vendere”, che “l’importante è il processo”. Nella pratica, ci comportiamo, invece, come se la sicurezza fosse un oggetto visibile, che si può possedere, e quindi comprare e vendere, magari concretamente tangibile sotto forma di “appliance”, come se davvero si potesse usare un firewall come se fosse un frullatore: è chiaro che non è vero, ma ci piace pensare che possa essere così.

Questa visione, illusoria e fuorviante, ha purtroppo un impatto negativo sui processi di gestione della sicurezza. Essi dovrebbero essere il punto focale del nostro lavoro: se davvero la sicurezza è un asintoto al quale tendere, il problema fondamentale è come ci si tende. Ma visto che di fatto ci concentriamo sull’acquisizione e sull’uso di disparate e varie tecnologie sconnesse tra loro, i processi sono di solito la cenerentola della cybersecurity, con l’effetto che a tutti è evidente l’insicurezza crescente e la bassa soddisfazione rispetto agli investimenti fatti.

Riportiamo alcuni esempi concreti. Un processo di cui si sente molto parlare è l’automazione del processo di firewall change management. In questa azione, c’è un obiettivo di sicurezza, cioè l’inserimento a pieno titolo del security assessment nel processo; c’è un obiettivo architetturale, cioè il miglioramento dell’analisi e della progettazione delle modifiche da apportare; e infine, c’è un obbiettivo gestionale, che è l’efficientamento dell’operatività del personale. Se il processo è fatto bene, i vari obiettivi possono convivere con soddisfazione, magari mediante l’uso delle corrette tecnologie.

Purtroppo, in molti casi, ci si focalizza sul banale obiettivo gestionale di trasformare dei click manuali in un programma – cosa che fa guadagnare, generalmente, pochi secondi – e si perde di vista il resto. Un altro tema frequente è la richiesta di fare “discovery” sulla infrastruttura informatica esistente. Il motivo è evidente: non si può fare sicurezza senza conoscere l’installato esistente. Far fare questo censimento a delle persone costa molto, ma soprattutto non ci si fida dei risultati, e ci piacerebbe che l’automazione informatica ci aiutasse. Si immagina che le reti siano perfettamente conoscibili dal loro interno, ma ciò non è vero: per esempio, i protocolli di comunicazione, per fini di resilienza, sono progettati per funzionare senza una conoscenza perfetta del loro intorno, e quindi in molti casi non è proprio possibile “scoprire” automaticamente tutto quello che esiste.

Leggi anche:  G DATA DeepRay: intelligenza artificiale garante di una svolta epocale nella lotta contro la cybercriminalità

Nel caso più generale, si nota spesso una tendenza a non iniziare un lavoro perché ci si rende conto di avere un’informazione incompleta. Ma è meglio qualche falso positivo o qualche falso negativo? A volte è possibile iniziare a mettere in sicurezza ciò che si conosce, e nel frattempo proseguire nella raccolta dei dati. Tutti sappiamo che, se aspettiamo la perfezione, dobbiamo essere disposti ad aspettare assai a lungo, e quindi in cybersecurity come altrove, non è opportuno puntare alla perfezione. In sintesi, la maturità generale dei processi di gestione della sicurezza è ancora insufficiente. Le cause sono varie: una identificazione errata del valore che deriva da un’analisi insufficiente (o, a volte, addirittura errata) della situazione reale; una confusione rispetto all’ambito di intervento, quando non si definiscono chiaramente gli obiettivi e il vantaggio atteso da ciascuno; o ancora, delle aspettative poco realistiche. I problemi di cui ci occupiamo sono in generale complicati, e servono processi ben collaudati per affrontarli. Auspichiamo quindi una maggiore riflessione e una maturazione specifica del settore.

Mauro Cicognini membro del comitato direttivo Clusit