La positiva tendenza di ampliare le attività di cyber security risk assessment, coinvolgendo sempre di più il business, dovrà passare per forza da una semplificazione delle metodologie e degli strumenti
Questa relazione determina il cosiddetto “rischio potenziale” associato al target dell’assessment: è una misura caratterizzata dall’assenza di contributi derivanti dall’impiego di contromisure tese a mitigare il livello di rischio evidenziato. Questa relazione pone due domande fondamentali: quali sono le proprietà che è necessario tenere in considerazione e quindi misurare affinché la descrizione del target sia utile alla rappresentazione efficace dell’ambito in esame? Come si determina il set di minacce che incombono sul target e come si calcola la verosimiglianza di accadimento di queste minacce?
Per rispondere alla prima domanda, se da un lato i più consolidati approcci basati su asset, siano essi oggetti fisici o informativi, soffrono della difficoltà nell’ottenere una descrizione utile e viva dell’asset stesso, soprattutto all’aumentare dell’accuratezza della descrizione, dall’altro gli approcci basati su processi o scenari richiedono un livello di astrazione spesso in contrasto con l’esigenza della descrizione puntuale del target. Così come una descrizione eccessivamente approssimativa non permette di rilevare le minacce realmente incombenti sul target, una descrizione particolare può implicare un carico di lavoro non sostenibile per le risorse disponibili. I requisiti di cyber security del target sono tipicamente descritti attraverso la classica CIA, ma è sempre più utile considerare altre proprietà, oltre alle più comuni autenticità e prova, riguardanti per esempio aspetti finanziari, d’immagine o normativi, la cui aggregazione costituisce un fattore che possiamo chiamare di Business Relevance. Pregio di quest’ultima è quello di essere una misura immediatamente comprensibile sia dal management, che tipicamente è poco incline a recepire dettagli tecnologici, sia dal tecnologo con un spiccato profilo operativo: entrambi possono facilmente associare questa grandezza a una valutazione di impatto delle minacce sul target. La selezione delle minacce, al fine di ottenere misure confrontabili con contesti analoghi e processi semi-automatici di valutazione, dovrebbe basarsi su cataloghi espressi in linguaggio XML che bene si presta al ragionamento automatico delle macchine.
Analogamente, la determinazione della verosimiglianza delle minacce può essere fatta adottando una knowledge base condivisa, evitando approcci basati su interviste, che spesso soffrono di eccessiva soggettività o di limitatezza di visione. Spesso la relazione descritta all’inizio viene arricchita considerando anche le vulnerabilità, tecniche o meno, insistenti sul target, la cui valutazione si basa rispettivamente su un insieme noto a priori di bug o sull’assenza di contromisure. I limiti degli approcci metodologici basati su asset stanno, nel tempo, portando alla formulazione di metodologie differenti, con approcci semantici e pluridimensionali che potremmo scoprire, molto più flessibili e usabili in contesti eterogenei, con possibilità di approfondimenti a seconda del punto di vista aziendale. Più in generale, la positiva tendenza di ampliare le attività di cyber security risk assessment, coinvolgendo sempre di più il business, dovrà passare per forza da una semplificazione delle metodologie impiegate o, quantomeno, da un’attenta selezione degli input richiesti e di quelli “cablati” negli strumenti in modo da permettere il raggiungimento di risultati consistenti, sia tra loro che in termini assoluti.
La maggior parte degli strumenti software oggi a disposizione mal si adatta a questa tendenza, data l’impossibilità di intervenire in modo significativo sulle scelte metodologiche sottostanti l’implementazione dello strumento stesso. Inoltre, questi forniscono o un approccio troppo dettagliato che ne rende difficilissima la diffusione al di là di pochi esperti oppure rimangono a un livello molto alto di astrazione da rendere inutile l’esercizio. È ora di una nuova generazione di metodologie e strumenti che si adattino a questo contesto evolutivo e sarà tutt’altro che facile trovare il giusto equilibrio.
Luciano Quartarone, docente e Fabio Guasconi, membro del direttivo di CLUSIT
