La sicurezza delle informazioni attraverso la sicurezza informatica

In un mondo dove le informazioni sono il potere e la manipolazione delle informazioni costituisce una fonte di potere, la sicurezza delle informazioni costituisce un esercizio da praticare per 365 giorni l’anno, 24 ore al giorno

Di Michelangelo Stillante

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

È stato detto, ormai in forma ampiamente triturata, che le informazioni sono il nuovo filone d’oro: chi ha le informazioni ha il potere, chi ha le informazioni è un passo avanti agli altri nel creare giro d’affari, chi ha le informazioni può dettare le regole del gioco.

Anche gli ospedali ad esempio, oggi hanno bisogno di internet perché attraverso la rete contattano esperti all’altro capo del mondo, ricerca online milioni di dati e ricerche in tempo utile o snelliscono procedure di funzionamento (vedi ad esempio le banche dati dei trapianti). Ogni ente al mondo usa e produce informazioni, dati, metadati. Ogni ente al mondo che ha un accesso internet o che è in qualche modo dipendente da internet usa, scambia, produce, vende informazioni. E questo lo fa come scopo primario o secondario: ospedali, organizzazioni no profit o open source, internet providers, assicurazioni, attivisti o hackers, banche, aziende di sicurezza informatica o enti governativi. Tutti, prima o dopo, arrivano al punto di decidere se le informazioni che vengono usate devono essere protette o meno. Per pura sopravvivenza commerciale, operativa (protezione dei siti nucleari, centrali idroelettriche) o perché soggetto a direttive governative (GDPR o NIS ad esempio), tutti devono proteggere le informazioni o il loro utilizzo.

In un mondo dove le informazioni sono il potere e la manipolazione delle informazioni costituisce una fonte di potere, la sicurezza delle informazioni costituisce un esercizio da praticare per 365 giorni l’anno, 24 ore al giorno. Le informazioni sono potere quindi ma se e solo se sono Affidabili e Sicure, declinate secondo Confidenzialità, Integrità, Coerenza e Disponibilità. La sicurezza e la protezione dei dati passano inevitabilmente attraverso la robustezza e la protezione delle applicazioni, delle infrastrutture digitali e fisiche, del posto di lavoro e del fattore umano.
Dunque, abbiamo le informazioni e queste informazioni quindi devono essere protette. Sicurezza delle informazioni e sicurezza informatica vengono speso usate come sinonimi ma sinonimi NON sono. Facendo un paragone abbastanza banale potremmo dire che le informazioni sono oro e le guardie armate usate per proteggerlo sono la sicurezza  informatica.

Se, quando parliamo di informazioni, siamo tutti abbastanza concordi nell’identificarle, quando si parla di sicurezza digitale/informatica/cibernetica (e tutte le varianti del tema), le opinioni e le possibilità tecniche che ci si offrono sono di una tale varietà e quantità da lasciarci spesso dubbiosi e confusi, come minimo, su cosa si sta parlando e come utilizzare le varie soluzioni.

Qui iniziano oneri e onori sulla sua applicazione.

Per dipanare e chiarire qualche dubbio su quali soluzioni approcciare si deve prima chiarire cosa si sta facendo, cosa si vuole fare e cosa si è disposti a fare per proseguire su questa strada, ma che si parli di settore privato o meno, di sicurezza nazionale o meno, di sicurezza vigilato o automatizzata una cosa si deve chiarire subito: NON ESISTE la sicurezza al 100%.

Andando in ordine sparso nella sua analisi di attuazione si potrebbe iniziare a chiarire dei concetti di base. Naturalmente i vari punti che enuncerò non saranno esaustivi né dettagliati: giusto una sventagliata di sale e pepe per condire e solleticare la fantasia del lettore.

Penso che per cominciare si può e deve chiarire se siamo un Operatore di Servizi Essenziali (OSE) come centrali elettriche o ospedali, oppure un Digital Service Provider (DSP). Nel campo governativo ci si può chiedere se siamo parte del Dipartimento per le Informazioni e la Sicurezza (DIS), se facciamo parte o meno della Strategia nazionale per la Sicurezza Cibernetica presso il Comitato Interministeriale per la Sicurezza della Repubblica (CISR) o se ricopriamo un ruolo strategico (ad esempio le telecomunicazioni). Queste entità infatti per la natura dei loro servizi DEVONO investire nella sicurezza informatica una grossa fetta del proprio budget, pensando non solo ad un piano B, ma forse un piano C, D, E, F, G. La mancata osservanza e inadempienza in tutto o in parte alla sicurezza si può tradurre in miliardi di euro di perdita finanziaria, perdita della sovranità nazionale, perdita di vite umane.

Leggi anche:  ChatGPT fanta-phishing: i chatbot AI aiuteranno a combattere le cyber-truffe?

Inoltre, una domanda fondamentale di partenza che si deve porre è: la sicurezza è implementata da personale esterno all’entità di cui si parla o personale proprio? Le variabili aumentano così come i rischi e le soluzioni di implementazione della sicurezza.

A questo punto possiamo vedere che la strada si divide in Sicurezza Fisica e Sicurezza Logica. Sotto sicurezza fisica si potrebbero annotare i seguenti punti:

– Accesso all’edificio
– Scrivanie e ufficio di lavoro
– Continuità elettrica
– Sistema antincendio
– Protezione contro eventi naturali
– Varie ed eventuali

mentre sotto sicurezza logica potremmo rilevare i seguenti facenti parte della Infrastruttura Digitale:

– Protezione perimetrale
– Protezione endpoint e servers
– business continuity plan, Backup & Disaster recovery
– Linee di Connessione internet primarie e di backup
– Varie ed eventuali

Domande a raffica che mi vengono in mente e risposte alle quali che secondo me dovrebbero far parte di una qualunque analisi del rischio potrebbero essere le seguenti:

  • Sicurezza della Infrastruttura Fisica

– Come è organizzata la sicurezza perimetrale e dell’edificio: ci sono responsabili della sicurezza al cancello? È una zona recintata? la vigilanza è continua 24h al giorno? Ci sono telecamere? Sistema di videoregistrazione? Modalità di accesso alle registrazioni? Le persone sono su una lista di accesso o chiunque può entrare/accedere all’edificio? Il parcheggio esiste? Controllato? È sotterraneo o all’aperto? Esiste un posto accoglienza (reception)? Si entra con badge? il sistema è registrato? Esiste un controllo in entrata e/o uscita con scanner come negli aeroporti? Se si entra con badge, questo è valido solo per il piano interessato o i piani sono ad accesso controllato? L’accesso all’edificio è solo per dipendenti o anche visitatori? Ci sono consegne previste all’edificio/piani come ad esempio pranzo, pacchi, forniture? Se no, esiste un accesso secondario per i fornitori?

– Ci sono uffici chiusi (con vetrate o meno) o parliamo di spazi comuni e solo sale riunioni? Esiste una direttiva “NO carte” sulle scrivanie? Le scrivanie sono condivise o personali? Parliamo di laptop o computer da scrivania? Sono protetti con cavi di sicurezza? I cassetti sono con chiave o senza? Le password sono scritte e lasciate in evidenza oppure esiste una direttiva anche per la pwd?

– La continuità elettrica è assicurata? Ci sono generatori o linea indipendente di riserva che arriva direttamente dal gestore? Se ci sono generatori esiste sicuramente una riserva di carburante: come è gestito l’accesso e la sicurezza del sito? Esiste un sistema antincendio? Che tipo di sistema: schiuma, chimico, ad acqua? Esiste una riserva d’acqua?

– Che politica esiste contro gli eventi naturali? Il sito è vicino a diga o ferrovia? Esiste la possibilità di allagamenti, frane, smottamenti, terremoti? Il sito è vicino a realtà soggette ad esplosioni e/o interesse terroristico come banche, raffinerie, industrie chimiche, depositi di esplosivi/armi? Il sito è vicino al mare e soggetto a maremoti? Il sito è un posto isolato o vicino a strade ad alto scorrimento?

  • Sicurezza della Infrastruttura Digitale
Leggi anche:  Lutech e Fortinet, la cybersecurity multidisciplinare

– I dispositivi hanno la possibilità di collegarsi a internet o solo alcuni dipartimenti ne sono collegati: commerciale, direzione etc.? Esiste una linea internet di supporto in caso di guasto (back up)? Esiste una politica riguardo la possibilità di portare e collegare il proprio laptop/smartphone/tablet al lavoro?

– La protezione perimetrale è assicurata da Firewall, Honeypot, DMZ? Ci sono sistemi di protezione con IPS e/o IDS? Gli apparati di rete (router, switch) sono configurati contro attacchi o utilizzo improprio? Esistono in atto misure di sicurezza secondo gli standard minimi di amministrazione ad esempio come port violation, ACL, port shutdown, MAC filtering, porte switch/router non collegate fisicamente e/o in shutdown amministrativo? I comportamenti anomali degli IP sono segnalati e/o gestiti e/o bannati per indagine interna? Esistono bilanciatori per gestire il traffico in entrata e in uscita?

– I vari server sono configurati per ricevere gli aggiornamenti con le patch di sicurezza? Gli allegati alla posta aziendale sono scansionati prima della consegna agli utenti e prima della spedizione fuori dalla rete aziendale? Che livello raggiunge l’ispezione degli allegati compressi, o le macro in entrata e in uscita?

– I server antivirus gestiscono anche i dispositivi mobili, personali o meno? Esiste una politica di livello minimo di aggiornamento e/o sicurezza presenti sui dispositivi mobili, personali o meno, prima di farli accedere alla rete aziendale tipo controlli NAC? Accedono alla stessa rete aziendale di tutti i dispositivi o esiste una rete separata? La rete per gli ospiti è la stessa del personale aziendale? Quali risorse hanno a disposizione? Esiste una politica sull’uso di app consentite o meno: facebook, instagramm, google, photo e così via? Esiste un filtro per la navigazione internet con accessi e navigazione controllata e monitorata?

– Esiste un sistema di autenticazione AAA (autenticazione, autorizzazione, accounting)? Ci sono inoltre sistemi di autenticazione a più fattori e/o ad esempio retina, impronte digitali, chiavetta con sistema PIN usa e getta? Esiste un sistema per il cambio regolare e controllato delle password? Che tipo di robustezza esiste per i criteri per le password? Le politiche sono forzate o solo suggerite? Esiste una cronologia o altri criteri di osservanza quali evitare i nomi utenti, le date di nascita, e così via? Esiste una politica per le pwd anche degli apparati di rete: router, firewall, switch, servers, programmi in uso? chi e quante sono le persone autorizzate alla conoscenza delle password degli apparati di rete?

– È consentito l’uso dei floppy/cdrom/chiavette USB sui sistemi aziendali? Che tipo di protezione esiste se uno di questi dispositivi è consentito: all’avvio, all’uso, blocco in caso  di ispezione sospetta?

– I desktop aziendali sono fisici o virtuali? Esiste un sistema di blocco schermata o visione impedita che non sia quella dell’utente seduto di fronte? Esiste un sistema di backup dei dispositivi consapevole o inconsapevole? Che politica è stata implementata per i backup: giornalieri, full, incrementali, differenziali, settimanali? I laptop/desktop sono collegati via rete ethernet o solo via wifi?

– Gli apparati di rete (WIFI access points) sono ad accesso controllato e/o non accessibili facilmente? La sala server è ad accesso controllato e monitorato: chiave, impronta digitale, retina, badge, registro accessi? Gli armadi di rete sono a vista o chiusi in sala server?

– I server sono virtuali o fisici? Esiste una politica di backup locale con copie reperibili in siti diversi e lontani geograficamente dal luogo di origine? Il backup è su nastro o digitale? il backup è trasferito fisicamente con mezzi propri o compagnie esterne o inoltrato su linea dedicata ad orari controllati o al momento su linee ultraveloci? Per quanto tempo è conservato il back up?

Leggi anche:  MGM Resorts, in 10 minuti i criminali hanno ottenuto l’accesso ai sistemi

– Come avviene il disaster recevory? Che tempistica di ripristino esiste? Naturalmente se si fa parte di un CSIRT (Computer Security Incident Response Team), il tempo di risposta, Incident Response Time, deve essere estremamente basso e rapido e commisurato al danno che se ne potrebbe avere via via che il tempo passa senza servizio erogato o di risposta ad un incidente.

– Esiste una politica sul ciclo di vita delle informazioni e delle apparecchiature presenti in azienda: programmi, dati, apparati di rete, utenze, pwd, dati del personale?

– Esiste una sicurezza delle linee? Esiste una politica di crittografia dei dati o delle comunicazioni?

Sembra che io non abbia enunciato nulla che in un buon Documento Programmatico di Sicurezza debba essere presente.

Naturalmente perché tutto funzioni bisogna che qualcuno controlli che tutto venga fatto secondo regola, quindi come norma ci dovrebbe essere anche un sistema di controllo (AUDIT), per tutto di cui sopra, con verifica dei requisiti e tempistiche di procedure. I sistemi cambiano e le persone cambiano, quindi nel processo di audit è naturalmente compreso anche una valutazione del ciclo di vita degli apparati, del software, processo ciclico di validazione dei permessi degli utenti e dei dati utente stesso

Come ultima cosa da ricordare direi che possiamo prima cercare di investigare sull’analisi del rischio:
– Quali dati si protegge? Quale servizio si eroga?
– Cosa succede se si perdono i dati o il servizio non viene erogato?
– Cosa succede se perdo un backup?

Una volta stabilità l’entità del danno possibile/probabile, si deve decidere se correre il rischio o meno e/o mettere in atto misure contingenziali. Si deve quindi decidere se investire o meno, quanto investire e quanto preparati si deve essere per fronteggiare l’accadimento di un rischio. Come si vede, una volta stabilito ciò, tutto diviene una decisione “politica/manageriale”, e questo perché la sicurezza è/veniva normalmente trascurata fino al momento in cui non si subiva un danno.

Aspetto importantissimo: la formazione del personale, consapevolezza dei meccanismi d’ingegneria sociale e consapevolezza digitale, metodo di classificazione e archiviazione sono tutti aspetti che un datore dovrebbe prevedere, programmare e implementare. Il FATTORE UMANO è spesso l’anello (debole) della catena che determina la sua forza.

L’internet delle cose, o IoT come viene indicato spesso con l’acronimo, complica le cose dal punto di vista della mole di lavoro, ma niente (o quasi) cambia dal punto di vista del principio della sicurezza: anche loro hanno un software e un IP e un ciclo di vita.
Con la massiccia introduzione di dispositivi collegati ad internet, internet non è più internet ma IoT, internet delle cose. Con una tale mole di dispositivi e informazioni che circolano su internet, i precedenti dispositivi non erano pronti e aggiornati per far fronte all’implementazione della sicurezza informatica e l’intelligenza artificiale, AI, ha fatto la sua prepotente e invadente comparsa pubblica per dare una mano. Con l’introduzione di IoT e l’AI, la sicurezza informatica non è più tale ma Cybersecurity. Concetti vecchi, nomi nuovi per restare al passo dei tempi: IoT, Cyber (Threat, security, diplomacy, spazio, crime), NGFW e così via…

Decine e decine di riferimenti che possono fornire ulteriori spunti di conversazione e riflessione su come e cosa e quanto approfonditamente implementare le politiche di sicurezza.