ABC della sicurezza

ABC della sicurezza: Defense in Depth

Sicurezza2

Oggi le aziende, per affrontare e gestire i rischi potenziali che arrivano dalla rete e che minacciano di comprometterne la sicurezza e il business, devono comprendere effettivamente tutti i rischi reali che si potranno trovare a fronteggiare, la cui entità è basata sul valore dei propri asset aziendali e sulla vulnerabilità potenziale degli asset medesimi. Una volta valutato il rischio è possibile stabilire le priorità e affrontare la difesa in maniera pragmatica, sia dal punto di vista economico che da quello dell’efficacia delle soluzioni.

Questo vuol dire che, quando anche in precedenza abbiamo invitato alla prudenza e a migliorare aspetti di security, l’auspicio è che le organizzazioni facciano propria, a livello strategico, la necessità di adottare logiche di “difesa in profondità” senza lasciarsi scoraggiare dalla apparente difficoltà che si nasconde dietro questo approccio.

Di cosa si tratta

La “difesa in profondità” o Defense-in-Depth è l’approccio alla sicurezza delle informazioni che prevede il raggiungimento di una corretta postura di sicurezza attraverso l’utilizzo coordinato e combinato di molteplici contromisure di sicurezza. Questa complessa strategia difensiva si fonda sull’integrazione di tre differenti categorie di elementi: le persone, la tecnologia e le modalità operative. La ridondanza e la distribuzione delle contromisure possono essere sintetizzate in due frasi: “difesa in differenti posizioni” e “difesa a differenti livelli” (“Defense in Multiple places”, “Layered Defenses”). Il concetto in esame non è certamente nuovo ed è di derivazione militare e si basa su questo assunto: nel caso che un attacco abbia successo, che tradotto in termini di difesa consiste nel fallimento di un meccanismo di sicurezza, altri meccanismi di sicurezza possono intervenire per consentire un’adeguata protezione dell’intero sistema. Il tutto appare abbastanza logico, si tratta di ritenere come valido il concetto che per un nemico sia più complicato penetrare una struttura di difesa complessa e a più livelli rispetto a dover superare una singola barriera. Se ci fermasse a quest’ultima semplice e logica considerazione sarebbe sufficiente munire ciascuna organizzazione o qualsiasi azienda di un gran numero di tecnologie, soluzioni, misure e contromisure tecnologiche, operative e organizzative. Ciò porterebbe ad un aumento esponenziale della complessità e dei costi, senza alcuna assicurazione sugli effettivi risultati e addirittura con il rischio di effetti deleteri e controproducenti.

Così come ogni decisione di ambito finanziario è raggiunta valutando i “trade-off” fra rischio e guadagno atteso, allo stesso modo devono essere considerate le modalità con cui viene affrontata la sicurezza delle informazioni di un’azienda.

Esaminiamo ora uno per uno i tre elementi chiave che devono comporre la “difesa in profondità”: le persone, la tecnologia e le modalità operative.

  • Le persone
    Una buona postura relativamente alla sicurezza delle informazioni pone le sue fondamenta in un’azienda sulle persone e principalmente sugli alti livelli e sul senior management (CIO in primis), l’impegno del management deve essere quello di avere una profonda conoscenza dei rischi e delle minacce, a questa consapevolezza deve seguire l’emanazione di policies, la definizione di procedure, l’assegnazione di ruoli e responsabilità, l’addestramento del personale, nonché la realizzazione di misure di sicurezza fisica a protezione dell’infrastruttura tecnologica.
  • La tecnologia
    La difesa in profondità prevede la distribuzione in più punti delle tecnologie difensive, un approccio a più livelli e l’implementazione di meccanismi che permettano il rilevamento delle intrusioni.
    I componenti tecnologici più comuni sono essenzialmente i firewall, i software antivirus e/o anti-spyware, gli IDS/IPS (Intrusion Detection/Prevention System) – integrati o meno nei firewall – l’utilizzo della crittografia, la definizione e l’applicazione di ACL (access control list), l’utilizzo di un sistema di password gerarchico e software che effettuano il monitoraggio dell’integrità dei file. L’autenticazione può avvenire tramite l’utilizzo di tecniche legate alla biometria e in quest’ambito può essere realizzata a livello aziendale una PKI (Public Key Infrastructure) per una robusta gestione delle “chiavi” di accesso ai vari componenti dell’infrastruttura.
    E’ bene enfatizzare l’aspetto relativo al rilevamento (“detection”) che affianca quello della protezione (“protection”) dalle intrusioni. Le risposte che devono essere fornite dagli strumenti di detection, insieme alle attività di analisi e la correlazione, sono quelle relative alle domande: “Sono sotto attacco?” “Qual è la sorgente dell’attacco?” “Qual è l’obiettivo dell’attacco?” “Quali contromisure posso mettere in atto?”.
  • Le modalità operative
    Le attività quotidiane dei componenti di un’azienda devono perseguire e aderire agli stessi obiettivi della difesa in profondità. In questo ambito fra le attività e gli elementi più importanti possiamo citare: l’applicazione di aggiornamenti di sicurezza, l’aggiornamento continuo delle soluzioni antivirus, la manutenzione della ACL, l’esecuzione di attività di assessment (scansioni periodiche sulle vulnerabilità dei sistemi), il monitoraggio e la conseguente reazione alle minacce oltre alla pianificazione in ambito di DIsaster Recovery e Business Continuity. Questo elenco di attività non pretende di essere esaustivo, i mezzi che è possibile dispiegare sono tantissimi, da quelli reattivi a quelli proattivi, dalle misure preventive alle tecniche di remediation, alla forensics, fino alle tecniche di intelligence.

Vista l’ampiezza e la pervasività del ventaglio di soluzioni, seguire le indicazioni della difesa in profondità in maniera indiscriminata e pedissequa potrebbe aumentare la complessità dell’intero sistema e – come è possibile intuire – si andrebbe contro al principio di “semplicità” molto spesso evocato e messo in pratica in ambito sicurezza. In effetti si potrebbe sintetizzare il paradosso in questa frase: l’aggiunta di nuove funzionalità di protezione e sicurezza aumenta la complessità e la complessità comporta nuovi rischi. Ciò che deve fare da guida e costituire la bussola che permette di orientare le scelte in ambito aziendale è come sempre l’equilibrio, ma cosa permette ad un manager o ad un board di fare le scelte più corrette? La risposta risiede nella valutazione dei rischi. Le attività di risk assessment devono essere il faro che guida nelle scelte. La scala delle priorità negli investimenti nell’ambito sicurezza deve essere dettata in funzione dei rischi per il business aziendale.

Luigi Cristiani

Luigi Cristiani

Luigi Cristiani è il responsabile dell’infrastruttura di rete e trasmissione dati di Cedecra Informatica Bancaria, centro servizi informatici che opera al servizio delle Banche di Credito Cooperativo in Emilia-Romagna. Laureato in Scienze dell’Informazione all’Università di Bologna ha, nel corso degli anni, maturato interesse e passione per i temi della sicurezza informatica, con il convincimento che le problematiche di sicurezza vadano condivise e discusse non solo fra gli addetti ai lavori, bensì portate all’attenzione del pubblico più vasto possibile.

Twitter LinkedIn 

11 commenti

Commenti e reazioni su:

Loading Facebook Comments ...

No Trackbacks.

TechEconomy è il portale di informazione dedicato a manager, imprenditori e professionisti che vogliono approfondire e comprendere l’impatto delle tecnologie nello sviluppo del business nelle PMI come nell’industria, nella finanza, nei servizi.
Si rivolge insomma a tutti coloro che vogliono capire come le nuove realtà dell'Information Technology - Web 2.0, e-Business, net economy - stiano cambiando l’economia, e con essa la società.
Inizio
Shares
Share This