Quantum security: ecco la crittografia perfetta

Un modello di cybersecurity per le organizzazioni

10 Luglio 2020 | Alessandro Sinibaldi | cybersecurity

Articolo letto 1419 volte

#CybersecurityCafé

Primo passo: i principi di sicurezza

di Alessandro Sinibaldi, CERT-AGID

In questo articolo, propongo un modello di riferimento, basato su tre livelli, per la sicurezza in un ente.

Il primo partendo dall’alto è quello dei Principi, che devono essere facilmente comprensibili e memorizzabili.

Il secondo livello è occupato dalle Contromisure, di cui sono un esempio le misure minime per le Pubbliche Amministrazioni o i 114 controlli di ISO 27001.

Il terzo livello è invece quello delle Regole tecniche, cioè dell’implementazione concreta delle misure di sicurezza. Insieme, i tre livelli rispondono rispettivamente alle domande “Perché?”, “Cosa?” e “Come?” nel senso che il primo livello fornisce le motivazioni o la vision, il secondo indica le contromisure da implementare che siano diretta emanazione dei principi, e il terzo è l’applicazione pratica. I tre livelli procedono nel senso di volatilità crescente perché, mentre i Principi sono pensati per essere il più immutabili possibile, così non è per le misure né tantomeno per le regole tecniche le quali sono legate a uno specifico contesto tecnologico, normativo, economico e sociale e, come tale, più rapidamente variabili.

I DIECI PRINCIPI

PRINCIPIO DI INVENTARIO • “Conosci te stesso”, intendendo con ciò che si deve sapere (e documentare) quali sono i propri asset, quali sono le minacce a questi asset, quali le vulnerabilità e quali i rischi a cui si è sottoposti.

PRINCIPIO DI ATTRIBUZIONE • Significa attribuire responsabilità chiare, gestire il logging e il monitoring degli eventi, gestire le autorizzazioni in modo corretto ma anche gestire i flussi di dati (cosa va a chi) e gestire le operazioni sui dati.

PRINCIPIO DELLA PERVASIVITÀ • Significa usare metodologie, standard e best practices, sviluppare policy, promuovere la security awareness, gestire tutto il ciclo di vita degli asset, presidiare i progetti, fare audit regolari.

PRINCIPIO DELLA RIDONDANZA • Tutto ciò che ha Valore deve avere una copia o un possibile sostituto che significa infrastrutture ridondate, backup, assenza di Single Point of Failure (anche nel senso di competenze e responsabilità) ma anche uso dell’autenticazione multifattore dove necessario.

PRINCIPIO DEL MINIMO • “Con il poco si gode, con il molto si tribola”. Alcuni esempi: ridurre la superficie di attacco, seguire i criteri del minimo privilegio e del need to know, usare catene di comando accorciate, semplificare i processi.

PRINCIPIO DEL MIGLIORAMENTO CONTINUO • Si può e si deve sempre fare di meglio che significa prevedere il cambiamento, aggiornare continuamente le competenze, monitorare l’evoluzione del contesto di sicurezza, fare assessment con regolarità.

PRINCIPIO DELL’AUTOMATIZZAZIONE • Significa ridurre le attività manuali e promuovere la digitalizzazione, usare indicatori oggettivi, misurare l’efficienza e l’efficacia dei processi.

PRINCIPIO DELLA TEMPORALITÀ • Significa imparare a lavorare per priorità, tenersi al passo con aggiornamenti e patch, correlare gli eventi, posizionare gli allarmi in modo appropriato, pianificare le azioni, gestire i colli di bottiglia che portano ritardi e il lavoro in emergenza.

PRINCIPIO DELLA DIVERSITÀ • Significa usare il pensiero laterale, mettersi dal punto di vista di un attaccante, elicitare i requisiti tenendo conto di tutti gli stakeholder, usare prodotti di nicchia e diversi tra loro, promuovere il pensiero critico nel team e valorizzare le differenze culturali.

PRINCIPIO DELLA SEPARAZIONE • Significa usare la Separation of duties, dividere asset con esigenze di sicurezza diverse, segmentare l’infrastruttura, creare profili applicativi diversi.

Ti è piaciuto questo articolo? Faccelo sapere!
Dai un voto da 1 a 5, ne terremo conto per scrivere i prossimi articoli.

Voto attuale: