- Home
- Cybersecurity
- Un modello di cybersecurity per le organizzazioni
Un modello di cybersecurity per le organizzazioni
#CybersecurityCafé
Primo passo: i principi di sicurezza
di Alessandro Sinibaldi, CERT-AGID
In questo articolo, propongo un modello di riferimento, basato su tre livelli, per la sicurezza in un ente.
Il primo partendo dall’alto è quello dei Principi, che devono essere facilmente comprensibili e memorizzabili.
Il secondo livello è occupato dalle Contromisure, di cui sono un esempio le misure minime per le Pubbliche Amministrazioni o i 114 controlli di ISO 27001.
Il terzo livello è invece quello delle Regole tecniche, cioè dell’implementazione concreta delle misure di sicurezza. Insieme, i tre livelli rispondono rispettivamente alle domande “Perché?”, “Cosa?” e “Come?” nel senso che il primo livello fornisce le motivazioni o la vision, il secondo indica le contromisure da implementare che siano diretta emanazione dei principi, e il terzo è l’applicazione pratica. I tre livelli procedono nel senso di volatilità crescente perché, mentre i Principi sono pensati per essere il più immutabili possibile, così non è per le misure né tantomeno per le regole tecniche le quali sono legate a uno specifico contesto tecnologico, normativo, economico e sociale e, come tale, più rapidamente variabili.
I DIECI PRINCIPI
PRINCIPIO DI INVENTARIO • “Conosci te stesso”, intendendo con ciò che si deve sapere (e documentare) quali sono i propri asset, quali sono le minacce a questi asset, quali le vulnerabilità e quali i rischi a cui si è sottoposti.
PRINCIPIO DI ATTRIBUZIONE • Significa attribuire responsabilità chiare, gestire il logging e il monitoring degli eventi, gestire le autorizzazioni in modo corretto ma anche gestire i flussi di dati (cosa va a chi) e gestire le operazioni sui dati.
PRINCIPIO DELLA PERVASIVITÀ • Significa usare metodologie, standard e best practices, sviluppare policy, promuovere la security awareness, gestire tutto il ciclo di vita degli asset, presidiare i progetti, fare audit regolari.
PRINCIPIO DELLA RIDONDANZA • Tutto ciò che ha Valore deve avere una copia o un possibile sostituto che significa infrastrutture ridondate, backup, assenza di Single Point of Failure (anche nel senso di competenze e responsabilità) ma anche uso dell’autenticazione multifattore dove necessario.
PRINCIPIO DEL MINIMO • “Con il poco si gode, con il molto si tribola”. Alcuni esempi: ridurre la superficie di attacco, seguire i criteri del minimo privilegio e del need to know, usare catene di comando accorciate, semplificare i processi.
PRINCIPIO DEL MIGLIORAMENTO CONTINUO • Si può e si deve sempre fare di meglio che significa prevedere il cambiamento, aggiornare continuamente le competenze, monitorare l’evoluzione del contesto di sicurezza, fare assessment con regolarità.
PRINCIPIO DELL’AUTOMATIZZAZIONE • Significa ridurre le attività manuali e promuovere la digitalizzazione, usare indicatori oggettivi, misurare l’efficienza e l’efficacia dei processi.
PRINCIPIO DELLA TEMPORALITÀ • Significa imparare a lavorare per priorità, tenersi al passo con aggiornamenti e patch, correlare gli eventi, posizionare gli allarmi in modo appropriato, pianificare le azioni, gestire i colli di bottiglia che portano ritardi e il lavoro in emergenza.
PRINCIPIO DELLA DIVERSITÀ • Significa usare il pensiero laterale, mettersi dal punto di vista di un attaccante, elicitare i requisiti tenendo conto di tutti gli stakeholder, usare prodotti di nicchia e diversi tra loro, promuovere il pensiero critico nel team e valorizzare le differenze culturali.
PRINCIPIO DELLA SEPARAZIONE • Significa usare la Separation of duties, dividere asset con esigenze di sicurezza diverse, segmentare l’infrastruttura, creare profili applicativi diversi.
Dai un voto da 1 a 5, ne terremo conto per scrivere i prossimi articoli.
Voto attuale:
Valutazione attuale: 5 / 5
-
il filo - estate 2020Editoriale
-
Quando il mare ci può curarecaffè scientifico
-
Un laboratorio grande come la Siciliacaffè scientifico
-
Un oceano di dati per un pianeta in salutecaffè scientifico
-
Dal mare una rete di dati opencaffè scientifico
-
La DaD a supporto dell’inclusioneservizi alla comunità
-
GARR CERT: 20 anni e non sentirliservizi alla comunità
-
L’università si riscopre onlinela voce della comunità
-
DaD: dall’emergenza all’opportunitàla voce della comunità
-
Studiare il cambiamento per coltivare il futurola voce della comunità
-
Coronavirus: il supercomputer ENEA per la ricerca scientifica su farmaci e vaccinila voce della comunità
-
Simulazioni biomolecolari: primi risultati di Sibylla Biotechla voce della comunità
-
OpenAIRE per Covid-19: dal Cnr un repository per i risultati della ricercala voce della comunità
-
Nuove lenti gravitazionali prese nella rete … neuralela voce della comunità
-
IPv6 e sicurezza: la prova della realtàosservatorio della rete
-
L’Europa passa per la fibra otticaosservatorio della rete
-
La cybersecurity non bastacybersecurity
-
Quantum security: ecco la crittografia perfettacybersecurity
-
Un modello di cybersecurity per le organizzazionicybersecurity
-
One Cloud to link them allla nuvola della ricerca e istruzione
-
Una nuvola a prova di terremotola nuvola della ricerca e istruzione
-
I pilastri della scienza apertainternazionale
-
Covid-19: come non parlarneinternazionale
-
Un senso di comunità che si rinnova nel tempoieri, oggi, domani
Articoli nella rubrica
-
di Simona Venuti
-
di Giuseppe Vallone
-
di Alessandro Sinibaldi
Archivio GARR NEWS
- Numero 29 - anno 2023
- Numero 28 - anno 2023
- Numero 27 - anno 2022
- Numero 26 - anno 2022
- Numero 25 - anno 2021
- Numero 24 - anno 2021
- Numero 23 - anno 2020
- Numero 22 - anno 2020
- Numero 21 - anno 2019
- Numero 20 - anno 2019
- Numero 19 - anno 2018
- Numero 18 - anno 2018
- Numero 17 - anno 2017
- Numero 16 - anno 2017
- Numero 15 - anno 2016
- Numero 14 - anno 2016
- Numero 13 - anno 2015
- Numero 12 - anno 2015
- Numero 11 - anno 2014
- Numero 10 - anno 2014
- Numero 9 - anno 2013
- Numero 8 - anno 2013
- Numero 7 - anno 2012
- Numero 6 - anno 2012
- Numero 5 - anno 2011
- Numero 4 - anno 2011
- Numero 3 - anno 2010
- Numero 2 - anno 2010
- Numero 1 - anno 2009
- Numero 0 - anno 2009