Non riuscivo a trovare un titolo adatto per questo post, nel quale cerco di raccogliere diversi spunti che mi sono arrivati negli ultimi giorni e che ho pianificato, prima o poi, di parlarne assieme a Rocco Sicilia.

Parto dalla provocazione: il mondo della Cybersecurity è sicuramente, da alcuni anni, sotto un riflettore. In modo provocatorio (vediamo poi i motivi) lo definirei di “moda” (nel senso di “trendy”). Ci sono vari hype che si susseguono nel creare bisogni/paure con lo scopo di vendere soluzioni e servizi. Non c’è nulla di male in questo, ma dobbiamo distinguere l’agire per “moda” dall’agire strategico.

L’agire per “moda” è un impulso, estetico, a volte molto personale, spesso fatto per emulazione, e fondamentalmente è difficile risalire alla motivazione alla base di alcune scelte. Perché appunto è un impulso. Tradotto, per lo scopo di questo post, le misure di sicurezza scelte per impulso non sono guidate da una strategia e, ne abbiamo parlato già diverse volte, risultano poco efficaci. Questa modalità è estremamente diffusa, e facile da individuare: se chiedo “perché” è stata implementata una misura di sicurezza (NAC, firewall, Security Awareness Training Software…) la risposta tende ad essere (estremizzo e semplifico) “perché si”. Quasi sempre, queste misure di sicurezza scelte per impulso, non sono inserite in un processo e non sono presidiate (anche di questo abbiamo già parlato).

L’agire strategico (riassumo) parte da un’analisi e inserisce le misure di sicurezza in un disegno più alto. Ciascuna misura è scelta e inserita con uno specifico scopo, e misurata in quanto tale. Possono esserci eccezioni ma sono ben documentate e temporanee (con data certa). Perché un’eccezione indebolisce le protezioni che abbiamo implementato.

Un esempio, reale, che tocca i fondamentali: il firewall. Tutte le aziende hanno un firewall che sia perimetrale, dual bastion… Ma quasi nessuna azienda definisce le policy: le policy vengono fatte dai tecnici e spesso sono odiati perché limitano il lavoro altrui. L’agire strategico parte dallo scopo della propria infrastruttura, che è quello di essere di supporto al business. In quanto tale deve erogare dei servizi che sono implementati mediante server. Tali server, per funzionare hanno delle necessità di connettività e quindi dei rischi. I rischi vengono mitigati dividendo i server in aree e tali aree possono comunicare tra loro solo sotto determinate regole, che vengono tradotte in policy sui firewall. Nel mondo ideale non dovrei MAI trovare sistemi esposti pubblicamente e posizionati in reti considerate sicure. Tuttavia li trovo e spesso sono retaggi storici, abbandonati, non controllati ma, appunto esposti per “ragioni storiche”.

Poiché, nelle aziende, la sicurezza la fanno i tecnici, non c’è la forza di far emergere il mondo della Cybersecurity a livello aziendale.

E poi arriva il CISO.

Al CISO viene scaricata la responsabilità della Cybersecurity. E intendo proprio “scaricata”: ossia il problema, prima relegato ai tecnici, viene ora relegato ad un responsabile in modo che l’azienda possa continuare a dimenticarsene. Partiamo dai fondamentali:

• un CISO che non risponde al board, non può fare il suo lavoro;
• un CISO che non ha budget, non può fare il suo lavoro;
• un CISO che non ha potere di veto, non può fare il suo lavoro;
• un CISO che non viene consultato prima di qualsiasi scelta tecnologica, non può fare il suo lavoro.

Lo si è detto tante volte: la Cybersecurity è un problema aziendale, ma si continua a far finta di niente. Un paio di anni fa mi è capitato di intervistare alcuni CEO di Enterprise a me vicine. Le risposte sono state illuminanti perché mi hanno permesso di entrare nella loro mentalità comprendendo le loro necessita. In breve: la Cybersecurity non è un argomento di loro interesse, perché delegato al CIO / CISO (a seconda dell’azienda).

Ovviamente ci sono tante eccezioni, ma il comportamento dominante che noto è quello che vi ho descritto.