Security

AssetProtection. Approccio integrato alla sicurezza nell’era dell’IoT

di Alberto Buzzoli, Socio ANSSAIF – Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria |

Penetration test, vulnerability assessment e scansioni delle reti WiFi dovranno essere coerentemente innestate in tutti i contesti aziendali.

La rubrica AssetProtection, ovvero Riflessioni su sicurezza e terrorismo, a cura di Anthony Cecil Wright, presidente Anssaif (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria). Per consultare gli articoli precedenti clicca qui.

Di recente si è conclusa la due giornate del Security Summit a Roma. Un’agenda molto fitta di interventi ed un apprezzabile livello degli argomenti trattati hanno contraddistinto l’evento. Traendo spunto da un intervento in particolare, al quale ho avuto il piacere di partecipare apportando una testimonianza, vorrei condividere, seppur sinteticamente, un possibile approccio integrato alla sicurezza, anche attraverso l’impiego di attività preventive di natura tecnica.

Molto spesso abbiamo parlato di sicurezza integrata facendo riferimento alla necessità di adottare un approccio sistemico multidisciplinare. E altrettanto spesso abbiamo sostenuto che la dimensione umanistica, che riguarda le persone, ricopra un ruolo fondamentale nella messa a punto dei sistemi di sicurezza. Non vorrei però che si cadesse in equivoco, arrivando a credere che le attività tecnico-preventive non ricoprano un ruolo ugualmente importante.

Siamo tutti concordi nell’asserire che la sicurezza non è più solamente una questione fondata sulla prevenzione, ma anche sul coordinamento delle attività predisposte per la gestione dell’incidente quando ormai è avvenuto. In un certo senso, concetti propri della sicurezza si fondono con altri tipici della business continuity nel tentativo di incrementare la resilienza delle organizzazioni.

Un’attività tipica della business continuity, ovvero la simulazione, si coniuga alla perfezione con attività più prettamente tecniche come i penetration test. Mentre il controllo di efficacia di una contromisura risponde in modo positivo o negativo a variabili predeterminate, la simulazione tecnica consente di individuare, durante lo svolgimento delle prove di intrusione, una gran quantità di variabili e concatenazioni di cause ed effetti tra esse che nella fase di studio a tavolino potrebbero non emergere.

Ciò rappresenta la grande opportunità di riuscire a mettere in campo al momento del bisogno operazioni ben coordinate e ritornare in tempi più che apprezzabili alla normalità.

Inoltre bisogna considerare anche un ulteriore elemento. La progressiva diffusione di dispositivi di controllo permanentemente connessi anche in rete pubblica, seppur attraverso canali protetti, rappresenta parallelamente al vantaggio di rendere i sistemi di sicurezza più efficienti anche il grave rischio di tramutarli in vere e proprie vulnerabilità, qualora questi stessi potessero essere governati da utenti non autorizzati. Appare quindi fondamentale, ancora una volta, attribuire il giusto valore anche ad attività tecniche specifiche che possano individuare falle nella componentistica di singoli apparati. Queste operazioni, unitamente ad un controllo serrato sulla catena di fornitura – attività questa più propria di un approccio sistemico – configurano la giusta strada da percorrere per agire in modo responsabile nell’era dell’IoT.

Occorre infine considerare che, quando si parla di efficacia dei controlli predisposti e dell’evasione fraudolenta delle misure di sicurezza nei Modelli di Organizzazione e Gestione aziendale, in riferimento ai reati informatici, determinate attività preventive di natura tecnica potrebbero risultare per la magistratura elementi più pertinenti rispetto a una più inconcludente procedura solo su carta. D’altro canto anche le nuove regole per la privacy richiedono un approccio molto meno formale e quanto più sostanziale possibile.

Penetration test, vulnerability assessment e scansioni delle reti WiFi, attività richieste obbligatoriamente per il PCI DSS e oramai familiari per il mondo degli strumenti elettronici di pagamento, dovranno essere coerentemente innestate anche in altri contesti. L’impiego di architetture organizzative, tipiche dei sistemi di gestione, potenziate dall’impiego di attività tecnico-preventive e attività reattive (anche di tipo forense) determineranno certamente un nuovo e più potente modello di sicurezza.