you-books.com
Book menu
  1. John Rossman
  2. Pensare come Amazon
  3. Chapter36.xhtml
Prev Next

idea 36

LA SICUREZZA INFORMATICA DEVE SPARIRE

Fai sì che la sicurezza informatica sia il compito di tutti

La cybersecurity è molto più di un problema IT.

—Stéphane Nappo

A tutti piacciono le risposte facili. Tutti amano risposte immediate che affidano le responsabilità a un team o una persona e che offrono un evidente capro espiatorio quando le cose vanno male.

A tutti piacciono le risposte facili che promettono che il tal prodotto tecnologico porterà a determinati risultati e sono soprattutto i manager e il CDA ad apprezzare le risposte facili in ambito di cybersecurity. Perché? Perché non comprendono i rischi e sono spaventati, vogliono credere disperatamente a queste risposte. Se per caso ho descritto te o i tuoi manager, mi dispiace, ma non vorrai sentire la risposta che sto per darti.

idea 36: La sicurezza non è un ruolo. Sicurezza non significa eliminare i rischi. La sicurezza è lo sviluppo integrato di requisiti, persone, processi e accettazione del rischio, che andranno poi instillati all’interno dei team.

Larry Huges ha realizzato i primissimi firewall di Amazon. Era il numero due degli ingegneri per la sicurezza e il secondo responsabile a livello mondiale della sicurezza aziendale e del sito web. Da allora è stato leader e consulente per varie aziende su temi come il rischio di impresa e la cybersecurity.

Io e Larry abbiamo lavorato insieme per la priva volta nel 2002, quando guidavo il lancio del Marketplace di Amazon. I pagamenti erano l’area a maggior rischio in quel business. Discutendo le lezioni che Larry aveva appreso lavorando per la cybersecurity di Amazon, mi fece notare che il secondo principio della leadership, “responsabilità”, è ancora più vero in ambito di sicurezza informatica. Da manager non puoi passare a qualcun altro la patata bollente, ma ne sei responsabile.

Ecco alcune delle lezioni e delle idee che Larry ha imparato in Amazon e che ancora influenzano il suo modo di lavorare:

1.   Budget per la sicurezza informatica giustificato dal business: I team e i fornitori di servizi interni all’azienda devono prendere decisioni e fare investimenti mirati a mettere in sicurezza l’area, esattamente come qualsiasi altra spesa relativa al business. Per esempio, il team che realizza gli strumenti per la produttività aziendale, come l’email, potrebbe dire “abbiamo bisogno di un filtro anti-spam” e questa decisione, così come il budget, sarebbero gestiti dal team. Perché? Perché lo spam ha un effetto negativo sullo strumento più usato per le comunicazioni di quel business. Perché noi esperti di sicurezza dovremmo prevedere o migliorare le operation di un altro team? Questo modo di pensare porta alla “learned helplessness”, che rimane uno dei principali problemi di sicurezza delle imprese.

2.   Responsabilità distribuita: Proprio come il budget per la cybersecurity, che deve essere stanziato dai business team, anche la sicurezza è una responsabilità degli stessi team. Questi ultimi possono affidarsi all’esperienza e agli standard indicati dal team di sicurezza centrale dell’azienda, ma rimangono comunque responsabili di ogni aspetto dei propri business.

3.   Il ruolo del CISO (Chief Information Security Officer) e i team: Allo stesso modo dei reparti che si occupano delle tasse o delle questioni legali, anche il gruppo responsabile del CISO è un service provider dei business team. Il suo lavoro è quelli di ottenere i “sì” (vedi Idea 12). Il motto del team di Larry era “Non diciamo mai ‘No’!”. Talvolta dovrai rivedere i requisiti e l’approccio per arrivare a una soluzione.

4.   Integrazione: Il team CISO deve investire molto tempo a interagire con le parti interessate così da conoscerle meglio, in particolare scoprire le loro problematiche più urgenti. Questo team dovrebbe essere coinvolto e offrire supporto e consulenza già nelle fasi iniziali. Così facendo, si andrà a eliminare quell’approccio alla sicurezza stile “torre d’avorio”. Se effettuata correttamente, l’integrazione della sicurezza nei team rende la loro vita più semplice, non più complicata.

5.   Sicurezza by design: Applicare i sistemi in sicurezza non significa seguire una checklist o una serie di passaggi di un processo. La sicurezza è come qualsiasi altro insieme di requisiti o competenze. Quando si sviluppa e si gestisce una funzionalità, devono essere considerati e articolati i requisiti di sicurezza, i rischi e gli scenari.

6.   Rischio: Il CISO supporta i business team nella valutazione dei rischi e nel “risk modeling”. La sicurezza si basa sul conoscere i rischi, sul quantificare la probabilità in relazione al valore dei dati o degli asset. I rischi legati alla cybersecurity devono essere gestiti come gli altri rischi di business.

7.   Conoscere i tuoi asset: Devi catalogare scrupolosamente i tuoi dati e i tuoi asset. A nessuno piace farlo, ma è necessario. Se non sai quali sono i tuoi asset, o se non conosci il valore dei tuoi dati, come puoi prendere decisioni di business corrette?

8.   Difendere i dati: È necessario stabilire chi debba amministrare i dati più critici per il business. I responsabili devono avere totale responsabilità su tutti gli aspetti relativi ai dati che gestiscono, inclusa la loro sicurezza.

9.   Security assessment e implementazione di processi di sicurezza nel framework: Il CISO si occupa di indicare i processi e il framework per la valutazione della sicurezza e le relative discussioni. Organizzazioni come Commerce Department del National Institute of Standards and Technology (NIST) stanno sviluppando framework, modelli e processi standard che i CISO possono usare per spingere l’adozione delle misure all’interno delle aziende.

10.  Solo un altro difetto: La ciliegina sulla torta è il pensare a un problema di cybersecurity come se fosse un qualsiasi altro difetto. Nessuno decide di sviluppare un sistema carente in fatto di sicurezza. Quando i problemi di cybersecurity emergono, dovrebbero essere sradicati con lo stesso rigore che si applica ad altri tipi di difetti.

SECURITY BY DESIGN

L’approccio secure (o security) by design (SbD) “significa che il software (o il sistema) è stato sviluppato dall’inizio tenendo a mente la sicurezza. Si dà per scontato che verranno fatti errori o non seguite le giuste procedure e si presta molta attenzione a minimizzare l’impatto delle vulnerabilità scoperte o dell’inserimento di valori invalidi da parte degli utenti”.1 Dare per scontato che accadrà il peggio e quindi integrare la sicurezza come requisito durante lo sviluppo, invece che effettuare audit e ispezioni, è cruciale. Far sì che il business team e il team tecnico siano responsabili della sicurezza del loro reparto e dei loro sistemi supporta la natura centralizzata e proattiva tipica della SbD.

Uno degli incidenti di cybersecurity più famosi è avvenuto nel 2013, quando Target è stata hackerata e sono stati sottratti i dati personali e le informazioni finanziarie di 110 milioni di clienti dell’azienda. È stata condotta un’approfondita analisi, una lettura affascinante.2 Uno degli esperti ha sintetizzato il “Target Kill Chain Report” in questa maniera:

1.   Gli attacchi, le difese e le opportunità perse sono descritti in inglese, con pochi dettagli tecnici che interrompono la presentazione.

2.   Man mano che si scoprono nuovi dettagli, diventa chiaro che la sicurezza informatica non può raggiungere uno stato tale per cui puoi considerala completata. È uno sforzo continuo e richiede che il CEO e il board vadano oltre la semplice compliance verso una vera gestione del rischio.

3.   Gli autori danno la giusta enfasi all’importanza della “defense in depth”, un concetto chiave della moderna cybersecurity. Inizia installando un firewall che respinga la maggior parte delle minacce, ma usa anche programmi di monitoraggio, barriere fra i sistemi interni e altri controlli per identificare ed eliminare i malware che riescono a superare le prime difese.3

Garantire la sicurezza, comprendere e quantificare i rischi e partecipare alle discussioni sui compromessi a cui scendere sono compiti del board e della C Suite. Nonostante partecipino alla discussione e collaborino, il tuo CIO o il CISO non possono essere responsabili di tutto. Quindi, se da un lato è vero che “la sicurezza informatica deve sparire”, dall’altro la sicurezza e la gestione del rischio devono essere integrate in tutti i tuoi progetti e processi, nella formazione, nel modo di pensare. La sicurezza deve diventare un’abitudine.

DOMANDE DA PORSI

1.  Hai una lista che elenchi in ordine di importanza i tuoi asset e i relativi rischi di cybersecurity?

2.  La cybersecurity è integrata in tutti i processi di sviluppo e management o si tratta solo di un punto di una checklist?

3.  La responsabilità per i rischi relativi alla cybersecurity è nelle mani dei business leader?

* Questa idea è stata redatta insieme a Larry Hughes.

Prev Next
Pensare come Amazon
titlepage.xhtml
Frontmatter.xhtml
Halftitle.xhtml
Title.xhtml
Copyright.xhtml
Contents.xhtml
Author.xhtml
Introduction.xhtml
Part1.xhtml
Chapter01.xhtml
Chapter02.xhtml
Chapter03.xhtml
Chapter04.xhtml
Chapter05.xhtml
Chapter06.xhtml
Chapter07.xhtml
Chapter08.xhtml
Chapter09.xhtml
Chapter10.xhtml
Chapter11.xhtml
Chapter12.xhtml
Chapter13.xhtml
Chapter14.xhtml
Chapter15.xhtml
Part2.xhtml
Chapter16.xhtml
Chapter17.xhtml
Chapter18.xhtml
Chapter19.xhtml
Chapter20.xhtml
Chapter21.xhtml
Chapter22.xhtml
Chapter23.xhtml
Chapter24.xhtml
Chapter25.xhtml
Chapter26.xhtml
Chapter27.xhtml
Chapter28.xhtml
Chapter29.xhtml
Chapter30.xhtml
Part3.xhtml
Chapter31.xhtml
Chapter32.xhtml
Chapter33.xhtml
Chapter34.xhtml
Chapter35.xhtml
Chapter36.xhtml
Chapter37.xhtml
Chapter38.xhtml
Chapter39.xhtml
Chapter40.xhtml
Chapter41.xhtml
Part4.xhtml
Chapter42.xhtml
Chapter43.xhtml
Chapter44.xhtml
Chapter45.xhtml
Chapter46.xhtml
Chapter47.xhtml
Chapter48.xhtml
Chapter49.xhtml
Chapter50.xhtml
Chapter51.xhtml
Note.xhtml
Index.xhtml
Book.xhtml