Perché Halloween ci offre una lezione di sicurezza

Mike Bursell, Chief Security Architect di Red Hat ci rivela che non tende a festeggiare Halloween: «principalmente perché sono profondamente britannico e non mi piace condividere dolcetti con altri se non per un valido motivo. Ma, mentre mi preparavo per chiudermi in casa, spegnere le luci e far finta di essere fuori, mi è venuto in mente che l’intero sketch del trick or treat in realtà potrebbe avere qualcosa da insegnare a noi professionisti della sicurezza».

Il curioso parallelo esige una spiegazione: «Il gioco prevede che i più piccoli vengano a casa tua e si propongano di spaventarti. Tu puoi scegliere se accettare o se evitare lo scherzo pauroso offrendo loro una manciata di caramelle o simili. Tutti scelgono l’opzione del dolcetto, ma in realtà abbiamo bisogno di essere spaventati. Se non abbiamo paura ogni tanto, sia a livello personale che organizzativo, è facile scivolare in uno di questi due approcci: noncuranza o panico».

Nella prima modalità, la noncuranza, spiega Bursell, si è consapevoli delle minacce, ma si pensa di essere tutto sommato al sicuro grazie alle contromisure in atto. Finché vengono applicate le patch fornite dai vendor di sicurezza entro 8 o 12 settimane dal loro arrivo, che cosa potrebbe mai accadere?

Mike Bursell, chief security officer di Red Hat

La risposta è che quando subiamo un attacco o il sistema viene compromesso, l’operatività quotidiana dell’azienda può interrompersi bruscamente, lasciando una reputazione distrutta, il rischio di sanzioni legate al GDPR.

Nella modalità panico invece, si passa il tempo ad aspettarci il peggio, temendo che ogni picco di traffico in rete sia un attacco DDoS, applicando tutte le patch più recenti senza valutarne prima l’impatto sui sistemi in produzione e impedendo ai team di sviluppo di implementare alcunché perché non hanno seguito il processo a 64 iterazioni presentato qualche anno fa.

Il peggio che può avvenire in questi casi? Paralisi, sfiducia e la caccia al colpevole quando l’azienda dimostra di non essere in grado di innovare alla stessa velocità della concorrenza, ricevendo alla fine dal Consiglio lo stesso invito di cambiare aria.

Ovviamente c’è anche la via di mezzo, spiega Bursell. «Dobbiamo essere pronti a rispondere, lasciando però spazio al cambiamento. Come? Permettendo a noi stessi di avere paura. Gli esseri umani imparano quando sono esposti a cose nuove e sentono la tensione. E con questo non voglio dire di aprire i sistemi a tutti e lasciare che i malintenzionati creino il caos in azienda ma ciò che si può fare è mantenere il controllo e, soprattutto, prepararsi».

Si comincia sempre dal risk assessment

La prima cosa da fare è il risk assessment. Quali dati, sistemi, persone, processi impatterebbero il business in modo significativo se fossero compromessi, smarriti o rubati? Di che tipo di impatto si tratterebbe?

Una volta chiarito questo, si può decidere come indirizzare gli sforzi di difesa. Si possono valutare anche le tipologie di attacco o di attaccanti più probabili «ma non rimanete bloccati su questo punto, è l’inatteso che vi sorprenderà ogni volta - dice Bursell -. Per affrontare in modo adeguato l’imprevisto si può coinvolgere un penetration team, o fare un brainstorming internamente per esempio. Se lo fate, invitate a partecipare persone dall’intera azienda: risorse umane, legal, vendite e servizi generali, ognuno di loro porterà una prospettiva diversa che molto probabilmente non avreste considerato».

Potrebbe sembrare un controsenso, ma gran parte dell’attività di preparazione non è legata all’essere proattivi, ma bensì all’istruire le persone a essere reattive quando qualcosa va storto. Non si tratta più di "se" ma di "quando" si verrà colpiti e, una volta che si è capito questo e si conosce come comportarsi se succede qualcosa di inaspettato, loro e anche voi, sarete molto più felici. «Dovete spiegare a tutti, dal CEO alla receptionist, che cosa cercare e cosa fare».

L'importanza dell'automazione della sicurezza

Ma la cosa più importante è automatizzare. Quello che le persone possono analizzare è limitato, così come la loro velocità di reazione. Le macchine non possono prendere decisioni intelligenti, anche se lo sviluppo di sistemi dotati di Machine Learning e di intelligenza arrtificiale sta migliorando questo aspetto, ma possono agire in modo rapido e coerente.

«Anche se in ultima istanza siete voi che decidete quali azioni dovrebbero intraprendere, è più importante mantenere il funzionamento dei sistemi di vendita o affrontare un possibile attacco malware?» Questo ha a che fare con il risk assessment. I sistemi di sicurezza potrebbero non essere capaci di anticipare l’inatteso, bisogna quindi considerare che cosa far loro controllare.

E non potranno mai vedere tutto, la notizia su un nuovo attacco ransomware o l’ospite che inserisce una chiavetta USB in un computer senza l’autorizzazione: «rassicurate il personale che saranno gli esseri umani a giocare sempre un ruolo chiave in questo mix».

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche iscriviti alla newsletter gratuita.

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here