Condividere le responsabilità per migliorare la sicurezza informatica

44

La parola sicuro non significa inviolabile, perché il rischio zero non esiste. Tuttavia, questo semplice principio non è ancora pienamente accettato.

Fonti internazionali che trattano il rischio come materia del proprio business hanno riportato messaggi puntuali e chiari su come tale concetto non sia perseguibile, spiegando che ogni rischio risulta quantificabile e gestibile, ma non completamente eludibile.

Il vero problema è che su questi aspetti oggi si è spesso ostinati e poco disposti ad accettare i rischi, oltre a non comprendere con precisione il reale danno che può essere generato da un abuso informatico – soprattutto in termini di brand-reputation e web-reputation – se non correlando il tutto a una diretta perdita di denaro.

Nel prossimo futuro verremo chiamati più volte in causa, in quanto siamo solo all’inizio di questa sorta di competizione che coinvolgerà tutti, pena una de-digitalizzazione di massa che riporterà l’uomo agli inizi del ‘900.

Se questo sia un presagio falso o una futura verità, lo scopriremo solo vivendo.

Sicuramente la materia è complessa ma dobbiamo cominciare a pensare che la sicurezza informatica viene fatta da ognuno di noi e coinvolge le vite di ognuno ed è arrivato il momento di elevarci dall’essere focalizzati solo sul business, perché il business, potrebbe non esserci più oppure riportare danni economici insostenibili.

Per evitare tutto questo, in una complessità in continuo aumento, c’è solo una soluzione: quella della condivisione della responsabilità.

La necessità di fare squadra

La sicurezza informatica riguarda una condivisione di compiti tra chi progetta i sistemi, chi fornisce i requisiti di sicurezza da implementare, chi ne esercisce le funzionalità e chi utilizza i sistemi.

Come una squadra di calcio protegge l’inviolabilità della propria porta da eventuali azioni di attacco, le persone coinvolte nella “squadra”, ognuna con il proprio ruolo e la propria responsabilità, garantiranno l’inviolabilità del sistema.

Se dovessimo dividere in fasi il ciclo di vita di un sistema, ci troveremo di fronte a macro-blocchi distinti e separati, in ognuno dei quali prenderanno parte attori differenti, che dovranno collaborare per progettare il sistema e, successivamente, esercirlo in modo sicuro.

La fase più delicata è sicuramente quella dell’ideazione del sistema, dove vengono effettuate le scelte strategiche per rendere il tutto sicuro sulla carta, oltre a garantire nel futuro una efficace fase di sicurezza a lungo termine.

La fase di consegna, invece, sarà una fase prettamente operativa e di messa in atto di tutto quello che è stato pensato sulla carta nella fase di progettazione del sistema: come ad esempio la scrittura del codice, l’installazione dei prodotti e delle infrastrutture fisiche di supporto.

Una sfida da vincere

La sicurezza informatica è una materia complessa, connessa alle nostre vite che giorno dopo giorno sono sempre più bramose di software e lo saranno ancor più nell’immediato futuro.

Tutti i sistemi sono violabili, questo è un dato di fatto: sappiamo anche che il successo di una violazione informatica è direttamente proporzionale al tempo di attacco e all’appetibilità dei dati contenuti in un sistema.

Occorre quindi mettere in atto tutte le migliori strategie per consentire che un eventuale attacco venga meno. Ogni membro della squadra dovrà conoscere bene gli avversari e le loro strategie, i compagni della propria squadra, il campo di gioco, le proprie strategie di difesa e agire in modo competente e appropriato per garantire l’inviolabilità della propria porta.

Ecco perché la sicurezza informatica è una responsabilità condivisadove il risultato finale potrà essere raggiunto solo tramite la collaborazione. Purtroppo ci scontriamo sempre con i soliti problemi: materia complessa e conoscenza relativa, carenza nella gestione dei dettagli, inadeguatezza di skill per poter ideare un sistema di sicurezza che si rispetti.

La grande sfida è proprio quella di elevare la cultura della cyber security su tutte le filiere di produzione dei sistemi, perché – d’altra parte – i sistemi li fanno i progettisti, le fabbriche e gli esercizi, oltre agli utilizzatori dei sistemi informatici stessi.

Continua a seguirci con il prossimo articolo del blog di Sicurezza Informatica Italia.

 

Vuoi approfondire le tematiche di sicurezza informatica e di Ethical Hacking?

Scopri il corso di Ethical Hacker & Security Manager targato Musa Formazione.

Leave A Reply

Your email address will not be published.