Come bilanciare esigenze di compliance, security e crescita aziendale nella scelta delle misure di sicurezza tecniche

 

Può un CISO far risparmiare la propria azienda garantendo conformità alle norme e raggiungendo gli obiettivi di sicurezza prefissati?

Nel mutevole contesto normativo e tecnologico, caratterizzato da un’evoluzione costante che può confondere chi si occupa di diritto e della sicurezza informatica all’interno di organizzazioni complesse, è sempre più arduo coniugare le ragioni della tripartizione tra compliance, sicurezza e business.

Questa breve disamina si prefigge l’obiettivo di analizzare il ventaglio di possibilità che si apre innanzi ad un CISO (Chief Information Security Officer) nel momento in cui sceglie di intraprendere un percorso di progettazione architetturale delle misure di sicurezza tecniche funzionali alla mitigazione dei rischi relativi alla cybersecurity.

Ultimamente il problema è stato posto da Uzair Amir di HackRead, che ha avuto modo di riassumere egregiamente le problematiche di natura tecnica. Tale visione, però, necessita di essere corredata da un’analisi giuridica che possa estrinsecarne la ratio e rendere tali tesi valide anche sotto il profilo della compliance.[1]

Propedeutico al discorso in oggetto è il riferimento normativo per provvedere all’adempimento di obblighi ex lege in materia di perimetro di sicurezza nazionale cibernetica (cfr. Decreto-legge n. 105 del 21 settembre 2019, convertito con modificazioni dalla legge n. 133 del 18 novembre 2019 “Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica” di cui la prima attuazione con DPCM n. 131 del 30 luglio 2020, pubblicato in G.U. del 21 ottobre 2020, n. 261).

Gli obblighi derivanti da tale normativa riguardano soprattutto la gestione degli asset interni all’azienda e, di conseguenza, alla possibilità che alcuni vendor possano compromettere la sicurezza aziendale.

A titolo esemplificativo l’esperienza aziendale insegna che, nell’alveo del problem solving strategico, affidarsi a diversi fornitori in cybersecurity diluisce esponenzialmente le priorità in capo a una singola struttura piramidale e produce confusione organizzativa.

Immaginate di eseguire un software separato per la protezione antivirus, un altro per la scansione delle e-mail, un altro ancora per la rimozione dello spyware e così via. Per le imprese possono essere impiegate anche soluzioni separate per il rilevamento e la risposta degli endpoint (EDR), l’analisi comportamentale degli utenti (UBA) e l’analisi del traffico di rete (NTA).

Una fazione disinformata potrà pensare che il match di attività di vari fornitori produca il meglio del meglio per la protezione dell’impresa, la sostanza però si traduce in una configurazione poco obiettiva; perché?

 

1. Complessità

In primis, non è materialmente escludibile la ridondanza di funzioni. La maggior parte degli antivirali, ad esempio, è dotata di una moltitudine di funzioni tra le quali emergono la scansione delle e-mail, la gestione delle password e persino la scansione dei link. Non sarà facile creare convergenza se per ottenere la giusta reazione si propongono azioni contrastanti, l’eterogenesi dei fini è il rischio da evitare; e allora il raziocinio porta a logici interrogativi: esiste una gerarchia? Quali opzioni dovrebbero essere disattivate (se possono essere disattivate)? Quali devono poter continuare a funzionare? È possibile far funzionare contemporaneamente funzioni simili?

Nel frattempo, sopraggiunge il diluvio di allarmi di sicurezza ed è già travolgente avere un flusso apparentemente infinito di notifiche provenienti dalle attuali soluzioni di sicurezza come l’EDR. Si verifica l’esatta condizione ostativa al funzionamento regolare: invece di ottenere un migliore rilevamento e prevenzione delle minacce, l’esecuzione di funzioni di sicurezza simili può portare a conflitti di sistema e a un carico di informazioni inutili nell’illusione di un’immunità da minacce informatiche.

 

2. Inadeguatezza e dispendiosità

Questa situazione viene definita come “Inadequate Defense-in-Depth“, una delle tre pratiche di sicurezza della rete che i CISO dovrebbero evitare secondo un post approfondito su Gartner[2].

Questo approccio è spesso frainteso nel senso di “utilizzare più fornitori” o di preferire un orientamento di tipo “best of breed” per tutte le soluzioni. Tale approccio può favorire l’under-engineering se c’è una mentalità aziendale volta a sopperire tramite ulteriori layer, come suggerisce la guida di Gartner.

Oltre ad essere operativamente inefficiente, la sicurezza multi-vendor può anche essere più costosa perché un’azienda è costretta ad acquistare interi pacchetti di protezione con possibili funzioni ridondanti. Inoltre, quando non è possibile integrare le diverse soluzioni di sicurezza, aumenta il carico amministrativo del sistema.

Nessuno studio sostiene l’idea che sia conveniente utilizzare diverse soluzioni di sicurezza di più fornitori. Tuttavia, la maggior parte degli analisti della sicurezza concordano sul fatto che non ci sono motivi convincenti per preferire l’utilizzo di più prodotti di sicurezza di diversi fornitori.

A tal proposito le siffatte dichiarazioni sono suffragate da Neil MacDonald, membro del team di ricerca sulla sicurezza delle informazioni e la privacy di Gartner che afferma:

DID (Defense-in-Depth) non significa dover acquistare molte soluzioni puntiformi da molti fornitori diversi per affrontare ogni nuova minaccia. I fornitori di sicurezza potrebbero volerlo. Noi non lo vogliamo. Non possiamo non farlo in questo anno di budget ristretti“.

 

Azione responsabile

L’articolo 28 del GDPR, così come la Convenzione n. 108 modernizzata – all’interno del Consiglio d’Europa – all’articolo 2, approfondendo la figura del responsabile del trattamento, soggetto agente nel trattamento dei dati personali per conto del titolare, individua la necessità che sia proprio il titolare del trattamento a istruire il responsabile. Nel caso di molteplici fornitori, segue logicamente il paradigma tramite il quale in ogni atto normativo di affidamento dell’incarico non solo seguirà la nomina formalizzata di responsabile del trattamento bensì il controllo, in calce, relativo alle misure di sicurezza da applicare per non incorrere in sanzioni previste dal Regolamento 2016/679, ergo il susseguente controllo di audit di seconda parte. Se le basi dell’equilibrio aziendale constano di economicità, efficienza ed efficacia, sarà pur vero che ampliando la platea dei fornitori la documentazione probatoria aumenterà esponenzialmente rallentando il raggiungimento del fine ultimo: la sicurezza delle infrastrutture.

Il Gruppo di lavoro articolo 29, oggi European Data Protection Board, inoltre, ha affermato che in una fattispecie del genere, il livello di responsabilità non si riduce esclusivamente alla base della sperequazione economica.[3]

Il progresso influisce positivamente sull’equilibrio degli asset aziendali, la verità storica insegna: prima, avere un antivirus era considerato adeguato, in seguito è giunta la necessità di un antivirus di nuova generazione; man mano, però, che gli endpoint sono diventati i bersagli preferiti, sono emerse le soluzioni Endpoint Detection and Response (EDR) insieme a UBA, NTA, nonché l’analisi e la prevenzione dei rischi.

Nel momento di obsolescenza dell’EDR fu introdotto l’XDR (Extended Detection and Response). Conosciuto anche come Cross Detection and Response, XDR è una soluzione di sicurezza che unifica gli aspetti di rilevamento, indagine, rimedio e prevenzione della risposta alle minacce informatiche. Fornisce un’unica piattaforma per la gestione di una vasta gamma di minacce o attacchi; se ciò non dovesse bastare, l’XDR integra l’automazione e l’intelligenza artificiale per contestualizzare i registri di sicurezza. Questa funzione facilita l’identificazione di eventi di sicurezza importanti che richiedono una risposta urgente. Alcune piattaforme XDR dispongono anche di strumenti di rimedio e di risposta agli incidenti precostruiti per facilitare la risoluzione più rapida dei problemi rilevati.

Il problema inerente a tale scelta riguarda anche il rispetto della conformità a più normative, difatti non esistono dichiarazioni valide se non si ha un’efficacia probatoria che possa consentire all’organizzazione di rispettare il principio di accountability ex art. 24 GDPR.

Nel rispetto del principio privacy by design ex art. 25 GDPR e ulteriormente al fine di allinearsi con la normativa relativa al Perimetro di Sicurezza Nazionale Cibernetica, è inevitabile prendere in considerazione la possibilità di abbandonare l’approccio multivendor.

 

A. La prova del whitepaper Solarwinds

È stato dimostrato da un whitepaper di SolarWinds sulla generazione dei log di sicurezza[4], che è facile avere un problema di sovraccarico degli allarmi di sicurezza. Un’organizzazione con un migliaio di dipendenti può avere più di 20.000 eventi di sicurezza al secondo o milioni al giorno, il che comporta un numero simile di notifiche di sicurezza. Esaminare tutti questi eventi non è solo noioso. Crea anche l’opportunità che le minacce gravi non vengano rilevate.

Le imprese dovrebbero quindi prendere in considerazione una piattaforma XDR fornita da un unico fornitore invece di affidarsi a soluzioni di sicurezza di più fornitori. L’XDR consente il monitoraggio e la gestione continui degli allarmi in arrivo, riducendo al contempo i falsi positivi e aumentando la precisione di rilevamento delle minacce. Inoltre, facilita le indagini sulle minacce fornendo indicatori di compromesso aggiornati (IOC) e supportando l’analisi dei file on-demand.

 

B. La dimostrazione di Eric Skinner

Una presentazione del celebre associate broker Eric Skinner alla Conferenza RSA 2020 ha evidenziato i vantaggi dell’XDR soprattutto quando si tratta di ottenere una migliore visibilità della rete. “L’XDR diventa la sede logica di qualsiasi decisione: risposta automatizzata alle minacce perché l’XDR ha la migliore quantità di informazioni a portata di mano”, spiega Skinner. [5]

 

Conclusione

L’impatto sui principi di protezione dei dati, in un contesto dal quale trarre una molteplicità di rischi dovuti al volume, alla velocità e alla varietà delle informazioni (ormai divenute megadati) rendono ineccepibile l’azione mirata che, in assenza di una perfetta integrazione, richiede un sistema unificato che consenta la piena visibilità su endpoint, reti e utenti.

Neutralizzare, prevenire, qualificare le minacce informatiche non è semplice, ma qualcuno dovrà pur farlo: è opportuno scegliere l’analisi univoca più efficace piuttosto che orizzontarsi tra diversificazioni ingestibili e ridondanti con molteplici fornitori.

 

[1] Per ulteriori informazioni v. https://www.hackread.com/10-ways-keep-yourself-secure-online-against-cyber-attacks/

[2] Gartner Inc. è una società per azioni multinazionale che si occupa di consulenza strategica, ricerca e analisi in tema di ICT.

[3] Gruppo di lavoro articolo 29 (2010), parere 1/2010 sui concetti di “responsabile del trattamento e incaricato del trattamento”; pag. 25.

[4] Per ulteriori informazioni v. https://www.solarwindsmsp.com/it/resources/white-papers

[5] Per approfondimenti ulteriori sul tema v. https://www.rsaconference.com/experts/eric-skinner