Anche le ultime indagini sulla sicurezza confermano come imprese e organizzazioni stiano aggiungendo nelle loro voci di bilancio investimenti dedicati a intraprendere nuove misure di sicurezza. Il monitoraggio delle attività sulla rete locale risultano in testa alla classifica.
La realtà dei fatti, però, è che moltissime aziende non hanno alcun extrabudget per potenziare la sicurezza nella loro azienda. La domanda fondamentale dei CISO e dei CSO è ricorrente: esistono dei metodi efficaci per aumentare i margini di investimento a supporto della sicurezza informatica per migliorare il monitoraggio della rete locale? Esistono strumenti gratuiti oppure, in alternativa, dei sistemi di riallocazione delle risorse esistenti?
Dal monitoraggio della sicurezza al monitoraggio dei budget
Rispetto al contenimento o alle riduzioni dei budget, ci sono tre approcci diversi che garantiscono la sicurezza dei sistemi informatici. L’uso di uno o di una combinazione dei tre può fare la differenza per chi ogni giorno deve far fronte alle esigenze di sicurezza.
1) Richieste di conformità
La sicurezza delle informazioni è storicamente considerata un male necessario da parte del top management. Il risultato è che il budget stanziato è spesso appena sufficiente a mantenere il livello minimo di protezione e di conformità. O almeno lo è stato, fino a quando il caso Enron non ha impattato sulla Sarbanes-Oxley e su altri standard di conformità, come HIPAA, PCI DSS, il che ha portato le imprese a finanziare attività di controllo supplementari.
La conformità è un driver significativo riaspetto alla necessità di potenziare risorse e ad aggiungere strumenti ma di per sè non basta. La compliance, vale a dire l’essere conforme a certe direttive non significa garantire automaticamente all’azienda la sicurezza necessaria. Significa solo che si è conformi. Tuttavia, dal momento che le aziende devono essere in regola a prescindere, utilizzare questo fattore come leva per aumentare il budget per la sicurezza costituisce comunque un asset.
2) Strumenti open source
La sicurezza open source è una scelta ovvia e può fornire alcuni strumenti eccellenti. Per esempio c’è l’OSSEC (Open Source Host-based Intrusion Detection System), un sistema di rilevazione responsabile dell’integrità dei file e delle intrusioni su host che è stato ampiamente accettato come uno strumento affidabile e in grado di soddisfare normative come il PCI DSS 12.10.5. Tra le citazioni: “Include avvisi provenienti da sistemi di monitoraggio di sicurezza, che comprende non solo il rilevamento delle intrusioni ma anche meccanismi di intrusion-prevention, firewall e dell’integrità dei file sistemi di monitoraggio”.
Sebbene l’open source sia stato criticato per essere una scelta poco affidabile per proteggere gli ambienti informativi, la questione non dipende dall’open source in sè e per sè. Il problema è come l’open source viene gestito dai responsabili di sicurezza. Sono necessari skill e competenze professionali sia su come debba essere implementato l’open source, sia su come debbano essere programmate le procedure di controllo e utilizzarle per costruire un caso di successo che renda fondato l’acquisto di altri software, mostrando il loro valore aggiunto nella gestione.
3) Ridefinire le architetture
In poche parole significa andare a ridurre i rischi di segmentazione dei sistemi critici. Una flat network dipende fortemente dal controllo ACL (Access Control List), ma manca di quella granularità di presidio sufficiente a proteggerla dagli utenti interni non autorizzati o dagli hacker esterni.
Questo è possibile solo ridefinendo la configurazione di una rete interna, andando a segmentare gli ambienti di produzione e di sviluppo così come le server farm aziendali interne, i sistemi legacy di back-office e infrastrutture Web. Come farlo? Attraverso una serie di operazioni che iniziano dall’utilizzo di una combinazione di domini diversi, subnet, VLAN, proxy, HIDS / HIPS e firewall interni, ma anche rafforzando gli stessi i dispositivi dell’infrastruttura interna e tutti i server.
Dimostrare al top management che si è fatto ogni sforzo possibile per proteggere l’ambiente utilizzando questi tre approcci è importante anche perché apre un margine di discorso più ampio che aiuta a contestualizzare e a spiegare i rischi per la sicurezza sulle restanti limitazioni alla gestione. In questo modo il management vedrà lo sforzo e potrà comprendere meglio l’importanza di un sostegno finanziario aggiuntivo al bilancio della sicurezza aziendale.
