Probabilmente avete sentito parlare di questo tipo di strategia ma in ambito militare. È un approccio che si pone come obiettivo il corretto raggiungimento di molteplici contromisure di sicurezza e prende in considerazione tre livelli: le persone, la tecnologia ed i processi aziendali. Si parte dal presupposto che nel caso in cui un’azienda subisse un attacco a causa di un livello compromesso, si può contare sugli altri due per consentire un’adeguata protezione. Ma analizziamo più da vicino questi tre elementi:
Le persone ed il Management
Il primo livello su cui lavorare riguarda il cuore delle aziende ovvero il management. Si è visto che uno dei fattori di rischio in un attacco hacker è proprio quello umano tanto da definire alcuni utenti, utOnti. Pertanto i manager ed i CISO dovrebbero interrogarsi per conoscere rischi e minacce a cui potrebbero incorrere, in modo da lavorare sulla stesura di policy aziendali, definizione di procedure, assegnazione di ruoli e responsabilità, addestramento di personale oltre che protezione dell’infrastruttura tecnologica. Sono necessarie policy chiare e attuabili per gettare le basi per controlli rigorosi e gestire i fattori umani. La stesura di policy pone le basi per definire procedure dettagliate e stabilire regole di comportamento previste, controlli richiesti ed eventuali sanzioni per la non conformità.
La tecnologia
Un altro livello da tenere in considerazione riguarda sicuramente le tecnologie difensive da distribuire in più punti e l’implementazione di soluzioni capaci di rilevare le intrusioni. Parliamo di firewall, di software antivirus e/o anti-spyware, di IDS/IPS (Intrusion Detection/Prevention System), dell’utilizzo della crittografia, la definizione e l’applicazione di ACL (access control list), l’utilizzo di un sistema di password gerarchico e software che effettuano il monitoraggio dell’integrità dei file. L’ideale sarebbe integrare una difesa informatica proattiva che consente di prevedere le minacce ad una che possiamo definire “di protezione”.
I processi aziendali
I componenti dell’azienda dovrebbero portare avanti le loro attività quotidiane in ottica di prevenire o difendersi dagli attacchi. Per fare qualche esempio, dovrebbero aggiornare continuamente gli anti virus, fare aggiornamenti di sicurezza, monitorare la rete e prevedere attività di Disaster Recovery e Business Continuity. Non c’è un elenco di attività da seguire alla lettera. La cosa fondamentale è portare avanti i processi aziendali considerando tutte misure di sicurezza necessarie.
Il modello come bussola
Insomma, il modello “Difesa in profondità” non detta delle regole da seguire rigidamente ma vuole essere una guida ed orientare il management nelle scelte aziendali.
La stesura di policy, la gestione dei rischi e la formazione sono i pilastri che possono consentire alle organizzazioni di operare senza rischi. Forniscono il contesto e le indicazioni necessarie per stabilire un programma di sicurezza delle informazioni adeguato.
Da cosa partire? Dalla valutazione dei rischi. La scala delle priorità negli investimenti nell’ambito sicurezza deve essere dettata in funzione dei rischi per il business aziendale.
Tuttavia, bisogna prendere in considerazione l’idea che non tutti i rischi possono essere trattati. È quasi impossibile impedire qualsiasi perdita di dati o intrusioni di malware. Per quanto sia importante definire i fattori critici di successo di un’organizzazione, è altrettanto importante stabilire quanto si è propensi al rischio. Formare una visione olistica della sicurezza delle informazioni e il modo in cui si allinea con il business, insieme al contributo degli stakeholder e al supporto della direzione, è l’unico modo per strutturare e mantenere un sistema di gestione della sicurezza delle informazioni che protegga l’organizzazione dai pericoli.