Sicurezza Informatica e Management. Capire che minacce ci riguardano e come proteggerci adaguatamente senza spendere milioni di euro a caso. Dobbiamo anche capire che tipo di dati trattiamo e che tipo di target potremmo essere per degli eventuali attaccanti. Non tutti gli assets, clienti e processi sono ugualmente importanti, quidni dobbiamo andare a capire chi è più importante andare a difendere. Solitamente comunque nelle aziende ti trovi con delle situazioni parecchio caserecce, quindi non ti aspettare di trovarti tanta documentazione. Rispetto all’infrastruttura su cui lavori. Sicuramente se vieni incaricato a ricoprire un ruolo relativo alla cyber sec devi andare di checklist vedi slide 4. L’esempio tipico in Italia riguarda le misure minime di sicurezza di agid.
praticamente si sono inventati dei livelli M, S, A per andare a descrivere quali controlli devono essere assolutamente implementati. Sono cose del tipo: fare inventario dei device elettronici. Queste mini regole fanno parte di ABSC.
In altri casi potremmo avere vincoli di compliance anche in base a che tipi di mercati noi stiamo lavorando.
L’approccio basato su checklist va bene soprattutto per personale non super competente. Solitamente pero’ questi sistemi non bastano per andarci a proteggere adeguatamente. L’approccio piu’ moderno e’ solitamente non basato sulle checklist ma e’ basato su risk-based praticamente.
Prima devo andare a capire quali sono i rischi: che rischi ci sono e che importanza relativa riesco a dare ai rischi. Tipicamente alla fine di questa fase ci si caca. Dopodiche’ passo ai trattamenti per il rischio. Solitamente si scovano un sacco di rischi che sono molto poco tollerabili. Solitamente si parte da politiche di alto livello. Per ogni sistema che andiaom ad implementare devo anche andare ad inserire un sistema di monitoraggio per verificare che tutto quanto stia funzionando effettivamente bene o meno. Se sono un ciso faccio tutte queste come come manager, non come tecnico.
Nelle politiche non ho mai dettagli decisionali, sono praticamente progetti di alto livello. Non faccio bottom up, vado dall’alto. Il solito ciclo di lavoro e’ plan do check act. Questo e’ trasversale a tutte le norme di qualita’ praticamente. Non viene definito tanto che cosa dobbiamo andare a fare, ma sono norme di processo e mi dicono come devo fare determinate cose. questo ciclo non ha praticamente mai fine, e il processo di risk assessment deve essere periodicamente ripetuto e monitorato. tipicamente chi la parte do non e’ da solo a fare la parte di check per non avere bias di alcun tipo.
come fare questa analisi dei rischi:
ci sono dei rischi che in parte posso anche andare ad accettare ma dipende sempre da caso a caso
questo e’ letteralmente buon senso applicato, come quando fai tante cose della vita quotidiana
le minacce di cyber sec sono gli attaccanti e queste sono davvero difficili di andare a valutare e cambiano veramente tantissimo in fretta.
l’altra cosa complicata e’ fare una stima dei danni possibili che potremmo andare a subire. pensa all’attacco che e’ stato fatto all’asl. e’ molto facile andare a calcolare un danno se sei per esempio un e-commerce.
idealmente partiamo da inventory di servizi e processi aziendali.
per quel che riguarda le vulnerabilita’ si parla di problemi fisici/logici, cattive conf di rete, no update hw e sw, … quindi vulnerabilita’ tecniche e di personale. Potrei anche avere vulnerabilta’ riferite alla governance aziendale. Le tecniche le posso fixare coi soldi, governance devo modificare le politiche aziendali e devo avere supporto dal management aziendale.
dpo gli interessa implementare le policy che arrivano dall’esterno, vedi gdpr, del resto un cazz