Inail: “Nessuna sicurezza PA senza consapevolezza diffusa”
La consapevolezza produce comportamenti corretti dei dipendenti nelle attività di ogni giorno e guida i dirigenti nell’elaborazione delle decisioni strategiche che consentiranno di far evolvere e di governare i sistemi informativi in modo sicuro
30 Settembre 2016
Michele Mellone, Ufficio Strategie digitali, Architetture IT e Sicurezza Inail
Per garantire la sicurezza IT, uno dei fattori chiave di successo è la piena consapevolezza. Intendo con questo termine quel patrimonio condiviso, fatto di cultura e conoscenza, che pervade un’organizzazione a tutti i livelli: consapevolezza dei rischi e di come gestirli; consapevolezza di quello che accade all’interno dei processi di lavoro, della propria rete e dei propri sistemi; consapevolezza degli addetti IT, da spendere nelle attività operative e consapevolezza degli architetti, da spendere nelle fasi di progettazione dei servizi e delle soluzioni.
La consapevolezza produce comportamenti corretti dei dipendenti nelle attività di ogni giorno e guida i dirigenti nell’elaborazione delle decisioni strategiche che consentiranno di far evolvere e di governare i sistemi informativi in modo sicuro.
L’approccio tecnologico è certamente essenziale per far fronte alle minacce, tuttavia non è sufficiente di per sé a garantire la sicurezza attesa. Anche il modello di organizzazione delle funzioni di sicurezza, pur potendo incidere, non è tutto.
Gli approcci organizzativi possono essere diversi. Ci sono PA che hanno adottato un modello che accentra i ruoli e le responsabilità della sicurezza IT, comprese quelle operative, oppure PA che hanno adottato un modello distribuito, con ruoli specifici di staff per il governo e le verifiche, e ruoli specifici di gestione per la sicurezza operativa.
In entrambi i casi, le persone che hanno il potere di incidere sul livello della sicurezza sono tante – interne ed esterne all’organizzazione IT – e la maggior parte di esse non ricopre ruoli specifici di sicurezza. Ciò nonostante, la loro capacità di incidere è spesso sorprendente e, a volte, del tutto inconsapevole.
La vera maturità di un’organizzazione rispetto al tema della sicurezza IT, quindi, scaturisce da un mix equilibrato di organizzazione, competenza, professionalità, tecnologia e, sopra ogni cosa, piena consapevolezza.
Una organizzazione consapevole non mette in produzione un servizio che tratti dati sensibili senza le opportune misure di sicurezza, solo perché è stato richiesto da un committente influente. E solo una consapevolezza diffusa in materia di sicurezza consente di sostenere, senza imbarazzo e senza compromettere la gerarchia organizzativa, che un servizio non può essere messo in produzione se mancano adeguate contromisure o che il beneficio apparente non è sufficiente a bilanciare i possibili rischi.
Senza una diffusa consapevolezza può capitare che, mentre gli addetti alla sicurezza IT si affannano a cercare di proteggere le infrastrutture e i servizi, attivando anche investimenti costosi (ridondanza delle piattaforme hardware e software, controlli fisici degli accessi, autenticazione dell’accesso alla rete, controllo delle postazioni di lavoro su cui si eseguono i trattamenti dei dati…), qualcun altro, per soddisfare un requisito di business o banalmente funzionale, operi – in modo autonomo e non condiviso – scelte che di fatto invalidano quegli stessi investimenti.
Allo stesso modo, l’introduzione di nuovi scenari digitali che seguono trend di mercato accattivanti che certamente vanno colti, dovrebbe comunque richiedere un approccio consapevole, in grado di far comprendere, ad esempio, come un’analisi dei rischi di sicurezza rappresenti un fattore abilitante e non un ostacolo.
Ed è sempre la consapevolezza che ci deve guidare nell’individuare e dirimere quelle situazioni, sempre più frequenti, in cui pretestuosamente e con argomentazioni che non hanno riscontro scientifico sul campo, si chiama in causa la sicurezza per giustificare scelte tecniche discutibili.
Sulla base della mia esperienza personale, posso affermare che in queste situazioni, non sono le tecnologie, gli investimenti o il modello organizzativo a fare la differenza, ma la presenza di una cultura diffusa in tema di sicurezza IT.
Una rete interna per la sicurezza. Si tratta di un obiettivo certamente sfidante e per raggiungerlo è importante che un’organizzazione punti sempre e comunque ad accrescere la cultura e la consapevolezza di tutti, sia dal punto di vista delle competenze nel governo del rischio, sia dal punto di vista della chiarezza delle responsabilità di ciascuno.
Un’organizzazione di grandi dimensioni, indipendentemente dal proprio modello organizzativo, deve prendere in considerazione l’idea di costituire un networking strutturato intra-dipartimentale, una rete pervasiva (volendo usare un termine attuale potremmo dire una rete social), di addetti IT che abbiano soprattutto la necessaria sensibilità verso i temi della sicurezza. Alle persone che costituiscono questa rete deve essere dato il compito di informare e sensibilizzare tutti gli altri. Esse devono avere capacità e ruolo per poter “alzare una bandierina” al momento opportuno, bloccando tempestivamente derive progettuali pericolose, proprio per permettere di indirizzare la sicurezza senza inibire iniziative che fanno fronte a reali business case.
Questa rete deve essere costruita in modo strutturato, conferendo incarichi specifici, pianificando incontri periodici, creando apposite mailing list, condividendo le informazioni, sfruttando ambienti di collaborazione ad hoc. Questa rete può costituire il terreno fertile in cui piantare il “seme” di un sistema di gestione che, come noto a tutti, si basa su un processo di miglioramento continuo, secondo il più classico ciclo di Deming.
I risultati attesi sono un processo di pianificazione coerente, integrato e basato su una visione completa; fasi operative implementate con competenza tecnica; verifiche sistematiche e piani di rientro che indirizzino le effettive priorità sulla base dei rischi e occupino un posto di rilievo nelle attività di conduzione ordinaria.
L’importanza delle piccole cose. La consapevolezza permette di comprendere l’importanza di interventi molto semplici da implementare, che richiedono solo buona volontà e che possono determinare un grande impatto positivo senza costi di rilievo. Il patch management sui sistemi, la scrittura di un codice applicativo con i controlli di sicurezza adeguati, la gestione corretta delle password e dei privilegi degli amministratori rappresentano degli esempi importanti.
La pianificazione degli investimenti onerosi e i grandi progetti infrastrutturali non possono fare a meno di sicurezza. Una piccola vulnerabilità, anche solo organizzativa o in un sistema“laterale”, è in grado di rendere vano un investimento milionario.
Sicurezza by default. La consapevolezza permette di inserire la sicurezza come requisito fondamentale di ogni disegno progettuale, secondo quella che gli esperti del settore chiamano “security by design”, o “by default” come si comincia a dire da un po’. Non a caso, il nuovo regolamento europeo pone come questione centrale un approccio consapevole alla sicurezza e, quindi, alla privacy; lo studio preliminare viene reso obbligatorio e l’inadeguatezza inconsapevole sarà sanzionabile.
Applicare la sicurezza a progetto concluso comporta la necessità di rivedere le scelte progettuali con incremento dei costi e ritardi nel rilascio in esercizio. Nella peggiore delle ipotesi rende impossibile una soluzione adeguata, obbligando a una forzata assunzione di rischi.
Un approccio alla sicurezza consapevole, basato sull’analisi dei rischi e su un ciclo di miglioramento continuo, pone al riparo, oltre che da incidenti drammatici, anche dagli impatti di eventuali nuove misure imposte per legge. Spesso una nuova normativa trasforma in legge procedure condotte “a regola d’arte” e le organizzazioni mature si fanno trovare pronte, con un minimo sforzo per l’adeguamento. Chi non lo è, viene costretto ad investimenti onerosi per ottenere la conformità. Ne sono un esempio le misure minime del D.Lgs. 196/2003 e alcuni successivi provvedimenti, come la previsione degli amministratori di sistema, la norma che regola lo scambio dati tra PA (393) e il nuovo ed imminente regolamento europeo della privacy.
Il mondo IT evolve in modo veloce e imprevedibile, e con esso i rischi e le minacce. Per garantire sicurezza bisogna dunque vigilare nel back stage, diventare capaci di stare dietro alle evoluzioni senza frenarle, saper cambiare e adeguare soluzioni e processi quando serve. Un vero cambiamento non può che cominciare da una piena consapevolezza.