La normativa dimentica il “modello delle minacce IT”, ecco come rimediare

Home PA Digitale Sicurezza Digitale La normativa dimentica il “modello delle minacce IT”, ecco come rimediare

Il
legislatore, nazionale o europeo, dovrebbe esplicitare e adottare una
valutazione del rischio della definizione del modello di minacce per i
sistemi informativi delle PA. Solo così si possono selezionare
efficacemente le misure di sicurezza da adottare

30 Dicembre 2015

C

Claudio Telmon, Clusit

La gestione della sicurezza IT è da tempo incentrata sul concetto di valutazione e mitigazione del rischio. L’obiettivo è assicurare che le misure di sicurezza adottate siano quelle efficaci nel contrastare le possibili minacce, evitando nel contempo investimenti in strumenti non necessari e riducendo quindi gli sprechi. Questa impostazione si trova sia negli standard di settore, come l’ISO/IEC 27001:2013[1], sia nella normativa per i settori regolamentati, come la Circolare di Banca d’Italia n.285 agg.11. La stessa impostazione si trova ad esempio anche nell’impostazione generale della normativa sul trattamento dei dati personali: a livello nazionale, quando nell’art. 31 del Codice per il Trattamento dei dati personali, il primo del Titolo V relativo alla “Sicurezza dei dati e dei sistemi”, si parla di “ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta”; e a livello europeo, nel nuovo Regolamento, che nella versione ad oggi approvata, all’art. 30, il primo della sezione 2 sulla “Data security”, recita: “Having regard to the state of the art and the costs of implementation and taking into account the nature, scope, context and purposes of the processing as well as the risk of varying likelihood and severity for the rights and freedoms of individuals, the controller and the processor shall implement appropriate technical and organisational measures, to ensure a level of security appropriate to the risk…”.

In effetti, la tendenza generale è verso l’attenzione ai rischi IT, e non solo a quelli di sicurezza. I rischi IT comprendono ad esempio i rischi strategici, come l’incapacità del sistema informativo di supportare le strategie di evoluzione e business dell’organizzazione, le scelte di progettazione, realizzazione e gestione del sistema informativo dovrebbero tenere conto di questi rischi, mitigandoli ad un livello accettabile per l’organizzazione.

La gestione del rischio non è importante solo per i meccanismi di mitigazione (o controlli) che permette di selezionare, e non si esaurisce con una unica valutazione. E’ invece un processo che prima di tutto mette in evidenza i rischi effettivi per un’organizzazione, e richiede un adeguamento continuo all’evoluzione del contesto, delle tecnologie e dell’orgnizzazione stessa.

La valutazione del rischio, secondo le buone pratiche di settore, è parte dei processi di progettazione e gestione del sistema informativo nel suo complesso, e non si limita qundi alla sola selezione “a posteriori” di controlli di sicurezza. Fin dalla fase di definizione dei requisiti infatti, la progettazione di un servizio deve prevedere una valutazione del rischio che permetta di capire se, come e quanto è possibile e necessario proteggere il servizio stesso, e quanto una soluzione tecnica faciliti o, al contrario, ostacoli l’adozione di controlli adeguati.

Se queste logiche valgono a livello di singole organizzazioni, ancora più dovrebbero valere a livello di sistema. C’è da questo punto di vista un precedente storico importante. Nel 1993, l‘Internet Engineering Task Force ha ritenuto di dover modificare le “Instructions to RFC Authors” per includere una sezione obbligatoria sugli aspetti di sicurezza legati al tema affrontato dall’RFC; anche, e soprattutto, per gli RFC che non affrontavano specificamente tematiche di sicurezza. Il problema era che i protocolli sviluppati per le diverse esigenze di Internet, che naturalmente non erano in generale focalizzati sulla sicurezza, e finivano per trascurare questo aspetto. I protocolli Internet, seppure sviluppati dai maggiori esperti mondiali del settore, erano quindi insicuri e difficili da proteggere con controlli introdotti a posteriori. Questo limite rischiava di minare alla base la capacità di Internet di svilupparsi per supportare la nuova economia che si stava sviluppando. Nel 2003, il tema della sezione sugli aspetti di sicurezza nei protocolli Internet è stato ulteriormente approfondito con la pubblicazione dell’RFC 3552 “Guidelines for Writing RFC Text on Security Considerations” che nella sezione 3 definisce un “Internet threat model”, che ne è un presupposto importante. Più recentemente, lo stesso standard ISO/IEC 27005:2011 indica l’identificazione delle minacce come un passaggio fondamentale nel processo di gestione del rischio.

Le nuove norme relative alla gestione e all’utilizzo dei sistemi informativi nella Pubblica Amministrazione comprendono ormai regolarmente una gestione degli aspetti di sicurezza, spesso dando esplicitamente indicazioni relativamente alla gestione del rischio. Allo stesso tempo però, comprendono spesso delle scelte tecniche precise, la cui motivazione è spesso intuibile, ma raramente esplicitata. Sarebbe paradossale se le stesse logiche di gestione del rischio, previste dagli standard e richieste alle organizzazioni ed alle Pubbliche Amministrazioni per la gestione dei propri sistemi informativi, non fossero adottate a livello sistemico per la protezione del Paese o dell’Unione. Analogamente a quanto deciso a suo tempo dall’IETF, sarebbe invece opportuno che il legislatore, nazionale o europeo, affrontasse il tema del modello delle minacce per i sistemi informativi delle Pubbliche Amministrazioni, esplicitandolo ed adottandolo in una valutazione del rischio per la selezione delle misure di sicurezza da adottare o, ancora di più, per la valutazione delle soluzioni tecniche non di sicurezza, la cui adozione è prevista all’interno delle normative. L’esistenza di un modello delle minacce permetterebbe di valutare con maggiore chiarezza le scelte tecniche, indirizzandole verso una visione comune e una gestione più efficace dei rischi. Nello stesso tempo, darebbe a chi sviluppa soluzioni tecniche, di sicurezza e non, un riferimento chiaro per la realizzazione dei propri prodotti.


[1] Il tema della gestione del rischio è approfondito, nella serie 27000, nello standard ISO/IEC 27005:2011