Eric Schmidt CEO di Alphabet società capofila del mondo Google ha recentemente scritto che ogni anno le società perdono qualcosa come 400 miliardi di dollari (fonti Lloyd’s Londra) a causa di cyberattacks…La scena si fa assai più cupa se facciamo riferimento alle recenti notizie sulle interferenze che si sono registrate durante le recenti elezioni presidenziali USA e come se non bastasse recentemente Wikileaks ha reso pubblici circa 140 possibili zero-day-exploits che significa possibilità di poter violare i sistemi informativi e vari dispositivi non essendo disponibili patch di sicurezza a causa della mancata conoscenza diffusa della vulnerabilità.
Anche Tom Donilon già membro della Sicurezza Nazionale e Sam Palmisano già CEO IBM e attuali membri della Commissione Nazionale per la cybersecurity USA hanno in modo chiaro tracciato il quadro di quanto diffuse e pericolose siano le minacce a tutti i livelli: a livello politico tra stati e in modo diffuso per le imprese con varie motivazioni ma sempre con intento fraudolento.
Aggiungo solo perchè i riferimenti siano completi e quindi per far capire l’entità della minaccia che anche il gen. Graziano Capo di Stato Maggiore della Difesa annuncia che saranno arruolati hacker nel nostro esercito vista la concretezza delle minacce o cyberattacks che hanno toccato il nostro sistema paese (politico + impresa).
Ritengo di affermare una semplice verità spesse volte ignorata: la sicurezza dell’IT non è legata all’uso o meno di alcune applicazioni come l’antivirus (tutti gli zero-days-exploits rivelati da Wikileaks aggiravano gli antivirus…) ma è un complesso assai più articolato di comportamenti, strategie e protocolli che sono definibili a priori e poichè è importante iniziare da quanto è già disponibile partiamo dal mondo ISO.
ISO 27000 definisce una famiglia di standard aggiornati nel 2013-14 che si articola in circa 45 livelli di dettaglio per coprire in modo adeguato le varie modalità in cui attuare un profilo di sicurezza dalla parte tecnologica alla parte legata ai comportamenti delle organizzazioni. Molti di questi livelli di dettaglio si riferiscono in modo esplicito alla gestione del rischio come strategia e risorsa che deve essere presente in qualsiasi disegno progettuale.
Vorrei citare inoltre la ISO 22301 per la continuità operativa che indica come affrontare il miglioramento del livello di up-time dei servizi IT e come si pianifica il ripristino dei servizi in caso di breach con i valori di RTO (Tempo per ripristinare i servizi essenziali) e RPO (Punto di ripristino dei servizi essenziali). Vorrei far notare che a livello legislativo per le Pubbliche Amministrazioni il Codice dell’Amministrazione Digitale (dlgs. 179/2016) prescrive la certificazione della continuità operativa le cui linee guida sono derivate appunto dalla ISO 22301: gli strumenti per la sicurezza non mancano.
Come ulteriore riferimento vorrei citare anche RESILIA di AXELOS (official mantainer di ITIL e PRINCE 2) che è appunto una guida / framework con il quale migliorare la resilience dei servizi IT. Anche per RESILIA è possibile procedere alla certificazione e quindi avere un livello individuale di competenze individuali che si affiancono alle certificazioni ISO rivolte alle organizzazioni. Riconosco ad AXELOS di aver definito con grande tempestività un aiuto efficace e suggerisco la lettura del RESILIA Guidance.
Infine ritorniamo in casa nostra con gli amici del CLUSIT che è l’organizzazione italiana che si occupa di sicurezza IT ed è un ottimo punto di riferimento che attraverso la pubblicazione dei rapporti e con vari eventi cerca di promuovere la sensibilità sui rischi derivanti dai cyberattacks.
Quindi?...l’ITSM deve affrontare la sicurezza come un elemento costitutivo della propria azione evitando la marginalizzazione del problema ma acquisendo la capacità di attuare la sicurezza in ogni step di gestione dei servizi…..gli strumenti non mancano.
