Il SANS NewsBites del 19 agosto riporta una notizia con il titolo
"Compliance is Not an Effective Approach to Cybersecurity". Questa riprende
un articolo dal titolo "The Defense Department's current "checklist"
approach can't keep its networks safe":
-
https://fcw.com/security/2022/08/experiment-showed-military-must-change-its-cybersecurity-approach/375947/.
Io penso che l'articolo originario sia semplicistico (e mi pare anche
promozionale): è vero che la simulazione frequente e non programmata di
attacchi permette di avere un elevato livello di sicurezza, ma è anche vero
che le tante cose noiose e periodiche (aggiornare i sistemi, verificare i
backup e i DR, eccetera) sono necessarie.
Io ho visto che, negli anni, l'obiettivo della conformità ha aumentato di
parecchio il livello di sicurezza delle organizzazioni: la privacy, le
richieste di Banca d'Italia e di altri organismi regolatori, le richieste della pubblica amministrazione, la 231 e altre (incluse iniziative che negli
anni ho criticato perché potevano essere migliori, ma comunque ci sono
stato) hanno attivato un meccanismo che, piano piano, ha elevato il livello
di consapevolezza delle persone e di sicurezza di tante organizzazioni.
E' anche vero che l'approccio "da auditor" non è sufficiente e certi auditor
lo rendono addirittura dannoso. Per esempio, ho visto auditor criticare in
modo anche irritante iniziative di sicurezza lodevoli ma mal documentate
(certamente una maggiore attenzione alla pianificazione e alla
documentazione andava richiesta, ma senza che questo portasse a un giudizio
negativo sul progetto nel suo complesso), ho visto auditor concentrarsi su
dettagli minimi e poco significativi facendo perdere molto tempo e risorse
alle organizzazioni per soddisfare richieste evitabili, vedo i numerosissimi
e impegnativi questionari di sicurezza che sono richiesti ai fornitori
palesemente progettati per creare carta e non vera sicurezza.
Secondo me è giusto richiamare l'attenzione ad approcci più pratici, ma
senza buttare via quanto c'è di buono negli altri.
Come sempre hai centrato il punto! (Roberto Perelli)
RispondiElimina