sabato 20 agosto 2022

La conformità non è un approccio efficace (secondo alcuni)

Il SANS NewsBites del 19 agosto riporta una notizia con il titolo "Compliance is Not an Effective Approach to Cybersecurity". Questa riprende un articolo dal titolo "The Defense Department's current "checklist" approach can't keep its networks safe":
- https://fcw.com/security/2022/08/experiment-showed-military-must-change-its-cybersecurity-approach/375947/.

Io penso che l'articolo originario sia semplicistico (e mi pare anche promozionale): è vero che la simulazione frequente e non programmata di attacchi permette di avere un elevato livello di sicurezza, ma è anche vero che le tante cose noiose e periodiche (aggiornare i sistemi, verificare i backup e i DR, eccetera) sono necessarie.

Io ho visto che, negli anni, l'obiettivo della conformità ha aumentato di parecchio il livello di sicurezza delle organizzazioni: la privacy, le richieste di Banca d'Italia e di altri organismi regolatori, le richieste della pubblica amministrazione, la 231 e altre (incluse iniziative che negli anni ho criticato perché potevano essere migliori, ma comunque ci sono stato) hanno attivato un meccanismo che, piano piano, ha elevato il livello di consapevolezza delle persone e di sicurezza di tante organizzazioni.

E' anche vero che l'approccio "da auditor" non è sufficiente e certi auditor lo rendono addirittura dannoso. Per esempio, ho visto auditor criticare in modo anche irritante iniziative di sicurezza lodevoli ma mal documentate (certamente una maggiore attenzione alla pianificazione e alla documentazione andava richiesta, ma senza che questo portasse a un giudizio negativo sul progetto nel suo complesso), ho visto auditor concentrarsi su dettagli minimi e poco significativi facendo perdere molto tempo e risorse alle organizzazioni per soddisfare richieste evitabili, vedo i numerosissimi e impegnativi questionari di sicurezza che sono richiesti ai fornitori palesemente progettati per creare carta e non vera sicurezza.

Secondo me è giusto richiamare l'attenzione ad approcci più pratici, ma senza buttare via quanto c'è di buono negli altri.

Nessun commento:

Posta un commento