hit counter
Spunti di Security Strategy - 1a puntata - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Spunti di Security Strategy - 1a puntata

Spunti di Security Strategy - 1a puntata

  • Comments 2
  • Likes
 

Nel prepararmi per l'evento a cui parteciperò dopodomani, l' e-Security Lab , e su cui non mancherò di riferirvi, stavo riflettendo su come l'evoluzione della strategia di sicurezza di Microsoft possa scatenare una serie di ottimi spunti per condivere  quello che credo sia la necessità di un approccio moderno alla gestione della sicurezza. Dico "moderno" non perché tutto quello che si impara sulle bibbie della sicurezza informatica sia obsoleto ...non ho questa arroganza... anzi credo che si studi ancora troppo poco (me compreso... ) e si improvvisi un pò troppo ... Dico "moderno" perché un dato è innegabile: la velocità con cui si evolvono la tecnologia, le minacce, le tipologie di attacchi e quindi lo scenario di rischio su Internet, è una realtà che deve necessariamente condizionare il nostro approccio alla sicurezza, facendolo evolvere con un passo almeno pari, se non più accelerato, rispetto a chi sta studiando giorno e notte per attaccarci, in modo da acquisire un vantaggio competitivo. La posizione di chi si difende è già svantaggiata di suo rispetto a chi attacca (perché chi si difende non sa quando, come e dove verrà attaccato), figuriamoci se evita di aggiornarsi e rimane fermo all'eta della pietra e a confidare solo nella chiusura del ponte levatoio (firewall) e nella presenza del fossato pieno di rettili: è destinato a capitolare. Quindi la parola d'ordine è:

 

aggiornarsi (People), rivedere periodicamente i processi operativi e di gestione (Processes), innovare le infrastrutture (Technology)...

 

Senza volerlo ho citato tra parentesi anche i tre pilastri su cui si fonda un approccio completo alla sicurezza: non mancherò di tornare su questo trittico fondamentale...

Scusate la digressione, ritorniamo a noi: da dove nasce il primo degli spunti di security strategy che citavo ?

Ecco, la virata decisa e vigorosa che Microsoft ha fatto nel campo della Sicurezza Informatica è avvenuta a partire dal 1999, quando sono apparsi i primi virus capaci di infezioni di massa. Ricordate questi nomi ormai storici: Melissa, Loveletter, Code Red, Nimda ? Ecco questi fenomeni  evidenziarono come il mancato aggiornamento dei sistemi rispetto ad una vulnerabilità grave, poteva mettere in ginocchio intere aziende. Ora, nonostante in quel momento Microsoft potesse non sentirsi causa diretta di tali infezioni (e questo con ragione: in quei casi le relative patch correttive erano già disponibili diverso tempo prima della comparsa dei worm) è indubbio che ne ricevette un danno di immagine significativo:  è stato un vero e proprio Security Incident, e quella è stata la molla per decidere senza indugi il massiccio investimento di risorse ed energie nel campo della sicurezza, per migliorare i prodotti, evitare il ripetersi di tali eventi ed aiutare i clienti in tali frangenti. Qual'è quindi la considerazione importante che ne deriva e che vorrei condividere?

 

E' fondamentale saper gestire in modo strutturato un'emergenza e riuscire ad imparare dai propri errori

 

Tutto questo è anche un modo alternativo per asserire l'importanza fondamentale di un processo di Security Incident Response: non credo si possa fare sicurezza in modo maturo, oggi, senza essere dotati di un tale processo formalizzato (quindi non implicito, ma esplicito), anche minimo, che abbia in sé almeno i criteri appena evidenziati. Sapete che solo il 42% delle grandi aziende italiane che seguiamo direttamente come Microsoft sono dotate di un processo di Incident Response ? Di questo 42%, solo il 17% lo fa in modo completo e il 25% lo fa solo con elementi di base.  A parte tutte le considerazioni sull' accuratezza delle percentuali e la rappresentatività del campione statistico, credo siano valori che segnalino un'immaturità della gestione della sicurezza in Italia: voi cosa ne pensate ?

Per chiudere, visto che mi sono riproposto anche di essere il vostro Virgilio nella navigazione all'interno della documentazione che Microsoft mette a disposizione gratuitamente in quantità industriali, vi segnalo alcune risorse utili per approfondire il tema:

- "Responding to IT Security Incidents"

- il capitolo "Establishing an Incident Response Process" nella guida "Security Management" del Microsoft Operations Framework (MOF)

 

Buona lettura e buona implementazione del processo !

Comments
  • Complimenti per il blog, che ha un approccio molto graduale e sensato al tema della sicurezza. Come tu sottolinei può essere un'ottima forma di divulgazione su processi e tecnologie Microsoft (il materiale a disposizione ormai è veramnete tanto).

    Credo che il tuo sia un approccio che mancava.

    Buon Lavoro !

  • Grazie Mario ! Ho letto il tuo commento proprio nel giorno del mio compleanno, sabato 27, ed è stato uno dei regali più belli! Ho bisogno di sentire il vostro apprezzamento, come le vostre critiche, perché mantenere un blog è davvero impegnativo! Grazie per aver esplicitato i tuoi complimenti !

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment