Associati
Sicurezza concreta, oltre lo storytelling
A cura di Rita Takacs
Sì, il tema della sicurezza mi appassiona – e non ne ho mai fatto mistero. Ne parlavo con entusiasmo, in monologhi (letterari) passati, quando il focus era più sul valore culturale del concetto. Oggi, invece, sento l’urgenza di tornare a parlarne, ma con uno sguardo diverso: più operativo, più lucido. E, forse, più necessario.
Una riflessione che nasce da osservazioni raccolte online – tra forum tematici OSINT e CLOSINT – e da conversazioni con amici e peer, dalle quali si profila con chiarezza un trend. Viviamo in un’epoca in cui, di sovente, il racconto prende il posto della realtà, anche (e soprattutto) laddove servirebbe concretezza: nella sicurezza informatica. A vincere non è chi protegge, ma chi sa presentare bene ciò che “sembra” protezione.
Nei canali di comunicazione prossimi ai centri decisionali si moltiplicano ruoli assegnati più per affinità percepite che per reale competenza, incaricati di “tradurre” – semplificando fino alla banalizzazione – una lingua tribale che non comprendono. Come insegna la psicologia cognitiva, ogni trasmissione orale deforma il contenuto originario, la memoria seleziona (malauguratamente dalla RAM, se non presente una sedimentata knowledge base), l’intenzione modella, il tempo smussa, la narrazione si adatta a chi la ascolta. E così, da verità tecnica si scivola facilmente in mito condiviso.
E allora, via libera a policy di alto livello, a gusci vuoti (di quelli che ne scarichi cento per trecento euro) da riempire con informazioni di massima, in… zero day – giusto per restare in tema. Tanto poi, momentum sine fine, si potrà sempre aggiornare. (Certo, con l’entusiasmo selvaggio di chi lavora a riflettori ormai spenti, su un tema di proporzioni gigantesche che si dà per risolto da tempo. Eureka!)
File dopo file, tab dopo tab, si costruisce un castello di carta che nessuno leggerà davvero, e che non verrà mai aggiornato. Una produzione seriale, automatizzata, che trasforma un tema vivo e tecnico in una pratica notarile.
Non che la carta non serva – intendiamoci – ma la carta senza censimento realistico, senza manutenzione, senza un’architettura viva, diventa solo zavorra.
Lo scopo diventa dimostrare di aver fatto, non fare veramente. Eppure la differenza è abissale. Nessun attaccante è mai stato fermato da un template.
La sicurezza non è compliance (e viceversa)
La sicurezza vera è fatta di sistemi che si parlano, di aggiornamenti continui, di log che vengono letti, di vulnerabilità che vengono cercate attivamente. È fatta di persone che comprendono la tecnologia, non solo il diritto. La compliance è importante, certo, ma non è sempre il punto di partenza. Se ben gestita, è il naturale punto di arrivo della buona sicurezza.
La sicurezza vera ha mille sfaccettature, sa essere preventiva, come anche predittiva (o proattiva), avvalendosi di tool avanzati di threat intelligence e collaborando con l’AI-buono che sulla scena odierna combatte una battaglia serrata e senza tregua con l’AI-cattivo, sempre più onnipresente e “istruito” e “social engineerizzato”, grazie al nostro crescente bisogno di sentirci un po’ influencer, pubblicando i fatti nostri online.
E la sicurezza vera sa essere rilevativa (o detective), intercettando IOC (Indicators of Compromise) tramite sistemi di rilevamento intrusioni (IDS) e sistemi di monitoraggio dei log, SIEM (Security Information and Event Management). E sa essere reattiva, rispondendo prontamente agli attacchi o incidenti con azioni concrete di contenimento o mitigazione del rischio. Conscia che la reattività implica saper essere correttiva, correggendo (appunto!) le vulnerabilità o i danni dopo un attacco, ripristinando i sistemi e i dati. Migliorando costantemente le difese e le policy di sicurezza in base alle nuove minacce e contesti, perché sa che oggi dev’essere soprattutto adattiva (o dinamica) per mantenere il passo con la frenesia del zeitgeist (sintetizzato splendidamente da una persona che stimo, e che molti conoscete, in un noto articolo: “siamo passati […] dalla deterrenza atomica all’incertezza digitale”).
E la sicurezza operativa? Ah, che noia! Sono le pratiche di ogni giorno, la gestione degli account, la lettura degli avvisi dell’early warning giornaliero, il patching dei sistemi, la formazione degli utenti…
Il ruolo che manca
Serve un ponte. O meglio: servono figure in grado di abitare entrambi i lati del ponte...
Servono competenze certificate. E norme che impongano la scelta di competenze certificate, sopratutto con riferimento a ruoli che rappresentano i delicati anelli di congiunzione – verticali, interni, ma anche orizzontali, fino a oltre il perimetro aziendale, verso un ecosistema più ampio (Responsabile IT, Responsabile sicurezza informatica, Punto di contatto NIS2, DPO). Non è forse vero che “una catena è forte soltanto quanto il suo anello più debole”?
Il rischio – altrimenti – è di rimanere intrappolati in una fiction di sicurezza. Una narrazione rassicurante, ma fragile. E ogni giorno, un dado viene lanciato...