Siamo stati a Roma, alla conferenza europea OWASP AppSec '2016, che mette insieme aziende, governi e ricercatori per discutere lo stato dell'arte della sicurezza informatica. Ecco alcune considerazioni emerse da uno dei talk:
"The Cool Factor: come costruire una cultura della sicurezza." A cura di Marisa Fargan - Senior Trust Engagement Manager di Salesforce
C'è un comune fraintendimento: che il livello di sicurezza di un'organizzazione o di un progetto software sia qualcosa di impossibile da misurare. (Quale arcaico cortocircuito mi farà venire in mente a questo punto "l'uomo in ammollo" che proclama tranquillamente che "Non esiste lo sporco impossibile" ?!? Ma i potenti meccanismi alla base della nostra memoria associativa sono un'altra storia di cui parleremo in un'altra occasione! :-)
Invece, guarda un po', non è poi così difficile conteggiare quante ore spendiamo in training, quanti report raccogliamo, quanti bug vengono documentati ed eventualmente risolti, in quanto tempo, etc. La parte difficile viene dopo, cioè costruire quello che comunemente viene chiamato "baseline", cioè un'indicazione di quale risultato può essere considerato "normale". Ma è davvero questo quello che ci interessa? Valutare se siamo sopra o sotto la media, o non è piuttosto una questione di "direzione" in cui andare, a prescindere dal nostro punto di partenza?
Prendiamola da un'altro punto. Qualunque discorso sulla sicurezza inizia e finisce con una parola: "comportamento" (gli "ingegneri sociali" sanno benissimo di cosa stiamo parlando, ma anche questa è un'altra digressione che riserviamo per il futuro). Una cultura della sicurezza deve andare alla radice dei comportamenti delle persone e scoprire le reali motivazioni che sono alla base dei loro comportamenti: Bene, ma come? Basta fare le domande giuste, nel nostro caso, chiedere semplicemente "Perchè... ?", ma non fermatevi al primo! La nostra risposta la troveremo non prima di aver chiesto per 5 volte "...e perchè...?" (come farebbe un bimbo curioso! Alcune cose non andrebbero mai disimparate..)
Perchè? Perchè è così che siamo sicuri di arrivare a identificare il nostro vero obiettivo, quello giusto su cui poter agire, che dovrebbe rispettare le seguenti caratteristiche:
* Specifico
* Misurabile
* Rilevante
* Raggiungibile in un Tempo definito
(Nel mondo anglosassone, notoriamente amante degli acronimi, avremo: Specific, Measurable, Achievable, Relevant and Time-specific, ovvero S.M.A.R.T.)
E una volta che abbiamo il nostro obiettivo, non resta che chiedersi: Può la tecnologia aiutarci a risolvere questo problema?
Di solito la risposta è: Si, ci può aiutare (anche se di solito non potrà sostituirsi a noi nella sua risoluzione).
Se siamo riusciti a incuriosirvi e a questo punto cercate una guida che vi possa aiutare in questa particolarissima tipologia di caccia, provate a dare un'occhiata qua: https://securitycultureframework.net/
... oppure venite a trovarci in Ufficio :-)
Ing. Danilo Stefani - Nimaia srl