Le due facce della gestione del rischio IT: conoscenza e protezione.
Manca poco più di un anno per conformarsi al regolamento DORA: tra i vari obblighi c’è anche l’adozione di un piano per la gestione del rischio ICT. Ma come può diventare operativo in modo efficace senza conoscere gli asset IT che si devono mettere in sicurezza e proteggere? Vediamo perché ITAM fa la differenza quando si parla di sicurezza informatica.
Le istituzioni finanziarie dell’UE hanno tempo fino al 17 gennaio 2025 per adeguarsi alle nuove prescrizioni del DORA (Digital Operational Resilience ACT), il regolamento sulla resilienza operativa digitale che l’UE ha introdotto per armonizzare e consolidare a livello europeo il modo in cui viene gestito il rischio informatico.
Lo scopo del regolamento è garantire che le entità finanziarie, quindi banche, assicurazioni, società di investimento e istituti di credito ma anche fornitori di servizi legati a criptovalute e crowfunding, siano in grado di garantire un elevato livello di resilienza operativa digitale, ovvero prevenire, mitigare e riprendersi da tutti i tipi di interruzioni e minacce legati alle TIC.
Gli incidenti operativi legati alla sicurezza informatica, infatti, rappresentano un costo e una grave minaccia per la stabilità finanziaria in generale, considerato l’elevato livello di interconnessione esistente tra le istituzioni, i mercati, le infrastrutture dei mercati finanziari e in particolare le interdipendenze dei loro sistemi IT.
Un elemento fondamentale: il piano di gestione del rischio ICT
Uno degli elementi cruciali su cui insiste la legislazione è l’assoluta necessità di avere un piano di gestione del rischio ICT, come si legge all’articolo 6.1. Lo scopo di questo piano (vedi articolo 6.3) è descrivere nel dettaglio tutti gli elementi messi in atto – quindi strategie, policy, protocolli e strumenti ICT – per proteggere debitamente e adeguatamente il patrimonio informativo e informatico dell’organizzazione.
Il patrimonio citato nel testo riguarda:
- gli asset informativi, ovvero l’insieme di informazioni, tangibili o intangibili, che vale la pena proteggere (art.3.6)
- gli asset ICT, ovvero gli asset software o hardware della rete e i sistemi informativi utilizzati (art. 3.7)
Gli operatori del settore finanziario devono quindi proteggere non solo il loro software e le loro apparecchiature fisiche (server, endpoint, ecc.), ma anche i loro sistemi informativi, incluse tutte le componenti fisiche e le infrastrutture rilevanti per la protezione di questi asset come i locali o i data center.
A questo punto diventa chiaro il primo step nella gestione del rischio ICT: come si può infatti mettere in atto procedure e sistemi per proteggere degli asset IT se non si ha la piena conoscenza degli asset stessi che si dovrebbe andare a proteggere? Ecco che qui entra in gioco l’IT Asset Management (ITAM).
I rischi legati agli asset IT
Nel V secolo a.C. Socrate diceva «il sapere rende liberi». Oggi possiamo aggiungere che il sapere rende sicuri.
Tra i principali fattori di rischio che portano ad aumentare significativamente il profilo di rischio di un’istituzione finanziaria ce ne sono tre in particolare che sono legati alla gestione degli asset IT:
Con questo termine generico si fa riferimento a qualsiasi software o sistema non distribuito o gestito dal dipartimento IT o dal fornitore aziendale.
Secondo una ricerca di Entrust, il 65% dell’IT riferisce casi in cui l’organizzazione non ha approvato gli strumenti SaaS utilizzati. Gli utenti, infatti, con pochi click riescono ad accedere a una pletora di servizi basati sul cloud, spesso aggirando le linee guida aziendali e creando un ambiente non controllato.
Lo shadow IT può offrire molte opportunità agli hacker: condivisioni che espongono informazioni sensibili con parti non autorizzate, mancato controllo degli accessi, integrazioni non sicure tra sistemi, acquisizione di credenziali, vulnerabilità fuori dal piano di remediation ma anche sanzioni per sistemi non conformi alle normative di settore sulla protezione dei dati.
Rilevare tutto quello che si muove all’interno della rete è necessario per identificare la presenza di asset a rischio o usi impropri.
Il profilo di rischio di un’organizzazione finanziaria aumenta significativamente se ha software e sistemi fuori dal supporto.
Conoscere la data di fine supporto del fornitore degli asset ICT permette di agire in modo proattivo sull’obsolescenza delle proprie tecnologie. Mantenere programmi che hanno superato la fine del loro ciclo di vita (EOL, End of Life Software) è molto pericoloso: si tratta, infatti, di una delle vulnerabilità più comuni che aumenta il rischio di violazione dei dati.
Una ricerca del 2021 dimostra che Windows 7, nonostante sia stato ritirato da Microsoft nel gennaio 2020, era ancora in esecuzione sul 17% dei desktop nel 2021. Per cui possiamo dire che la lezione non è stata imparata: nel 2017 l’attacco ransomware WannaCry aveva sfruttato una vulnerabilità dell’OS per colpire il 98% dei computer che eseguiva questo sistema operativo.
La visibilità sull’“end of life” garantisce la messa in atto di misure che garantiscano che i dati non vengano compromessi dopo il ritiro dell’asset.
software con vulnerabilità rilevate
Il patch management, ovvero l’applicazione di patch e aggiornamenti per sanare eventualità criticità per la sicurezza, prevede la conoscenza dei tipi di dispositivi, OS, versioni e applicazioni di terze parti in esecuzione all’interno dell’ambiente IT per mettere in relazione queste informazioni con le segnalazioni di exploit e dei punteggi di gravità fornite dal NDV (National Vulnerability Database), che è una delle basi comuni utilizzate dalle aziende per la gestione del rischio.
Se non si sa cosa si ha in casa, non si riesce a prendere delle decisioni di priorità nel piano di rimediazione e di conseguenza mitigare il rischio.
Come ITAM supporta la gestione del rischio
Sapere quali asset si muovono all’interno della rete, dove sono ubicati, chi li possiede, come sono configurati, in che stato si trovano e quali vulnerabilità presentano, permette, infatti, di identificare e dare priorità agli asset più critici e sensibili da proteggere… di applicare criteri di sicurezza, patch ma anche individuare usi impropri.
Il legame tra ITAM e sicurezza è molto forte: la seconda ha bisogno di inventari aggiornati per garantire protezioni efficaci. Il tema è attualissimo: proprio lo scorso anno la norma ISO (ISO/IEC 27002:2022) che descrive i controlli di sicurezza delle informazioni e la cybersecurity ha aggiunto per la prima volta dei riferimenti specifici alle norme ISO per l’ITAM.
La gestione degli asset IT in ottica cybersecurity si traduce come la capacità di un’organizzazione di condurre un processo di identificazione continuo e in tempo reale del proprio patrimonio IT e di tutte le interdipendenze.
La qualità dei dati ITAM: un requisito indispensabile alla sicurezza
Per poter redigere in modo efficace il piano di gestione del rischio richiesto dal regolamento DORA, è necessario quindi avere la visibilità completa sui dati e sulle risorse che agiscono all’interno della rete, dalla loro attivazione/acquisizione alla loro dismissione.
Per quanto riguarda gli asset IT, vanno inventariati e gestiti in modo da poter valutare tutti i rischi ai quali sono esposti. Qualsiasi risorsa IT, infatti, potrebbe diventare una testa di ponte per lanciare un attacco più ampio.
Il problema è che molto spesso le aziende dispongono di inventari dei loro asset non allineati alla realtà: non è raro trovare asset registrati a persone uscite da tempo dall’organizzazione o dispositivi con software non più supportati e quindi altamente vulnerabili.
Preso atto che l’aggiornamento manuale dei fogli Excel non è in grado di stare dietro alla complessità di nuovi dispositivi che ogni giorno si affacciano sulla rete, la maggior parte delle aziende cerca di risolvere con inventari automatici come SCCM o LANSWEEPER.
Si tratta però di strumenti che non sono in grado di fornirci dati utili alla gestione del rischio perché:
- restituiscono liste con molte versioni dello stesso asset perché il vendor talvolta si chiama Adobe, talvolta Adobe Inc e così via e nel calderone sono compresi anche driver, aggiornamenti, setup
- gli utilizzi sono legati a dei diritti d’uso che andrebbero poi tracciati per capire se sono quelli previsti da contratto e dalle politiche aziendali
La mancanza di riconciliazione tra questi due elementi, insieme alle difficoltà di seguire i cambi di stato dell’asset, non permettono di avere la copertura completa e aggiornata del perimetro. Senza di essa, su cosa si fa un piano di gestione del rischio?
Tra l’altro, la legislazione è chiara su questo punto: all’articolo 5.4. si specifica che i membri dell’organo di gestione «devono tenersi attivamente aggiornati con conoscenze e competenze sufficienti per comprendere e valutare il rischio TIC».
Una soluzione ITAM integrata alla sicurezza
In WEGG ci occupiamo di IT Asset Management e lavoriamo quotidianamente per migliorare la visibilità attraverso un approccio ITAM integrato alla sicurezza.
Da un lato assicuriamo il tracciamento di tutti gli asset IT, anche di quelli non conosciuti, per portarli in un’unica vista di controllo, dall’altro mettiamo in relazione le informazioni ottenute con i workflow dei processi per automatizzare la gestione di criticità, incidenti, interventi manutentivi e di sostituzione.
Ci affidiamo:
- alla tecnologia Snow Software e al suo database con più di 1,5M di regole di detection per la discovery e la normalizzazione dei dati sugli asset gestiti (e non gestiti)
- alle nostre competenze sulle metodologie di gestione ITAM per impostare processi che possano aiutare i team di Security e Operations a pianificare interventi di mitigazione del rischio