C’era una volta l’IT tradizionale… In un perimetro aziendale ben definito e limitato convivevano server, router, switch, workstation, laptop, firewall, e diverse altre entità digitali. Questo ecosistema aveva connessioni con il mondo esterno ben precise, sorvegliate e difese. Il lavoro del team sicurezza e del suo capitano (la figura del Chief Information Security Officer – CISO) era di definire, implementare e monitorare linee guida e politiche di comportamento per evitare incidenti, infezioni e furti di dati sensibili; garantendo al tempo stesso la continuità operativa e l’efficienza dei sistemi a supporto del business.
Negli ultimi anni, due macro-fenomeni planetari hanno avuto un impatto su questa biodiversità digitale: parlo della trasformazione digitale e della emergenza sanitaria, combinazione esplosiva che ha fatto avanzare questo ecosistema in un tempo estremamente breve ed in modo spesso esplosivo, trasformando una tranquilla cittadina agricola di provincia nella giungla eterogenea e ricca di specie del Madagascar centrale. Generando – come spesso si sente dire a eventi e conferenze – un’esigenza di visibilità digitale; perché non si può gestire, controllare, sorvegliare, mettere in sicurezza e proteggere quello che non si sa di avere o che non si vede. Tema assolutamente pertinente, vero, attuale… ma incompleto nella sua articolazione. Se elenchiamo i vari ambienti che caratterizzano oggi una organizzazione di qualsiasi settore e dimensione, troviamo una prova tangibile di questa esplosione di specie che citavo poc’anzi: l’IT tradizionale ne fa certamente ancora parte, affiancato da entità mobili come smartphone e tablet; ambienti containerizzati, cioè costruiti su piattaforme agili in modo da frammentare le funzionalità necessarie affinché diventino fruibili on-demand con una scala che si autoregola in base al numero degli utilizzatori; progetti in cloud, a loro volta divisi in infrastrutture come servizio (IaaS), piattaforme come servizio (PaaS) e software come servizio (SaaS); applicativi tradizionali, reingegnerizzati per diventare fruibili tramite web; strumenti ultraspecializzati connessi via rete Internet, che caratterizzano la Internet delle Cose e la Internet Industriale delle Cose. Questo elenco, solo parziale, fornisce una buona approssimazione di quanto complessa sia la sfida della visibilità digitale per un’azienda moderna.
La soluzione a cui si pensa è spesso data dall’integrazione di due sistemi: un inventario digitale che sia quanto più possibile manutenuto aggiornato automaticamente – sincronizzato con un sistema di tracciamento e gestione delle modifiche, conosciuto anche come Change Management DB o CMDB. L’obiettivo di queste piattaforme è rendere visibile l’intero panorama digitale, magari permettendo una categorizzazione delle specie – automatizzata o meno in base a regole di raggruppamento; i due casi d’uso che normalmente vengono soddisfatti sono la distribuzione di sensori di raccolta di tutti i metadati dalle risorse e la categorizzazione in perimetri logici realizzata centralmente. A volte elevando il grado di specializzazione del sensore stesso. Non è infatti possibile usare le stesse tecniche per ambienti molto diversi tra loro, come ad esempio laptop in movimento, container applicativi e ambienti SaaS. Costruendo questa visibilità, resta di fondamentale importanza l’attenzione a come i dati raccolti – per quanto grezzi e poco significativi se presi in modo atomico – combinati possano diventare sensibili e indicativi di una superficie di attacco esposta; tale attenzione va messa anche nella verifica del modello di sicurezza e di riservatezza con cui questi dati vengono trattati nei tre momenti della loro esistenza: transito, riposo, elaborazione.
Concetto di osservabilità
L’osservabilità parte dove finisce la visibilità, intesa come disponibilità della telemetria raccolta dai sensori, per aumentarne il valore. Di solito richiede che i dati grezzi raccolti siano indicizzati e normalizzati, al fine di renderli processabili da un motore di visualizzazione, quindi si procede all’interrogazione e all’organizzazione dei risultati in dashboard. L’osservabilità permette quindi di comporre i dati grezzi in viste, a formare l’informazione che interessa tracciare – nel formato in cui interessa visualizzarla. Nella scelta delle piattaforme tecnologiche a supporto dei processi diventa importante curare questa caratteristica e soprattutto valutarne la flessibilità: aggregare metadati normalizzati sull’inventario digitale permette infatti di supportare innumerevoli processi aziendali: verifica distribuzione software e hardware, investigazioni forensi, valutazione della postura di sicurezza, e così via. Un’ultima capacità caratterizzante di una buona osservabilità è l’arricchimento del contesto di un metadato: partendo dal metadato raccolto dal sensore, si combina un catalogo di informazioni non rilevabili dal sensore, ma curate dalla ricerca. Ad esempio, è possibile abbinare alla lista dei software identificati le informazioni sulla fine-vita o fine-supporto – supportando così processi di acquisto o di ammodernamento, così come discendenti programmi di investimento o ammodernamento…
Oppure abbinare a un servizio di rete rilevato le informazioni di quanto sia vulnerabile, o addirittura di quando sia stato oggetto di attacchi negli ultimi mesi – supportando processi di prioritizzazione degli interventi di rimedio o mitigazione del rischio.
Chi si occupa dell’inventario digitale deve sempre più confrontarsi con un crescente grado di complessità degli ambienti e varietà delle specie digitali. La combinazione di visibilità e osservabilità genera un valore olistico nell’efficacia dell’interrogazione della popolazione monitorata, aumentando la velocità e l’agilità nel tracciamento e monitoraggio delle informazioni aggregate di interesse per i processi da supportare.
Affinché tutto questo non resti un tecnologico esercizio di stile, queste due capacità vanno relazionate con l’accrescimento culturale dell’azienda – tradotto in consapevolezza del fattore umano di essere parte di una filiera di sicurezza delle informazioni: ciò che nel mondo anglosassone è conosciuto col nome di “knowledge management”. Il personale e la cultura aziendale devono infatti crescere insieme allo sviluppo tecnologico, capendone i possibili rischi e potenzialità; ognuno svolgendo il proprio ruolo con la consapevolezza di lavorare in un ambiente sempre più agile, complesso e interferenziale tra i vari sistemi.