1 Anno di Università se ne è andato e questo video è un riassunto di ciò che ho studiato durante il mio primo anno di “SICUREZZA DEI SISTEMI E DELLE RETI INFORMATICHE” .
Molte materie di cui parlo nel video vengono spesso proposte anche in altri corsi universitari come per esempio Ingegneria Informatica o Informatica.
Ecco il link del mio corso:
👉 https://www.unimi.it/it/corsi/corsi-di-laurea/sicurezza-dei-sistemi-e-delle-reti-informatiche
Mi trovate anche qui:
🤙 https://www.instagram.com/arancia_informatica/
🔴RICORDATEVI che le domande e le curiosità sono benvenute qui sotto.
Ci apprestiamo a chiudere l’anno 2020 che ha visto le organizzazioni costrette ad operare in condizioni di emergenza determinata dal manifestarsi dello scenario pandemico.
L’esperienza maturata e l’attenzione agli errori passati dovranno generare nel 2021 proposte per superare alcuni vecchi comportamenti in tema di gestione della sicurezza informatica.
Il cambiamento richiede importanti sfide culturali, alcune delle quali andremo di seguito ad analizzare.
Gestione di un problema VERSUS Rinvio dell’intervento fino alla crisi
Troppo spesso le organizzazioni rinviano la gestione di problematiche manifeste fino all’inevitabile aggravarsi del fatto rilevato che può comportare, ad esempio, un attacco cyber o un disservizio al cliente.
Esempi classici di mancate azioni riguardano il rifiuto a spegnere un server per una corretta applicazione di patch, piuttosto che la scelta di continuare a lavorare utilizzando hardware e software obsoleti per risparmiare budget.
Questo atteggiamento operativo e culturale comporta una operatività malata con conseguenze negative per l’immagine dell’organizzazione.
È necessario, quindi, che i rischi derivanti dal rinvio degli interventi e le possibili conseguenze siano condivisi con il Top Management in modo tale da supportarlo nel processo decisionale.
Sicurezza come supporto al Business VERSUS Sicurezza come limite al Business
Da sempre la sicurezza è vista come il principale freno all’innovazione e alle attività di business. Tale visione deve cambiare.
La sicurezza oggi gioca un ruolo fondamentale nel business; essa è la chiave del vantaggio competitivo, conquistando la fiducia dei clienti e proteggendo il nome dell’azienda.
Il Chief Information Security Officer (CISO) di oggi non deve solo essere esperto di tecnologia ma deve sostenere l’Head of Business per una sicurezza allineata e di supporto alle necessità del mercato.
La sicurezza non deve rappresentare solo una difesa dell’organizzazione da attacchi ed imprevisti ma deve essere sempre più un elemento facilitatore di decisioni che bilanciano la necessità di protezione ed una efficiente gestione delle attività.
A sua volta, il responsabile del business deve rispondere anche del livello di sicurezza dei servizi offerti sul mercato.
Investimenti VERSUS Contenimento di risorse
La pandemia ha visto molte aziende investire in sistemi IT, ad esempio fornendo computer portali per favorire lo smart working ai dipendenti o potenziando la network per garantire a tutto il personale il lavoro da remoto.
L’aumento degli attacchi informatici, specie durante la pandemia, ha evidenziato che la sicurezza non va mai in vacanza. Sono stati identificate lacune e punti di miglioramento che devono essere affrontati e risolti principalmente aumentando gli investimenti in modo da fronteggiare scenari di attacchi sempre più sofisticati.
Assunzione di rischio VERSUS Ignorare il rischio
Gestire la sicurezza non significa solo adottare le azioni necessarie per l’eliminazione di tutti i rischi.
Il processo di governance prevede l’identificazione dei rischi e la loro analisi con relativa misurazione. Nel caso non sia possibile implementare le azioni necessarie alla loro cancellazione o nel caso tal azioni siano possibili solo nel medio o lungo termine allora la soluzione da adottare è una mitigazione ed accettazione del rischio.
Fondamentale, infatti, è la conoscenza del rischio e delle possibili conseguenze da parte del top management. Al management si richiede, quindi, non di ignorare i rischi ma di comprenderli e di assumersi la relativa responsabilità.
L’accettazione del rischio deve ovviamente prevedere una data di scadenza ed un piano di mitigazione e/o eliminazione del rischio entro il termine stabilito.
Awareness continua VERSUS Formazione una tantum
Come ormai è noto con sicurezza informatica si intende una materia molto ampia ed in continua evoluzione. L’ultimo buon proposito sta nel riconoscere che la cybersecurity è in continua evoluzione e per questo necessita che il personale sia continuamente formato e sensibilizzato.
Non solo le aziende devono pianificare budget per investimenti hardware, software, di network o infrastrutturali ma anche di training ed awareness.
Naturalmente tutto il personale riveste un ruolo fondamentale per quanto concerne la sicurezza dell’organizzazione in quanto coinvolto direttamente nell’uso di strumenti informatici e piattaforme che interagiscono fra loro.
Un attacco informatico banale spesso si insinua nella posta elettronica utilizzata da tutto il personale. Per questo motivo, è importante fornire a tutto il personale gli strumenti per affrontare le minacce derivanti dalla loro attività, riconoscerle e se possibile evitarle.
In conclusione, molte saranno le sfide che le organizzazioni dovranno affrontare nel corso del 2021 ma sicuramente investire su dipendenti formati e sensibilizzati sulle vulnerabilità delle organizzazioni sarà il presupposto necessario per la crescita futura delle stesse.
Articolo a cura di Lisa Da Re
L’articolo Sicurezza informatica: buoni propositi e sfide culturali per il 2021 proviene da ICT Security Magazine.
Siamo lieti di annunciare un nuovo servizio per aiutare chi non ha molte conoscenze informatiche o chi sospetta di avere programmi spia o malware nel suo telefono e desidera mettere in sicurezza un dispositivo android o controllare le impostazioni di privacy dei suoi account social.
1) Pacchetto SICUREZZA ANDROID con Assistenza da Remoto
Il pacchetto Sicurezza Android Completa tramite Assistenza da Remoto vi permette di controllare il vostro telefono in modo approfondito e di migliorare le condizioni di sicurezza e funzionamento del vostro dispositivo. Per approfondire [ click qui ]
2) Pacchetto SICUREZZA ANDROID e SICUREZZA FACEBOOK da remoto
In aggiunta al pacchetto Sicurezza Android con assistenza da remoto, sopra presentato, procederemo con la messa in sicurezza del profilo facebook del cliente ( tramite un blocco totale per il massimo livello di privacy ed accesso ai dati del profilo consentito solo ai propri amici ) e la verifica degli ultimi accessi al suo account facebook. Per approfondire [ click qui ]
3) Pacchetto MESSA IN SICUREZZA PROFILI SOCIAL da remoto
Il pacchetto messa in sicurezza profili social da remoto prevede il nostro intervento per ottenere il massimo livello di sicurezza per il vostro account Facebook, Instagram, Twitter, Linkedin, Pinterest. Per approfondire [ click qui ]
4) Pacchetto MESSA IN SICUREZZA FACEBOOK da remoto
Procederemo con la messa in sicurezza del profilo facebook del cliente ( tramite un blocco totale per il massimo livello di privacy ed accesso ai dati del profilo consentito solo ai propri amici ) e la verifica degli ultimi accessi al suo account facebook. Per approfondire [ click qui ]
Informatica in Azienda diretta dal Dott. Emanuel Celano
L’articolo SERVIZIO DA REMOTO : richiedi la massima SICUREZZA per il tuo telefono ANDROID e per i tuoi account SOCIAL proviene da .
Parlando di sicurezza, nel mondo digitale, è ben noto il concetto che proteggersi da ogni tipo di attacco informatico sia pressoché impossibile. L’ingegneria della sicurezza può essere considerata dunque come una sorta di esercizio nella gestione delle strategie del rischio.
Un approccio che funziona molto bene è quello di fare uso di una serie di principi o linee guida come punto di riferimento nelle fasi di progettazione e costruzione delle infrastrutture tecnologiche. D’altronde anche l’articolo 25 del nuovo Regolamento europeo per la protezione dei dati personali (GDPR) introduce i principi di privacy by design e privacy by default, secondo un approccio concettuale innovativo che impone alle aziende l’obbligo di avviare un progetto prevedendo, fin da subito, gli strumenti e le corrette impostazioni a tutela della sicurezza dei dati personali.
Questi principi generali, quando correttamente applicati e contestualizzati, tendono a migliorare le prospettive di sicurezza anche rispetto a condizioni di rischio sconosciute e possibili attacchi futuri.
In questo articolo verranno esposti i due dei principi per la sicurezza che impattano anche sulle nuove tecnologie dei sistemi intelligenti (in breve AI) e di apprendimento automatico o Machine Learning (in breve ML), trattati dal Building Secure Software, il cui obiettivo è quello di identificare e mettere in evidenza gli aspetti più importanti della sicurezza da prendere in seria considerazione quando si progetta e costruisce un sistema tecnologico di nuova generazione.
Come accennato, per un approccio consapevole nella gestione del rischio, l’applicazione di questi principi dev’essere sensibile al contesto nel quale si applicano e sul quale andrà fatta un’analisi preventiva di assessment per comprendere al meglio i criteri adeguati di implementazione e di messa a processo.
Vediamo quindi più in dettaglio gli aspetti di questi principi, trattati dal Berryville Institute of Machine Learning.
Proteggere l’anello più debole
I responsabili della sicurezza IT ribadiscono il noto concetto che la sicurezza sia come una catena: forte quanto l’anello più debole.
In relazione a questo, anche un sistema tecnologico è da ritenersi sicuro tanto quanto il suo componente più debole.
Vuoi conoscere in anticipo dove potranno attaccarti?
Bene, allora pensa all’anello più debole della tua infrastruttura tecnologica e conoscerai la risposta: questo ambiente della tua infrastruttura tecnologica sarà, presumibilmente, la superficie sensibile ad un possibile attacco. Maggiore sarà l’estensione di questa superfice, maggiore sarà la possibilità che l’attacco possa andare a buon fine e creare i maggiori danni.
Nei sistemi intelligenti (AI) e di apprendimento automatico (ML) occorre prestare maggiore attenzione nelle fasi di addestramento degli stessi. Durante queste fasi, i sistemi necessitano di grandissime quantità di dati che rappresentano degli esempi in grado di insegnare loro come comportarsi rispetto a ciascuno di questi.
Questo rappresenta un limite in quanto ci sono situazioni in cui di esempi non ce ne sono tanti, vedi ad esempio problemi nuovi o situazioni in cui non vi è la possibilità di avere così tanti dati a disposizione in grado di fiduciare delle azioni coerenti. C’è bisogno quindi di aiutare questa intelligenza artificiale a poter imparare a risolvere problemi anche quando non ci sono esempi a disposizione dai quali poter apprendere.
Altro limite di questi sistemi è la capacità di capire e inferire concetti generali mentre impara a risolvere un problema specifico. Per ora è in grado di risolvere specifici problemi, ma quando si passa a dover risolvere un altro problema, magari simile al precedente, occorre riiniziare tutto l’iter di apprendimento da capo.
Questi esempi dunque rappresentano una grossa mole di informazioni in input da “masticare” e “comprendere” per poter successivamente fornire delle risposte coerenti alle richieste dell’utente.
“Alexa, qual è il mio colore preferito?”
“OK Google, conosci Alexa?”
“Ehi Siri, consigliami una ricetta per il pranzo”…
Queste sono alcune frasi con le quali comunichiamo con dei noti sistemi di intelligenza artificiale, ormai alla portata di tutti e che ci danno uno spaccato di quanto stiano evolvendo queste nuove tecnologie. Ma se da un lato ci divertono e ci aiutano, dall’altro non si ha ancora una chiara consapevolezza dei meccanismi legati alle dinamiche di gestione dei dati che li educano e che man mano vengono incamerati e trattati in un cyber spazio completamente ignoto all’utente finale ma che, allo stesso tempo, ne fa un uso largo e a tratti inconsapevole.
Se ad esempio si considera un “luogo pubblico” come la sorgente di questi dati di addestramento e, per sua natura, soggetto a una scarsa qualità di controlli, il modo più semplice per condurre un attacco potrebbe essere quello di manipolare i dati a monte, ancor pima che arrivino al sistema di elaborazione. In questo caso, l’obiettivo dell’attaccante è quello di arrivare al sistema, prima che lo stesso inizi ad apprendere. Una volta che i dati sono all’interno sarà dunque più facile alterare il processo di apprendimento e modificarne di conseguenza il suo comportamento in relazione a differenti e malevole esigenze.
Un sistema “intelligente” impara a fare ciò che fa grazie ai dati che gli vengono iniettati, ma se un utente malintenzionato riesce a manipolarli in modo adeguato, l’intero sistema potrebbe esserne compromesso. Per tale motivo questo genere di attacchi (avvelenamento dei dati) richiede un’attenzione particolare. In quanto esistono diverse fonti di dati, sensibili a questo genere di attacchi e dove dati “grezzi” e set di dati vengono assemblati ad hoc per addestrare, testare e convalidare i processi di apprendimento.
Non è difficile capire la logica che porta a voler attaccare questi sistemi intelligenti: monetizzare il valore dei dati. Volendo fare una similitudine che troviamo nel mondo reale, sappiamo bene che una banca ha moti più soldi di un piccolo market, ma tra i due, chi ha più possibilità di subire un attacco? La risposta è alquanto scontata e di facile intuizione; l’attaccante viene certamente attratto dalla quantità di denaro presente all’interno di una banca ma altrettanto dissuaso dai suoi molteplici sistemi di sicurezza.
Proprio questo elemento di maggior costo e rischio per l’attaccante lo porta a cercare un target meno “ricco” ma sicuramente più facile da colpire e con una probabilità più alta di successo: meno ma più probabile, piuttosto che molto ma meno probabile o molto difficile.
I sistemi di ML hanno un altro strano fattore che vale la pena considerare: la maggior parte del codice sorgente utilizzato è open source e, come tale, di dominio pubblico. Pertanto, alcune domande sorgono spontanee:
“Dovresti fidarti dell’algoritmo che hai scaricato da Github? “
“Come funziona?”
“E se l’algoritmo stesso fosse subdolamente compromesso? “
Quesiti che rappresentano sono alcuni dei potenziali “anelli deboli” da considerare nel contesto di una buona analisi dei rischi. Quando si parla di una buona analisi dei rischi, occorre valutare, in primis, il rischio più grave in relazione a quel particolare contesto, anziché un rischio di minore entità e più facile da mitigare. Di conseguenza, le risorse destinate alla sicurezza dovrebbero essere distribuite in base al risultato di questa analisi e attribuendo un livello di alta priorità per tutte le criticità evidenziate.
Altro elemento fondamentale è quello attribuire delle priorità in relazione agli aspetti più critici per poi passare a quelli che in ordine di gravità presentano un livello di rischio inferiore. Lo scopo finale è quello di giungere a una soglia di rischio accettabile e sulla base della quale verranno stabilite eventualmente nuove strategie di mitigazione.
Come già detto, nel mondo digitale la sicurezza non è perseguibile in valore assoluto e anche quando tutti gli elementi di rischio, emersi dalla nostra buona analisi, siano rientrati nella una soglia di un rischio accettabile, non bisogna mai abbassare la guardia e considerare questi aspetti in un contesto di insieme e secondo un ciclo di vita continuo e perfettamente integrato nell’infrastruttura tecnologica.
Il Framework Nazionale per la Cybersecurity e la Data Protection ne è un esempio e nasce per supportare le organizzazioni che necessitano di strategie e processi volti alla protezione dei dati personali e alla sicurezza cyber.
Framework Nazionale per la Cybersecurity
A parte tutte le nostre analogie, le buone pratiche di sicurezza impongono sempre un approccio di tipo olistico dove la protezione dei componenti nel loro insieme, della catena tecnologica, risulta di gran lunga maggiore della protezione offerta da ogni singolo elemento o singolo anello della stessa.
Gli elementi più deboli saranno comunque sempre presenti in una infrastruttura tecnologica, per quanto evoluta, ma considerando la sicurezza come un processo e non come un prodotto, si potranno subito identificare e rafforzare fino al raggiungimento di un livello accettabile del rischio.
La nozione di accettabilità dipende poi dal contesto in cui si opera e da quelle che saranno le scelte strategiche dell’alta direzione.
Stratificare le difese
L’idea alla base di questo principio, di una difesa efficace e profonda rispetto a eventi di rischio, è quella di stratificare le strategie di difesa in modo tale che, se la prima linea dovesse fallire, subentrino subito dopo le altre linee di difesa messe in campo. Torniamo quindi al nostro esempio di sicurezza della banca:
“perché la nostra banca è più sicura di un piccolo market?”
Poiché esistono molte misure di sicurezza ridondanti a tutela di un contesto che lo richiede.
Una banca ha per sua natura un prodotto molto ambito, quale il denaro e questo contesto necessita certamente di un’attenzione particolare, che non si limita a un solo elemento di difesa ma si esplica in più misure (strati) a salvaguardia del patrimonio aziendale. Più di questi strati saranno presenti e più saranno le garanzie a tutela della sicurezza. Pertanto, al fianco delle telecamere di sicurezza ci sarà magari un congegno di rilevazione delle presenze, delle procedure di controllo agli ingressi, una guardia che vigila all’esterno e così via.
Come si può facilmente capire, in questo contesto, la superfice di attacco risulta alquanto limitata da tutta una serie di misure di prevenzione che portano a dissuadere gli attaccanti o comunque, far loro capire quali potrebbero essere i rischi e le scarse probabilità di successo anche riuscendo a bypassare le prime linee di difesa. Per esempio, superare l’ingresso o addirittura arrivare agli uffici, non servirebbe a compromettere quello che è il vero patrimonio della banca che invece si troverà dietro l’ultima linea di difesa, all’interno di un più sicuro caveau.
Detto questo, comunque, anche avere tutte le misure di sicurezza del caso non garantisce alla banca l’immunità da qualsiasi attacco e che non venga mai derubata o compromessa. Certo è che lo sforzo da mettere in campo, da parte di un attaccante, risulterebbe alquanto difficile e scoraggiante rispetto ad altre realtà (come il piccolo market) dove lo sforzo richiesto sarebbe decisamente a minor costo e con più alte probabilità di successo.
Il principio della difesa in profondità o difesa stratificata può sembrare in qualche modo contraddittorio con il principio “metti in sicurezza l’anello più debole” perché stiamo essenzialmente dicendo che le difese degli elementi nel loro insieme possono essere più forti dell’elemento più debole.
Come mai invece, non c’è contraddizione?
Il principio del proteggere l’anello più debole si applica quando i componenti hanno un livello di sicurezza e funzionalità che non si sovrappongono. Ma quando si tratta di misure di sicurezza ridondanti, la protezione offerta dalla somma delle stesse è di gran lunga maggiore di quella offerta da ogni singolo componente.
I sistemi di ML sono per loro natura costruiti con numerosi componenti e – come più volte evidenziato – i dati, dei quali si nutrono, rappresentano l’elemento più importante da tutelare dal punto di vista della sicurezza.
Ciascuna di queste componenti presenta un certo fattore di rischio e, come tale, potenzialmente sfruttabile da attori malintenzionati. In un tale scenario, la vulnerabilità di un singolo componente dovrebbe essere colta da un altro componente, secondo una logica di gioco di squadra. In realtà, nei sistemi complessi, come quelli di AI e ML, non è cosi semplice fare in modo che “tutto” venga gestito e controllato secondo queste logiche di squadra e un mancato controllo a monte potrebbe determinare un problema a valle.
Pensiamo a come la difesa stratificata influisce sull’obiettivo di proteggere i dati di autoapprendimento in un sistema di ML e AI.
Un primo livello di sicurezza tenterà di proteggere i dati di formazione sensibili attraverso qualche tipo di autenticazione e autorizzazione, per poi consentire all’utente o al componente così identificato di operare solo dopo che il processo di riscontro dell’identità sia andato a buon fine. Questa potrebbe essere una buona pratica a garanzia della sicurezza ma non di certo sufficiente a garantire che nessuna informazione “sensibile” possa essere divulgata a causa di uso o abuso, dannoso per l’intero sistema. Un elemento di criticità, che non riguarda solamente i sistemi di ML e AI, è certamente dato da un’inadeguata assegnazione dei privilegi a utenti od oggetti che accedono alle informazioni.
Pertanto, un altro aspetto importante da considerare nelle strategie di difesa stratificata e soprattutto su sistemi di ML e AI, riguarda l’applicazione del principio del privilegio minimo. Tale pratica consente agli utenti e, in particolare, a coloro che operano con privilegi amministrativi, di poter operare solo ed esclusivamente su determinati ambienti, con determinati strumenti e in relazione a specifici privilegi.
Fuori da questi confini si dovrebbe determinare un’anomalia da notificare ai responsabili della sicurezza per valutarne in tempi rapidi dinamiche e tipologia dell’evento. In questo modo risulta molto più agevole identificare e prevenire gli exploit di sicurezza quando ogni componente limita l’accesso solo alle risorse effettivamente necessarie.
Identificare e compartimentare i vari componenti di un progetto IT può essere certamente d’aiuto, poiché su ciascuno di questi elementi diventa possibile implementare specifici controlli e politiche di sicurezza secondo quella logica che vede ciascun componente lavorare di concerto con gli altri in un contesto di insieme.
Conclusioni
L’approccio alla sicurezza IT richiede certamente grande consapevolezza da parte di tutti, a partire da coloro che progettano le tecnologie per arrivare a tutti coloro che in qualche modo risultano coinvolti nella filiera tecnologica. È auspicabile che le aziende, con atteggiamento proattivo, mettano in campo strategie e investimenti in grado di mitigare il rischio sulla sicurezza delle informazioni digitali, ma altrettanta attenzione e proattività è richiesta ai governi e alle istituzioni di ogni ordine e grado.
Occorre prendere coscienza che la tutela della sicurezza richiede interventi e regolamentazioni a livello di sistemi paese in grado di fornire garanzie adeguate in termini di fiducia del mercato, privacy dei cittadini e interessi nazionali.
Riferimenti bibliografici
- Berryville Institute of Machine Learning
- An Architectural Risk Analysis of Machine Learning Systems
- Regolamento europeo per la protezione dei dati personali
Articolo a cura di Alessandro Bonu
L’articolo Principi di sicurezza e Machine Learning proviene da ICT Security Magazine.
La Sicurezza delle Informazioni riveste un ruolo sempre maggiore all’interno delle organizzazioni, specialmente in alcuni settori produttivi. Proprio in questo senso la VDA (Verband del Autobilindustrie – www.vda.de/de) ha sviluppato un modello di valutazione della maturità della Sicurezza delle Informazioni dalle società che operano nell’ambito automotive.
La VDA Information Security Assessment (VDA ISA), diventata de facto standard di riferimento del settore, è oggi oggetto di un meccanismo di auditing e valutazione noto come TISAX (Trusted Information Security Assessment eXchange). Il TISAX nasce come meccanismo di scambio e di condivisione di informazioni tra gli operatori del settore automotive in merito ai livelli di sicurezza presenti delle organizzazioni.
L’Associazione ENX è l’organizzazione a cui la VDA ha affidato l’implementazione e il controllo del TISAX come autorità neutrale (una sorta di organismo di accreditamento) il cui compito è quello di interfacciarsi con gli Audit Provider e con i clienti che vogliono ricevere la valutazione TISAX e gestire la condivisione di queste informazioni tra gli enti.
Attualmente circa dieci fornitori di audit approvati dall’associazione ENX offrono valutazioni TISAX (https://portal.enx.com/en-US/tisax/xap/).
La figura seguente aiuta a capire le relazioni tra ENX (ente centrale), audit provider e soggetti TISAX.
Figura 1 – Relazioni tra ENX, Audit Provider e Partecipanti TISAX
Valutazione del livello di maturità – “TISAX Label”
È bene chiarire che non parliamo di una vera e propria certificazione ma di una valutazione del livello di maturità della sicurezza delle informazioni relative all’automotive gestite da un’organizzazione.
Al termine dell’audit viene rilasciata una “TISAX Label” indicante, secondo quanto descritto nella tabella seguente, il livello di implementazione dei controlli previsti all’interno della VDA-ISA:
Tabella 1 – Livelli di Maturità TISAX
Se al termine della valutazione dei controlli presenti all’interno della check list VDA-ISA (di cui parleremo a breve) il risultato calcolato sarà ad esempio un valore pari a 2, come mostrato nella figura seguente, sarà rilasciata per l’organizzazione una “TISAX Label” che indicherà che il livello di maturità e di implementazione dei controlli sulle informazioni automotive dell’organizzazione è “Managed”.
Figura 2 – Esempio di grafico riassuntivo di una valutazione TISAX
Scopo della valutazione
Differentemente da come siamo abituati per i Sistemi di Gestione, l’ambito di applicazione di una valutazione TISAX non può essere determinato dall’organizzazione ma deve forzatamente comprende tutti i processi e le risorse coinvolte nel trattamento di informazioni afferenti all’industria automobilistica. È possibile apportare due modifiche alla definizione dello scope: estendere il campo di applicazione della valutazione (al fine di avere maggior fiducia della sicurezza delle informazioni dell’organizzazione) oppure ridurre lo scope; in questo caso non è però possibile ottenere la “TISAX Label”.
Qualora un’organizzazione avesse più siti è possibile approcciare lo scope in due differenti modalità mutuamente esclusive:
I) considerare l’organizzazione come un’unica entità e quindi procedere ad un’unica valutazione ottenendo quindi una “TISAX Label” unica;
II) considerare ogni sito come entità assestante e quindi avere una “TISAX Label” per sito.
Questo secondo approccio può essere consigliabile nel caso di organizzazioni molto complesse che hanno necessità di ottenere la “Label” senza dover aspettare che tutte le sedi siano allo stesso livello di maturità. Infatti se una sola sede non raggiunge il livello desiderato, non si otterrà la “TISAX Label”. Ovviamente considerare ogni sito come entità assestante comporta costi e complessità di gestione superiori.
La VDA – Information Security Assessment (ISA)
Dopo aver analizzato a chi si applica la TISAX e quali informazioni rientrano nella valutazione del livello di maturità, arriviamo finalmente ad analizzare il cuore della TISAX che sarà poi la base per l’ottenimento della “TISAX Label”: la VDA-ISA.
La VDA-ISA è la check list di autovalutazione del livello di maturità dei controlli di sicurezza delle informazioni che ogni organizzazione del settore dovrebbe compilare.
L’excel scaricabile dal sito (https://www.vda.de/en/services/Publications/information-security-assessment.html) consta di differenti fogli, tra i quali un’Introduzione, la definizione dei livelli di maturità, un glossario, degli esempi di KPI e altre informazioni specifiche sul documento. I fogli principali sono i 6 centrali, nella “cover” troviamo tutte le informazioni che l’organizzazione deve inserire relativamente al suo ambito e allo scope dell’assessment mentre nel foglio “Result” potremo trovare il risultato della valutazione finale dopo aver valutato tutti i controlli previsti nei fogli:
- “Information Security”,
- “Connection to 3rt parties”,
- “Data Protection” e
- “Prototype protection”.
I controlli presenti all’interno dei fogli “Information Security” e “Connection to 3rt parties” sono speculari a quelli proposti dallo standard ISO/IEC 27002. Come già sottolineato in precedenza nella TISAX non si valuta solo se il controllo è applicato o meno, ma qual è il suo livello di maturità.
Per ogni controllo viene definito:
- il controllo messo in forma di domanda a cui l’organizzazione deve rispondere;
- l’obiettivo che ha il controllo;
- i requisiti che:
- devono essere inclusi;
- dovrebbero essere inclusi;
- potrebbero essere inclusi;
- sono necessari in caso di “high protection”;
- sono necessari in caso di “very high protection”.
Figura 3 – Esempio requisito VDA – ISA
Per ogni controllo è quindi necessario che l’organizzazione determini il suo livello di maturità, seguendo la scala 0 – 5 sopra definita. Tale autovalutazione sarà poi analizzata da parte del Audit Provider durante l’attività di audit di cui parleremo a breve.
Figura 4 – Esempio valutazione controllo VDA – ISA
Tipologie di audit
Per quanto abituati ai “classici” audit sui Sistemi di Gestione le modalità di audit previste per l’ottenimento della TISAX Label risulteranno atipici. Sono infatti previste tre tipologie di Assessment:
- Livello 1 (AL 1): svolgono principalmente un ruolo di un’autovalutazione dell’organizzazione. Durante un AL1 viene valutata l’esistenza e la completezza del file di autovalutazione. Non viene analizzato il contenuto dell’autovalutazione e non sono richieste evidenze. Un AL 1 non prevede il rilascio di una “TISAX Label”.
- Livello 2 (AL 2): in questo caso l’audit provider esegue un controllo di plausibilità della check list di autovalutazione (per tutte le sedi nell’ambito della valutazione). Le evidenze sono raccolte analizzando la documentazione e conducendo interviste generalmente tramite audio-conferenza. Su sua richiesta l’audit provider può condurre le interviste di persona. Un AL 2 prevede il rilascio di una “TISAX Label” con evidenza della tipologia di assessment effettuato.
- Livello 3 (AL 3): per una valutazione con livello di valutazione 3 l’audit provider fa tutti i controlli come per una valutazione con livello di valutazione 2. Tuttavia, tutti i controlli saranno più completi e la verifica verrà effettuata in profondità in modo da esaminare in loco l’organizzazione al fine di ottenere tutte le evidenze dichiarate nell’autovalutazione.
Tabella 2 – Tipologie di audit
Per qualunque tipo di assessment il punto di partenza imprescindibile è che l’organizzazione abbia compilato da VDA-ISA facendo quindi un’autovalutazione. Lo scopo dell’assessment, in particolare per il livello 2 e 3 è quello di validare l’autovalutazione fatta dall’organizzazione raccogliendo evidenze a supporto dei livelli di maturità determinati dall’organizzazione.
TISAX VS ISO/IEC 27001
La tabella seguente riporta le principali differenze tra la ISO/IEC 27001:2013 e la TISAX.
Tabella 3 – ISO 27001 vs TISAX
Bibliografia
- https://www.enx.com/tisax/files/downloads/TISAX-Participant-Handbook-current.pdf
- https://www.vda.de/en/topics/safety-and-standards/information-security/information-security-requirements.html
Articolo a cura di Paolo Sferlazza
L’articolo TISAX – La valutazione del livello di maturità della sicurezza delle informazioni nell’ambito automotive proviene da ICT Security Magazine.