ISO27001 contro il mondo dei Cracker per evitare gli HACKING SCANDAL
ISO27001 English version of this page
Il rischio principale del caso Marriott è di dimenticarlo dopo una o due settimane …
come di solito accade quando si parla di hacking o meglio cracking.
Il Cracking è un mondo oscuro non solo per la gente comune ma anche per gli specialisti di qualunque settore,
i quali temendo di combattere contro invincibili e tenebrose forze,
pensano di non avere la possibilità di vincere definitivamente la partita della sicurezza delle informazioni.
Ma è veramente così?
Si dice che qualcuno sia disponibile addirittura a pagare un hacker malintenzionato
che abbia dimostrato di aver violato il proprio sistema di informazioni allo stesso modo di come si paga il “pizzo” alla mafia.
Io non la penso così, non credo che la sicurezza delle informazioni sia una partita persa,
è solo una partita difficile da vincere, ma non è persa e già dal momento del calcio d’inizio.
Diversi anni fa ho vissuto una bella esperienza come responsabile della sicurezza delle informazioni, dell’ISMS
(sistema di gestione della sicurezza delle informazioni) in un’organizzazione non molto grande
che conoscevo molto bene per avervi lavorato per molti anni.
Il mio scopo principale era quello di condividere l’obiettivo di ottenere non solo di ottenere un ISMS Certificato (Iso27001)
ma un ISMS sicuro e condiviso, fatto per far funzionare le cose in sicurezza,
non per far perdere tempo alle persone facendo utilizzare procedure più difficili e di dubbia efficienza.
E non era solo una questione di antivirus o firewall o gestione delle password o simili.
La cultura della sicurezza delle informazioni
Prima di tutto era (come è ancora oggi) un problema culturale,
preceduto e seguito una corretta gestione dei processi organizzativi:
se hai una buona organizzazione interna puoi combattere facilmente la tua lotta contro i cracker.
È stata una bella avventura addentrarsi nei meandri più segreti dell’analisi dei rischi,
basandosi sull’esperienza dei lavoratori (incidenti precedenti, suggerimenti, etc), sulla letteratura sui rischi IT e non solo IT,
sul buon senso e su un apparentemente semplice diagramma di Pareto per determinare i quadrati ‘rossi’
che si ottengono incrociando gli eventi con “più probabilità di accadere” con gli eventi a “più grande danno”.
Ma tutto questo non basta, sono necessari anche alcuni trucchi.
Il primo trucco è stato quello di evitare di dare troppa pubblicità alla certificazione ottenuta.
Il mio capo di allora volle pubblicare il certificato Iso27001 sul sito aziendale,
cosa che fece contro la mia opinione, ma almeno senza dargli tanto risalto.
Un altro trucco consisteva nel mantenere viva la cooperazione con altre persone che combattevano la stessa battaglia,
andando ai meeting, dando e ricevendo opinioni e consigli senza mai dare informazioni riservate
e rendere pubbliche eventuali debolezze interne.
Ma il trucco più importante fu quello di fare un buon training.
Le persone dovevano essere consapevoli di essere unite in questa importante lotta,
basta che una sola persona fornisca una password a una persona sconosciuta,
che le si presenti al telefono, dichiarandosi un addetto alla sicurezza delle informazioni della migliore azienda IT del mondo,
che la guerra è ‘persa’ nonostante la certificazione Iso27001 e tutti gli sforzi fatti.
Goditi la battaglia! Senza entusiasmo e passione, senza determinazione e perseveranza, non sarai mai in grado di vincerla.
Buona Fortuna
Claudio Pace Terni 2 Dicembre 2018