Informazioni personali

Cerca nel blog

Translate

giovedì 5 gennaio 2017

Quando è la sicurezza a pagare I tuoi errori: ma chi li fa i budget di sicurezza… Paperino?

Lo so che non ti piace sentirtelo dire, ma se vieni attaccato da un ransomware, se ti hackerano, se un intruso ti ruba tutti i tuoi dati e via dicendo, al 90% la colpa è solo tua.

Il rimanente 10% di colpa la puoi addossare al governo, al tempo, al fatto che non ci sono più le mezze stagioni e via dicendo.

Perché ti dico questo?

Perché, credilo o meno, ci sono tanti esperti in giro che cercano disperatamente di spiegarti come vanno le cose.  Da saggio Paolo Perego al buon Andrea Monguzzi, una lunga teoria di esperti ha speso fiumi di buon senso cercando di farti vedere la luce, e tu ti ostini a portare gli occhiali da sole.

Ora mi importa poco se sei un IT manager, un HR manager, un CEO, un CFO o possiedi un’altra luminosa sigla da mettere nel tuo bigliettino da visita. Lo splendore che ne esce significa responsabilità, e responsabilità significa che tocca a te fare le cose e se le cose vanno male è colpa tua.

Cerco di spiegartelo in maniera semplice:

Se nella tua rete hai ancora computer con windows 95 (ne basta uno) poi non lamentarti se sei suscettibile a malware di tutti i tipi.

Lo so che funziona così:

va? Allora perché cambiarlo?

Il motivo per cambiarlo è che, anche se non lo sai, il tuo windows 95 sta facendo felice una marea di cattivi soggetti che non hanno voglia di inventarsi attacchi esoterici per farti dei danni quando possono usare le autostrade che tu, per colpevole cecità, gli metti di fronte.

Se ti ostini ad usare Internet Explorer 8 poi non piangere se ti becchi qualcosa anche se hai un proxy.

E se per fare un software cerchi solo ragazzini sottopagati e non vuoi spendere tempo in test e controlli poi non lamentarti se vieni bucato dal più elementare sql injection (e lo so che non sai di cosa sto parlando, proprio questo è il punto).

E basta con la solita scusa che non ci sono i soldi. Diciamo le cose come sono:

I soldi ci sarebbero anche ma tu quelli che hai li spendi male e li butti nel cesso. Persino quando ti prendi la tecnologia più esoterica del mondo, e poi si scopre che non fai i backup in maniera corretta, hai buttato i tuoi soldi nel cesso.

Diciamolo chiaro, la maggior parte degli attacchi oggi giorno deriva più che da sofisticate nuove tecniche esoteriche da reti disegnate male, processi farraginosi e ridicoli, e mancata integrazione tra la struttura IT e l’attività aziendale.

Prima di chiederti come fermare un APT dovresti chiederti robe basiche come:

  • come sono messo con i sistemi operativi, sono aggiornati?
  • E il mio parco applicativo viene aggiornato con le patch di sicurezza in maniera coerente e costante?
  • ho un antimalware credibile ed aggiornato?
  • Faccio i backup correttamente?
  • Controllo e gestisco accessi e credenziali degli utenti?
  • I miei utenti (me compreso) sanno come comportarsi correttamente e cosa fare in caso di dubbio?
  • Il mio dipartimento IT sa che lavoro faccio e cosa ci serve per essere più competitivi?
  • Che dati mi servono e devo proteggere?
  • Sai cosa sono dati sensibili, personali e come gestirli?

Cerchiamo di capirci, i SIEM esistono da decenni sul mercato e tu non hai idea di cosa siano, vergognati, e cosi IAM ed altre sigle di cui, probabilmente, non hai mai sentito parlare.

E prima ancora di un APT dovresti preoccuparti di Ddos, GDPR, ramsonware … tutta roba che fa parte di quello che tu dovresti conoscere, e non una roba da fanatici informatici.

Ecco quando hai risposto a queste domande in maniera sensata e coerente puoi iniziare a domandarti come fermare un APT, ma prima stai buttando via i tuoi soldi.

E se queste cose non le sai, chiariamoci, la colpa è tutta, interamente ed assolutamente tua perché, mi spiace dirtelo, si questo è il tuo mestiere perché tu sei il responsabile e perché anche se non te ne sei accorto viviamo in un mondo dove il digitale pervade tutte le tue attività lavorative e\o personali.

Se non lo sai, sallo

Certo che se poi pretendi che il budget di sicurezza copra le insulse scelte fatte a monte come:

  • sistemi obsoleti
  • mancanza di formazione
  • sistemi disegnati intrinsecamente male
  • processi insensati, se presenti

Allora sì che l’impatto economico diventa altissimo e insostenibile.

Ma sai la realtà è che molti di quei costi non dovrebbero nemmeno starci nel budget della sicurezza, che non è il tappeto sotto cui nascondi la sporcizia che hai spazzato. Si si sto dicendo che per anni hai fatto finta di niente, ed adesso ti aspetti da quelli che di sicurezza si occupano un miracolo che copra le tue colpe.

Ma non funziona così, o inizi a prenderti le tue responsabilità o il castello di carte ti crollerà davanti agli occhi.

E se al prossimo ramsomware ti dico: “te lo avevo detto” te lo sei cercato.

Buon insicuro 2017

Ciao