Un modello di sicurezza informatica sviluppato agli albori di internet, ma ancor oggi attuale nel mondo della Cybersecurity.
L’immagine che abbiamo messo a corredo dell’articolo rappresenta il Cubo di McCumber. Nell’aspetto come si può vedere è tale e quale al cubo di Rubik, con la particolarità che su ogni lato visibile sono rappresentate le tre categorie fondamentali della sicurezza informatica, stabilite nel 1991 dall’omonimo John McCumber, uno dei padri fondatori della disciplina.
Nella fattispecie, il primo lato del cubo include i principi della sicurezza informatica, spesso identificati anche con l’espressione ‘CIA Triad’ (più avanti nell’articolo si capirà da dove arrivi l’acronimo). Il secondo identifica i possibili stati che il dato può assumere. Con il terzo e ultimo vengono definiti i requisiti gli esperti devono avere per poter garantire il necessario livello di sicurezza.
I concetti fondamentali di questo modello risiedono nel considerare la sicurezza informatica come un’entità separata dall’evoluzione tecnologica e, in secundis, nel suggerire che esista un’intima correlazione tra le tre dimensioni che abbiamo appena descritto. Il modello di McCumber pone dunque l’accento sul tenere sempre uno sguardo trasversale sulla sicurezza, evitando di focalizzarsi su un aspetto in particolare (ad esempio concentrandosi su controlli automatizzati e trascurando invece l’aspetto della formazione o della revisione delle policy). Ogni aggiunta o modifica in materia di sicurezza deve quindi sempre essere effettua alla luce dell’impatto complessivo che questa avrebbe non solo sugli obiettivi di sicurezza immediati (CIA Triad), ma altresì considerando quali siano le trasformazioni che il dato subirebbe nel processo, nonché l’influenza su infrastruttura e personale aziendale.
Vediamo ora come i tre lati della sicurezza informatica siano effettivamente declinati secondo la chiave di lettura fornitaci da McCumber.
Nella prima dimensione del cubo sono contenuti gli obiettivi necessari alla protezione del cosiddetto cyberspazio, sono i fondamentali del modello e come già detto vengono identificati anche con l’espressione CIA Triad.
L’acronimo è composto dalle iniziali dei tre principi e il primo di essi è la confidenzialità (Confidentiality) o anche privacy. Attraverso di essa si previene, attraverso la limitazione degli accessi, che l’informazione possa essere usata da persone, risorse o processi non autorizzati. Le metodologie utilizzate per assicurare la confidenzialità di un dato sono la crittografia (per approfondire vedi il nostro articolo dedicato), l’autenticazione e il controllo degli accessi.
L’integrità (Integrity) si riferisce all’accuratezza, consistenza e affidabilità del dato. La si può chiamare anche qualità del del dato; il quale nel suo ciclo vita subisce varie trasformazioni come l’acquisizione, il salvataggio, il recupero, l’aggiornamento e il trasferimento. Un dato integro è quello che rimane inalterato a seguito di tutte queste operazioni, quando eseguite da soggetti non autorizzati. Una tecnica per assicurarne l’integrità è attraverso l’hashing, il controllo di validazione, consistenza e accesso al dato.
La disponibilità (Availability) assicura che l’informazione sia accessibile ai soggetti interessati, quando necessario. Attacchi informatici e guasti di sistema possono impedire l’erogazione del servizio. I metodi utilizzati per assicurare che i sistemi critici siano sempre attivi includono: la ridondanza, il backup, la resilienza dei sistemi, la manutenzione e l’aggiornamento di sistemi operativi e software. Ultimo, ma non certo per importanza, è utile un piano di Disaster Recovery per ripristinare i servizi a una situazione di normalità a fronte di grandi disastri.
La seconda dimensione è incentrata sulle problematiche che insorgono a seconda dello stato in cui si trova il dato.
Il primo stato è quello del dato in trasmissione (Transmission), ossia quando l’informazione viene trasferita tra sistemi. Le tecnologie per trasferire i dati sono di diverso tipo:
Con sneaker net ci si riferisce al trasferimento di dati attraverso supporti rimovibili (ad esempio copiare foto tra due computer con una chiavetta usb).
Nelle reti cablate, cavi in rame o fibra ottica sono utilizzati per spostare grandi quantità di dati, su scala locale (Local Area Network) o geografica (Wide Area Network).
Nelle reti senza filo o wireless, vengono usate le onde radio al posto dei cavi. La rapida evoluzione del wi-fi sta trasformando il concetto stesso di lavoro, portando ad un impiego sempre più massivo di dispositivi smart e decentralizzando il luogo in cui l’attività viene svolta (ad esempio, direttamente da casa anziché in ufficio).
Le reti cablate e wireless utilizzano dei pacchetti per suddividere l’informazione e trasferirla efficientemente tra l’origine e la destinazione del tragitto. Gli standard di riferimento sono l’Internet Protocol (IP) e l’ Hypertext Transfer Protocol (HTTP) che dettagliano il formato che questi pacchetti di dati devono avere.
C’è poi il dato a riposo (Storage), vale a dire tutto ciò che è archiviato su un dispositivo di archiviazione, ma al momento non è utilizzato da alcun processo. Anche in questo caso esistono variegate risorse per assolvere tale compito:
Direct-attached storage (DAS) è quel tipo di supporto di salvataggio connesso direttamente ad un computer. Si pensi al classico hard disk o ssd, ma anche ad una semplice chiavetta USB. Come impostazione di default queste periferiche non sono condivise nella rete.
Redundant array of independent disks (RAID) è la tecnologia che impiega molteplici dischi fisici, presentati al sistema operativo come fosse uno. Grazie a questo espediente è possibile ottenere, a seconda della configurazione, la ridondanza del dato o una maggior performance in fase di trasferimento dello stesso.
Network attached storage (NAS) è un dispositivo di archiviazione, connesso alla rete, e che dunque permette un accesso centralizzato al dato da utenti autorizzati.
Storage area network (SAN) è una rete dedicata all’archiviazione dei dati, attraverso un’interfaccia ad alte prestazioni che prevede la possibilità di connettere molteplici server ad un unico repository centralizzato.
Cloud Storage tecnologia di salvataggio remoto che mette a disposizione di una larghissima utenza lo spazio di archiviazione di un data center, accessibile da qualsiasi postazione che abbia accesso a internet.
Il terzo stato è quello del dato in elaborazione (Processing), sul quale vengono effettuate delle operazioni al fine di ottenere il risultato desiderato.
Data entry, scansione, caricamento di file, acquisizione di dati attraverso la sensoristica. E’ la cosiddetta fase di input del dato, ed è particolarmente critica per via del fatto che ciascuno dei metodi appena elencati è potenzialmente in grado di compromettere l’integrità della base dati che vanno ad alimentare. Possibili cause di corruzione del dato? Ad esempio un errore di digitazione nel data entry manuale, l’inserimento di un dato malformato, una disconnessione improvvisa, un malfunzionamento o il guasto di un sensore.
La fase di modifica è riferita ad ogni cambiamento apportato all’informazione originale, sia esso in forma manuale o automatizzata, intenzionale o accidentale. Codifica e decodifica, compressione e decompressione, crittazione e decrittazione sono le più frequenti operazioni di modifica. Chiaramente, anche un codice maligno è in grado di corrompere un set di dati.
La corruzione del dato può avvenire anche in fase di output, quando l’informazione viene trasmessa a un monitor, una stampante o altro ancora.
Siamo alla terza e ultima dimensione, comprende nella sostanza le abilità richieste al professionista per poter proteggere il Cyberspazio.
Tecnologia (Technology): tutte le soluzione software e hardware concepite per ostacolare i cybercriminali.
Tecnologie software di protezione per sistemi operativi, database, server, dispositivi portatili (software firewall, scanner di rete, analizzatori di protocolli o firme digitali, sistemi di rilevamento delle intrusioni).
Tecnologie hardware per proteggere le infrastrutture aziendali (firewall hardware, Dedicated Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IPS) e servizi di Content Filtering)
Tecnologie di rete sempre nell’ottica di protezione degli asset (Virtual Private Network (VPN), Network access control (NAC), Access Point con funzioni di crittografia e autenticazione)
Tecnologie cloud che hanno la particolarità di spostare la componente tecnologica dall’azienda al cloud provider (Software as a Service (SaaS), Infrastructure as a Service (IaaS) e Platform as a Service (PaaS))
Policy ed esercitazioni (Policies and Practices): la tecnologia da sola non è sufficiente; affinché le misure di sicurezza siano davvero efficaci, devono essere integrate da policy (standard obbligatori), linee guida (consigli su come aumentare la sicurezza) e procedure chiare (come fare cosa) che diano modo agli utenti di utilizzare le risorse informatiche in sicurezza, senza equivocità di sorta.
Ecco alcuni spunti per integrare un programma di formazione strutturale che sensibilizzi sulla cybersecurezza:
Prevedere un corso introduttivo già nella fase di inserimento delle nuove risorse
Includere tra i requisiti per i candidati un livello minimo di competenza
Preparare corsi interni
Frequentazione di corsi online
Fattore umano (People): come già accennato nel nostro articolo a tema, ogni risultato è vano finché la cultura aziendale non è permeata dalla consapevolezza degli strumenti che ha a disposizione.
E’ un processo continuo e per essere davvero efficace deve attraversare tutti i livelli aziendali in egual modo. Tutto il personale è coinvolto: dal management, che ha il dovere di stabilire le modalità e diffonderle, al personale, che deve essere addestrato ad applicare le direttive in ogni fase della propria attività lavorativa.