Provo ad affrontare un tema che mi sta a cuore e per il quale sarà inevitabilmente necessario fare delle integrazioni al mio ragionamento, spero coinvolgendo proprio quelle figure che oltre ad essere competenti sono anche addestrate o desiderano esserlo.
Mi limiterò, in questo post, alla mia area di competenza (appunto), ovvero la sicurezza informatica ed in particolare il tema della Difesa dalle minacce cyber che in un certo senso significa essere pronti alla gestione della minaccia, prevenirla, e combatterla in caso dovesse manifestarsi con un attacco.
Il ragionamento ha a che fare con l’abisso che esiste tra una figura professionale competente, che è già di per se una cosa non banale in quanto è conoscenza ed esperienza assieme (passatemi la semplificazione), ed una figura professionale addestrata. Non si tratta di temi da contrapporre, una persona addestrata su un particolare tema deve necessariamente essere competente, deve padroneggiare la conoscenza della materia. Non tutte le persone competenti sono addestrate, questo può diventare un problema.
Spostiamoci dalla filosofia al mondo vero e per semplicità partiamo dell’ambito prettamente informatico anche se il ragionamento deve essere trasversale.
Nota: circoscrivere la cyber security solo ai temi IT è un grave errore, ne parlerò in prossime occasioni.
Nel mio lavoro (mi occupo di aiutare le organizzazioni a costruire una strategia di difesa dalle minacce cyber, al secolo i Cyber Attack) incontro moltissime persone competenti, persone estremamente in gamba, con anni di esperienza nel loro campo. Molto spesso queste persone, che vantano hard skills fenomenali, non sono addestrate a gestire una minaccia informatica, banalmente perché non sono nella condizione (fortunatamente per le loro organizzazioni) di passare da un security incident all’altro. E’ un tipo di esperienza che, chi ricopre ruoli di gestione tecnica e governance in ambito IT e Security, tipicamente non fa fino a quando l’incident si verifica.
Essere o non essere preparati, addestrati, fa tutta la differenza. Un percorso di addestramento per le figure chiamate a gestire la sicurezza informatica di una organizzazione è ciò che consentirà a quell’organizzazione di avere delle procedure di gestione degli incident, avere personale addestrato a reagire in modo corretto, avere una rete di contatti da coinvolgere in base all’esigenza… e mille altre “armi” di prevenzione e gestione. Non essere addestrati alla battaglia, l’ho visto mille volte, genererà panico.
Nota operativa:
Ci sono diversi gradi di “addestramento” che possono essere presi in considerazione dai team in base alle peculiarità del team stesso, personalmente — lavorando per lo più in ambito offensivo — mi sono occupato di addestrare Blue Team e strutture di presidio, come i SOC, per migliorare le procedure di difesa o per imparare a gestire casi reali tramite simulazioni di attacco. Questo è un esempio di addestramento di carattere tecnico, ma lo stesso lavoro può essere fatto per la consapevolezza o per la visione strategica.
Ora, visto che siamo sempre nel mondo vero, è difficile essere sempre nella condizione di avere un team competente ed addestrato su tutti i fronti, non vuole essere questo il messaggio banalmente perché potrebbe non essere economicamente conveniente avere un Cyber Security Team “completo” all’interno dell’organizzazione. Come in passate occasioni il suggerimento è di ragionare su come l’addestramento dei vari team operativi possa rendere efficiente ed efficace la gestione della sicurezza informatica in ottica di investimento qualitativo.
È un cambio di paradigma: da costo necessario ad investimento in aumento della qualità. Un investimento che deve necessariamente essere letto come un incremento dei presidi di sicurezza tanto quanto un aumento di valore dell’organizzazione che dovrà diventare sempre più anti-fragile e garantire livelli di servizio appropriati ai propri clienti e partner.
Rocco Sicilia 