Sicurezza fisica e informatica: sono così differenti?

Fred Juhlin

Tutte le grandi aziende e i grandi enti sono solitamente organizzati in un team dedicato alla sicurezza fisica e una squadra separata di esperti informatici impegnata nel garantire la cybersecurity. Entrambe le squadre proteggono le risorse e le strutture della società e viene naturale pensare che questo faccia di loro degli stretti collaboratori, se non dei grandi amici.

La sfida, nella loro collaborazione, risiede nel fatto che le strutture e le risorse su cui vigilano sono differenti.

La protezione è un ostacolo creato per ridurre il rischio causato da una minaccia specifica. Quando non si capisce di quale rischio si sta parlando, mettere in campo sistemi di protezione può sembrare un semplice fastidio, un compito ulteriore che rende la giornata lavorativa ancora più impegnativa, aggiungendo dei costi. È questa la dimensione su cui si verificano con più frequenza gli scontri tra OT (tecnologia per le operations) e IT (tecnologia informatica). Una comune differenza è ad esempio che l’OT darà maggiore priorità alla fruibilità piuttosto che alla riservatezza, alla privacy e all’integrazione tra le risorse. L’IT darà invece più frequentemente rilevanza alla privacy.

 

Cosa la cybersecurity può imparare dalla sicurezza fisica

Per la maggior parte delle persone è facile comprendere i rischi della sicurezza fisica. Una porta aperta aumenterà il rischio di accesso da parte di persone non autorizzate. Beni di valore lasciati in bella vista potrebbero essere facilmente sottratti. Errori e incidenti posso causare danni alle persone, alle proprietà e agli oggetti.

Sono un senior analyst della sicurezza informatica e lavoro in una società che sviluppa principalmente prodotti dedicati alla sicurezza fisica connessi su reti IP. Quindi, dal mio punto di vista, il modo in cui la sicurezza fisica e quella informatica vengono gestite deve essere più o meno lo stesso. Che tu sia responsabile della sicurezza fisica o di quella informatica della tua società, devi comunque applicare i medesimi principi:

  • Identificare e classificare i tuoi beni e le tue risorse (cosa proteggere)
  • Identificare le minacce plausibili (da chi lo devi proteggere)
  • Identificare le possibili vulnerabilità che potrebbero essere sfruttate dalle minacce (la probabilità di subire una violazione)
  • Identificare il costo atteso di eventi negativi o spiacevoli (le conseguenze)

Il livello di rischio è spesso definito dalla probabilità di una minaccia di verificarsi, moltiplicata per le possibili conseguenze dannose che può arrecare. Una volta trovata la risposta, ti devi chiedere cosa vuoi fare per prevenire questi possibili impatti negativi.

Vediamo in modo più approfondito ogni principio.

 

Sii consapevole dei tuoi beni e delle tue risorse

Se facciamo riferimento a dei sistemi video, la risorsa in questione è ovviamente il feed video (le informazioni) proveniente dalla telecamera. L’asset sono invece le registrazioni presenti nel Sistema di gestione video (Video Management System o VMS). L’accesso a questi elementi è solitamente controllato attraverso credenziali fornite agli utenti. Oltre al video, altri asset da considerare sono dunque gli account e le password degli utenti, le configurazioni, i sistemi operativi, i firmware, i software e i dispositivi connessi alla rete. Ciascuno di essi ha poi classificazioni differenti che dipendono dalla loro importanza nel sistema e dalla loro esposizione ai rischi.

 

Sii consapevole dei rischi più comuni

La più grande minaccia a qualunque sistema è certamente un uso errato (deliberato o accidentale) da parte di coloro che possono accedervi liberamente. Una scarsa protezione può portare i dipendenti a visualizzare video che non sono autorizzati a vedere, o può spingerli a cercare di “sistemare le cose” provocando una riduzione nelle performance del sistema.

Un altro rischio comune nell’ambito della cybersecurity sono i danni subiti dall’hardware. I sistemi di sorveglianza sono infatti suscettibili di essere sabotati da persone che non vogliono essere sorvegliate e i servizi disponibili online possono cadere vittima di burloni che manipolano i sistemi informatici per divertimento. Terroristi e Stati ostili possono provare a trasformare in armi i dispositivi presenti all’interno della rete di una specifica organizzazione. Queste minacce non sono differenti dai rischi fisici, dal momento che l’impatto effettivo e il valore delle conseguenze per coloro che li perpetrano sono gli stessi. Di conseguenza, i sistemi hanno bisogno sia di sicurezza fisica che di sicurezza informatica.

 

Sii consapevole delle vulnerabilità più comuni

Nella sicurezza fisica, porte e finestre sono vulnerabilità: sono un modo per accedere all’edificio. Le difese come mura e reti di protezione hanno a loro volta delle vulnerabilità, dal momento che le persone possono comunque violarle usando la forza, passandoci sopra o attraverso.

La stessa idea si applica ai software. Il rischio dipende dalle conseguenze dello sfruttamento di una specifica vulnerabilità e dal suo possibile impatto negativo. L’attività di protezione può agire  aggiungendo ostacoli (ad esempio la crittografia) o trovando un modo per ridurre i costi di recupero (ad esempio eseguendo il backup dei dati).

Quando la maggior parte delle persone parla di cybersecurity, pensa agli attacchi sofisticati di cui leggiamo sui giornali. La maggior parte delle preoccupazioni con cui ho a che fare, dovute certamente al fatto che produciamo dispositivi, sono invece connesse a difetti nelle loro interfacce. Tuttavia, la più grande vulnerabilità è legata alla mancanza di consapevolezza, regolamenti, procedure e processi all’interno delle organizzazioni. Bisogna definirli, metterli in campo e accertarsi della maturità informatica dei propri fornitori prima di valutare i loro prodotti o servizi.

 

Sii consapevole dell’impatto negativo

I sistemi video non gestiscono transazioni finanziarie né detengono i dati dei consumatori. Questo significa che un sistema video è di difficile monetizzazione e quindi ha scarso valore per i cyber criminali organizzati.

Analizzare le altre possibili minacce permette di comprendere il costo potenziale di un attacco. I dipendenti possono accedere a video non autorizzati e ridurre le performance del sistema. Il sabotaggio da parte di infiltrati o attivisti provenienti dall’esterno può causare l’inattività delle operazioni. Video interni filtrati all’esterno possono compromettere la fiducia in una società. Un sistema violato può diventare una minaccia per altri sistemi collegati.

Stimare i costi è difficile. Sfortunatamente, in molti casi le aziende e gli enti lo scoprono nel modo peggiore, quando ormai l’attacco è stato compiuto e bisogna ripagare il danno perpetrato.

La protezione è come la qualità, ottieni quello per cui paghi. E se scegli di spendere poco, potresti ritrovarti a dover spendere molto di più a lungo termine.

 

Vuoi scoprire di più sugli ultimi trend e le più recenti minacce alla sicurezza di aziende e infrastrutture critiche? Guarda la Tavola Rotonda Sicurezza delle infrastrutture critiche, cosa cambia nella nuova normalità? organizzata da Axis Communications insieme a Clusit, AIPSA, AGID e Securindex:

Tavola Rotonda on demand

 

 

Questo articolo è stato pubblicato originariamente in lingua inglese sul blog globale Secure Insights.