Pino e le modifiche al firewall

mauro cicognini_clusit

La storia di Pino che voleva risolvere i suoi problemi con la tecnologia e l’importanza di fare maturare i processi. Quando non conta “cosa fai” ma “come lo fai”

Mi arriva la telefonata di Pino, responsabile sicurezza informatica della ACME Spa (i nomi sono di fantasia), che mi dice: «Ho bisogno di quel software che controlla le modifiche fatte alle regole del firewall». Non resisto alla tentazione di complicarmi la vita e anziché fargli inviare un’offerta gli chiedo: «Ma cosa ne fai»? Lui rimane un po’ interdetto e mi risponde, come se parlasse a un bimbo: «Devo controllare che cosa fanno le persone che gestiscono il firewall».

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Ok, ora una domanda un po’ più difficile. «Perché devi controllarli così? Cosa è successo»? Con un po’ di comprensibile reticenza, Pino risponde: «Ci sono stati dei problemi». Arriviamo al motivo scatenante della telefonata: «Quali problemi? Flussi aperti o chiusi per errore? O per dolo»? Insomma, la ACME ha avuto dei problemi operativi reali – assai spesso, un blocco di un flusso importante per il business o la conformità normativa – causati da un errore di un gestore dei firewall.

Generalmente, si tratta di una persona junior, che implementa modifiche già approvate e riviste da altri. A volte, complice la fretta, gli si consente di procedere senza revisioni (alcuni lo fanno anche di propria iniziativa, ma è relativamente raro). In alcuni casi, si tratta di una banale svista: l’errore di digitazione oppure di sintassi del comando. In altri, ma sono decisamente la minoranza – anche perché secondo le statistiche le aziende se ne accorgono dopo molti mesi (quando se ne accorgono) – si tratta di dolo.

Leggi anche:  Microsoft Italia e Fondazione Mondo Digitale annunciano nuovi percorsi di formazione a tema cybersecurity

Pino riflette da solo: «Se l’avessi saputo, avrei potuto fare qualcosa». E quindi vuole comprare un sistema d’allarme. Idea di totale buon senso. Semplice ed efficace. E anche sbagliata.

Perchè l’idea di Pino è sbagliata?

Pino non considera che: 1) un sistema d’allarme funziona bene solo con eventi rari e facili da identificare come erronei (non il suo caso), quindi gli arriveranno degli avvisi e non degli allarmi; 2) non è detto che abbia tempo di leggere tutti gli avvisi; 3) se li legge, non è detto possa accorgersi “a mente” che la modifica è sbagliata; 4) se capisce che è un errore, non è detto che abbia tempo o modo di intervenire immediatamente; 5) se interviene subito, l’incidente è già avvenuto e può al più limitare i danni; 6) anche solo per limitare i danni, deve decidere cosa fare, e un’emergenza è il momento peggiore per farlo.

Qual è il vero problema?

Se invece alzasse un po’ la testa dal marasma quotidiano, potrebbe accorgersi che il problema vero è nell’intero processo di gestione delle modifiche. Potrebbe quindi notarne i punti deboli e scegliere per ciascuno le soluzioni migliori: insomma, potrebbe far maturare il suo processo. Per esempio, migliorando la prevenzione degli errori insieme alla reazione agli incidenti, e decidendo a priori cosa fare. Il caso di Pino è tutt’altro che raro, ma quando il problema è nel processo, buttargli addosso della tecnologia è un metodo collaudato per buttare via tempo e denaro. La tecnologia non ha mai risolto alcun problema di processo – anzi – in molti casi, ha contribuito a esasperarli, introducendo ulteriori complicazioni senza intaccare la sostanza del problema.

Qual è la soluzione?

Le aziende hanno difficoltà a gestire la sicurezza perché non fa parte del loro core business. Se, come accade di frequente, l’azienda non può permettersi un esperto, si applica il senso comune della sfera privata o della cultura popolare e di conseguenza i processi relativi alla sicurezza risultano mal funzionanti. La maturità dei processi è invece fondamentale in tutti i campi, anche in quelli più propriamente di business, che è il motivo per cui le startup spesso chiamano CEO esperti che affiancano i fondatori su temi magari meno emozionanti ma fondamentali, come per esempio la fatturazione e la riscossione dei pagamenti. Quindi, la soluzione giusta, non è (solo) di farsi inviare un alert quando il backup non funziona. La soluzione è di provare – ogni tanto – a fare un restore.

Leggi anche:  Infrastrutture resilienti, multicloud ibrido, GenAI, biometria. Così si reinventa la sicurezza fisica

Mauro Cicognini, membro del Consiglio Direttivo e del Comitato Tecnico Scientifico di Clusit