Articolo di Joseph Carson, Chief Security Scientist di Thycotic.
I Chief Information Security Officer (CISO) hanno sulle spalle uno dei pesi più pesanti di tutta l'organizzazione. Da soli, a seconda delle politiche di sicurezza e della loro applicazione, possono essere responsabili del successo o della rovina di un'intera azienda.
Si tratta, letteralmente, di una posizione ingrata, perché di solito nessuno dice una parola finché qualcosa non va completamente storto. I CISO devono trovare un equilibrio tra la capacità di mantenere il proprio team interno e la protezione dei dati e dell'infrastruttura dell'organizzazione. Con una singola violazione, dovuta a un incidente o a una mancata supervisione, un'intera organizzazione può essere messa in ginocchio senza possibilità di recupero. Riteniamo che sia fondamentale per i CISO a tutti i livelli garantire l'implementazione e la rigorosa applicazione di 5 politiche di sicurezza essenziali .
Non si tratta di un elenco esaustivo, ma è un ottimo punto di partenza: vediamo costantemente la leadership lottare per attuare queste azioni in modo trasversale.
Prima di iniziare, è importante notare che, per avere successo, le politiche devono essere adottate, riconosciute e apprezzate da tutti i membri del team esecutivo. La politica aziendale deve affermare che la mancata osservanza da parte dei singoli dipendenti delle politiche di sicurezza emanate dall'ufficio per la sicurezza delle informazioni può comportare il licenziamento. Deve essere presa sul serio, perché tutti nell'organizzazione sono responsabili della sicurezza dell'intera azienda.
Iniziamo con i 5 principali criteri di sicurezza che ogni CISO deve applicare.
Privilegio minimo
Questo è il numero uno. Se non si opera con il minimo privilegio, si corre il rischio di compromettere ogni altro sistema di sicurezza, politica e procedura in vigore. Potete avere tutti i più grandi sistemi di sicurezza, ma se un account amministrativo o privilegiato viene compromesso, lo saranno anche tutti i vostri sistemi. Il modo migliore per garantire che ciò non accada è operare secondo un processo chiamato Least Privilege. Questa procedura, nella sua essenza, consiste nel garantire che ogni singola persona all'interno dell'organizzazione abbia il minor numero di privilegi per svolgere il proprio lavoro quotidiano.
Ad esempio, i dipendenti del reparto marketing non hanno bisogno di avere diritti amministrativi locali sulle loro postazioni di lavoro. Potrebbero desiderarli, per molte ragioni, ma non ne hanno effettivamente bisogno per svolgere le loro funzioni quotidiane.
Ecco due aspetti del privilegio da esplorare (non è detto che Thycotic sia in grado di aiutarvi). Separare tutti gli utenti dal loro accesso amministrativo permanente, o privilegiato (sì, questo include anche gli amministratori IT e della sicurezza); e rimuovere tutti gli accessi privilegiati su endpoint e applicazioni.
Il primo richiede una soluzione di gestione degli account privilegiati (PAM), come il nostro Secret Server, che ha lo scopo di individuare, archiviare, gestire e proteggere gli account privilegiati in tutta l'organizzazione. Gli amministratori possono accedere al sistema e controllare gli account privilegiati solo quando ne hanno assolutamente bisogno. Tutti questi accessi sono completamente verificabili.
Il secondo, la rimozione dei diritti amministrativi dagli endpoint e dalle applicazioni, è più difficile da realizzare per le organizzazioni. Spesso sentiamo dire che i dirigenti sono disposti ad accettare un rischio di sicurezza informatica molto maggiore per la loro organizzazione piuttosto che gravare i dipendenti normali con account standard.
Spesso il motivo è l'elevato numero di ticket di assistenza/helpdesk richiesti quando un utente abituale deve installare o aggiornare applicazioni. Anche in questo caso, Thycotic può aiutarvi con la nostra soluzione Privilege Manager per Windows e Mac. Privilege Manager consente di impostare rapidamente criteri basati sulle applicazioni per consentire l'esecuzione di software approvato (whitelisting delle applicazioni), mentre nega e blocca tutte le applicazioni sconosciute. Inoltre, per le applicazioni prive di criteri, è possibile creare un elenco grigio e consentire agli utenti di presentare una richiesta di accesso. Ora gli utenti possono installare software approvato e bypassare l'UAC elevando l'applicazione con privilegi basati sui criteri impostati per loro.
Sistemi patch
Questa è una delle politiche più semplici e stranamente più dimenticate in un'organizzazione. Se operate in base al minimo privilegio e mantenete i vostri sistemi aggiornati con le ultime patch di sicurezza e di bug, state mitigando il 99% di tutte le potenziali minacce nella vostra organizzazione. Forse non dovrei dire "politiche dimenticate", perché in realtà sentiamo molto parlare di aziende che scelgono di non aggiornare/patchare i propri sistemi per vari motivi. Il motivo principale per cui non lo fanno è che potrebbero rompere le applicazioni esistenti costruite internamente. Lo abbiamo già sentito, organizzazioni che utilizzano ancora versioni non supportate di Windows.
Ancora una volta, i dirigenti si trovano di fronte al dilemma "rischio contro ricompensa". Se applicano una patch ai loro sistemi, potrebbe costare ore di inattività, risorse, ore e denaro. Ma se non applicano le patch ai sistemi, tutto continua normalmente e sperano solo di non essere il prossimo obiettivo di un attacco informatico.
Parlando di attacchi informatici, il ransomware WannaCry è un ottimo esempio del perché è fondamentale mantenere i sistemi patchati e aggiornati. Quando vengono scoperte delle vulnerabilità, gli hacker tentano rapidamente di costruire strumenti che sfruttano queste vulnerabilità e cercano di sfruttare le organizzazioni che non hanno patchato i loro sistemi da questa vulnerabilità. Microsoft ha patchato i propri sistemi mesi prima del rilascio del ransomware WannaCry. Gli aggressori hanno creato WannaCry nel tentativo di sfruttare le organizzazioni che non hanno mantenuto i loro sistemi aggiornati - e ce n'erano migliaia.
Formazione sulla sicurezza
L'anello più debole di qualsiasi strategia di sicurezza è sempre l'uomo, ed è per questo che raccomando di escludere l'uomo dall'equazione ogni volta che è possibile (ad esempio, utilizzando un gestore di password centralizzato, come Secret Server, invece di chiedere ai dipendenti di ricordare le password). Tuttavia, è importante assicurarsi che ogni dipendente segua una formazione trimestrale sulla sicurezza. È utile anche una formazione interattiva, ad esempio sottoponendo i dipendenti a un attacco di phishing simulato, per vedere come reagiscono e poter correggere i dipendenti che non superano il test.
I dipendenti che continuano a non superare i test di formazione sulla sicurezza dovrebbero essere a rischio di licenziamento. Gli aggressori cercano sempre di trovare i punti più deboli di una rete e non c'è niente di meglio di un dipendente regolare che cade vittima di un attacco di phishing o di social engineering per accedere alla vostra rete.
Esercitazioni di emergenza per la sicurezza
Questo aspetto è spesso trascurato in molte organizzazioni. Molti team IT e di sicurezza dispongono di sistemi di back-up, procedure di disaster recovery, politiche di emergenza e così via, ma non riescono a testare questi sistemi in una vera e propria esercitazione.
Almeno una volta al trimestre, il team dovrebbe eseguire esercitazioni che simulino un attacco o un evento catastrofico per l'organizzazione. Fate ripristinare i backup e assicuratevi che funzionino, oppure passate tutto ai sistemi di failover in uno scenario di Disaster Recovery. Tutti i preparativi e le pianificazioni per gli eventi sono inutili se non funzionano davvero e se il team non è adeguatamente preparato ed esperto su come riportare tutto in funzione immediatamente.
Quanto tempo impiegherebbe la tua organizzazione a causa di un atto di natura o di un attacco informatico? Se non sai la risposta, potrebbe essere il momento di fare delle esercitazioni di emergenza per la sicurezza.
Documentate, rendicontate e verificate
Documentate tutto ciò che fate, rendete conto del successo delle vostre politiche ed eseguite audit interni su tutti i vostri sistemi. Anche se non siete un'organizzazione soggetta a considerazioni di carattere normativo come PCI o HIPAA, è comunque estremamente positivo che dobbiate affrontare audit interni ogni trimestre. Infine, non programmate questi audit, ma conduceteli senza preavviso. Il controllo a sorpresa dei vostri sistemi assicura che i team IT e di sicurezza facciano sempre del loro meglio per garantire il rispetto delle politiche da voi stabilite.
Ci auguriamo che siano stati utili, non solo per chi è un CISO ma per chiunque sia responsabile della gestione dei programmi di sicurezza e protezione dell'intera organizzazione.