Key4biz

Sviluppare la sicurezza (Parte II)

Nel precedente articolo Sviluppare la sicurezza abbiamo fornito una panoramica del paradigma “security by design” ed evidenziato la necessità di agire sulle persone con interventi formativi. Passiamo qui ad esaminare gli interventi da effettuare sui modelli organizzativi con la segregazione dei compiti e sui sistemi con il modello “a cipolla”.

Segregazione dei compiti

La formazione sulla sicurezza, grazie all’aumento del know-how e della consapevolezza sugli aspetti fondanti della sicurezza IT, mette in luce la complessità e le responsabilità connesse a tutti i ruoli coinvolti nei processi IT. Il modo migliore per affrontare questa complessità è applicare il principio noto come Segregation of Duties (SoD), traducibile in italiano come segregazione (o separazione) dei compiti. Implementare questo approccio all’interno della propria organizzazione significa distribuire le funzioni chiave e le conseguenti responsabilità tra più individui o team, in modo da prevenire conflitti di interesse, errori accidentali e frodi.

La segregazione dei compiti è una pratica fondamentale per garantire l’integrità, la sicurezza e l’affidabilità dei sistemi, e si basa sull’applicazione di tre concetti chiave a ciascun sistema, processo o servizio critico:

Nell’ambito dei servizi informatici, questi tre concetti vengono implementati mediante architetture realizzate sulla base di un modello di sicurezza detto “a cipolla” (Security Onion Model): ciascuno “strato” rappresenta un livello di protezione contraddistinto da caratteristiche comuni che,secondo il principio della Segregazione dei Compiti, è bene affidare al controllo di un individuo o gruppo separato dagli altri.

Security Onion Model

Per meglio comprendere il modello di sicurezza “a cipolla”, si consideri come esempio un’azienda che eroghi servizi IT gestiti mediante portali web accessibili solo a un ristretto numero di utenti autorizzati. Tipicamente, una moderna architettura di sistema alla base di questa tipologia di servizi dovrebbe prevedere la presenza dei seguenti “strati”:

La corretta implementazione di ciascuno “strato”, unita alla definizione di altrettanti responsabili di processo (processower), formati per poter operare autonomamente, incrementa in modo significativo la security posture dell’organizzazione, in conformità con le normative in materia di sicurezza e protezione dei dati (GDPR, AGID) e con i controlli previsti dalla norma ISO 27001:2022 (Organization Controls, Physical Controls, People, Technological Controls).

(*) MS Azure Certified Security Engineer, Microsoft MVP for Cloud & Datacenter Management and Developer Technologies, autore di libri di informatica. Attualmente ricopre il ruolo di CTO per un gruppo aziendale che opera nel campo dei servizi assicurativi.

Exit mobile version