Qualcuno una volta ha detto: "più persone inviti in casa, più diventa ordinata". Lo stesso principio di apertura può essere facilmente applicato al mondo degli affari. Più un'organizzazione è trasparente nei processi e nella cultura, probabilmente più disciplinata sarà nelle sue operazioni. La trasparenza è la base per costruire fiducia tra fornitori, clienti e partner, e questo è ancora più vero in relazione alla cybersecurity. Qui esploriamo i fattori fondamentali che garantiscono tale trasparenza e, di conseguenza, fiducia.
L'imprescindibile per un approccio trasparente alla cybersecurity
I rischi e le potenziali conseguenze dei cyberattacchi e delle violazioni dei dati sono giustamente al centro dell'attenzione di ogni organizzazione. Le aziende e le istituzioni pubbliche di tutti i settori non sono più disposte ad accettare senza riserve le rivendicazioni dei fornitori sulla sicurezza dei loro prodotti e delle loro soluzioni. In effetti, in molti paesi e regioni, la legislazione richiede loro una maggiore conoscenza della sicurezza dei prodotti e dei servizi utilizzati all'interno della loro organizzazione.
L'idea che nascondere i dettagli e il funzionamento di un sistema sia il modo migliore per migliorarne la sicurezza, spesso detta "sicurezza attraverso l'oscurità", è stata ampiamente screditata. Secondo il National Institute of Standards and Technology (NIST) statunitense, "la sicurezza del sistema non deve dipendere dalla segretezza dell'implementazione o dei suoi componenti".
La conoscenza delle pratiche di sicurezza di un fornitore di tecnologia ha un peso fondamentale nella valutazione del rischio del fornitore. Si deve valutare il potenziale impatto che i prodotti di un fornitore possono avere sulla rete e sui sistemi connessi del cliente e determinare se il fornitore ha adottato le misure appropriate per mitigare i rischi.
Pertanto, i clienti esigono una visibilità completa di ogni aspetto dell'approccio di un fornitore ad una sicurezza ottimale dei prodotti, che deve essere mantenuta per l'intero ciclo di vita del prodotto. Questo desiderio di trasparenza deve essere accettato, poiché è fondamentale per determinare se i prodotti di un fornitore possono supportare la strategia di sicurezza del cliente e per costruire fiducia tra fornitori, partner e clienti.
I numerosi vantaggi della trasparenza
Quando un produttore tecnologico è trasparente nelle sue pratiche di sicurezza, dimostra fondamentalmente l'impegno a garantire la sicurezza dei prodotti. Ciò include la fornitura di funzionalità e impostazioni di sicurezza che consentano ai clienti di utilizzare i prodotti nel modo più sicuro possibile per proteggere i propri sistemi e dati.
La trasparenza consente anche una collaborazione e una condivisione delle informazioni più efficaci con clienti e partner, abilitandoli ad affrontare rapidamente qualsiasi vulnerabilità del software appena scoperta.
Inoltre, la trasparenza aiuta le aziende manifatturiere e i clienti a imparare dagli incidenti di sicurezza passati e a migliorare la loro strategia di sicurezza complessiva. Decisioni informate possono contribuire a prevenire incidenti futuri e garantire la protezione continua dei dati e delle informazioni dei clienti.
Andare oltre i requisiti delle certificazioni di cybersecurity
In questo contesto, gli standard e le certificazioni di settore possono fornire un'utile garanzia dell'impegno di un'azienda per la cybersecurity di base. Ovviamente, laddove tali certificazioni sono richieste dalla legge, i fornitori devono dimostrarne il rispetto. Sono anche preziose per stabilire una base che può essere contrattualmente vincolante quando le aziende intrattengono rapporti commerciali tra loro per fornire servizi ai loro clienti. I clienti possono anche utilizzare le prove delle certificazioni durante il processo di approvvigionamento per assicurarsi che i produttori soddisfino i requisiti minimi.
Tuttavia, è bene non utilizzare le certificazioni come "bacchetta magica" che dimostra un approccio completo alla cybersecurity. Le certificazioni attestano una sicurezza di base minima a cui un'azienda si attiene in un momento specifico, che si tratti di sicurezza delle informazioni aziendali (ISO 27001, varie normative di esportazione sulla sicurezza informatica, ecc.) o di sicurezza dei prodotti (FIPS 140, ETSI EN 303 645 e varie altre norme specifiche per Paese)
Inoltre, spesso gli standard e le certificazioni possono essere estesi per coprire settori specifici e i loro casi d'uso, e quindi non sempre sono rilevanti per casi d'uso specialistici. Ad esempio, la norma IEC 62443 si concentra specificamente sui sistemi di automazione e controllo industriali, che sono meno rilevanti per la sicurezza fisica.
Dal punto di vista commerciale, le certificazioni e il rispetto degli standard potrebbero essere utilizzati come una casella di controllo e una strategia per acquisire un vantaggio competitivo durante i processi di approvvigionamento, con l'intenzione di raccogliere il maggior numero possibile di certificazioni per rafforzare l'idea di avere una "buona" cybersecurity. Ciò è particolarmente vero se i requisiti standard e tecnici sono "bloccati" dopo l'acquisto e non sono disponibili gratuitamente al pubblico.
Infine, spesso i progressi di tecnologia, processi e prodotti sono molto più rapidi del processo di standardizzazione, per cui i produttori che si affidano solo alla certificazione rimangono indietro rispetto alle innovazioni tecnologiche. Ad esempio, l'utilizzo della cifratura di rete MACsec IEEE 802.1AE nei prodotti rafforza significativamente la comunicazione di rete, ma la tecnologia o migliore pratica di usare MACsec per proteggere le reti non è specificata negli standard attuali.
In breve, sebbene le certificazioni e gli standard abbiano un certo valore, devono essere considerati come una base e non un obiettivo, e come complementari alle attività più ampie di un fornitore in materia di cybersecurity.
Cercare prove di trasparenza
Quando si considerano i fornitori, esistono alcune prove chiare che dimostrano l'impegno per la trasparenza nello sviluppo di prodotti e software e durante l'intero ciclo di vita del prodotto, in materia di cybersecurity. Tra queste:
- Fornire ai clienti informazioni sulle attività e le misure di sicurezza intraprese durante l'intero ciclo di vita del prodotto, dalle fasi di sviluppo, produzione e distribuzione, all'implementazione, alla manutenzione e allo smantellamento. Queste informazioni devono includere anche il modo in cui l'intera catena logistica del fornitore stesso è protetta.
- Pubblicare politiche e pratiche di sicurezza per lo sviluppo dei prodotti e per l'approccio del fornitore alla sicurezza interna dell'azienda. Avere una serie chiara e pubblicamente disponibile di politiche e procedure per proteggere i dati e le informazioni degli utenti dimostra l'impegno dell'azienda per la sicurezza e la responsabilità.
- Effettuare regolarmente valutazioni e audit indipendenti della sicurezza per contribuire a identificare e risolvere potenziali debolezze della sicurezza e fornire ai clienti la garanzia che l'azienda prenda sul serio la sicurezza. Questi possono riguardare valutazioni a livello organizzativo, come le valutazioni secondo lo standard ISO/IEC 27001 o a livello di prodotto specifico, come i test di penetrazione di terzi.
- Fornire prodotti che facilitino tecnicamente a individui, organizzazioni e autorità terze la valutazione dell'approccio alla sicurezza dei prodotti. Ciò include l'assenza di crittografia del software dei dispositivo o altre attività per supportare la "sicurezza attraverso l'oscurità". È inoltre essenziale fornire una distinta base del software (SBOM), che elenchi gli "ingredienti" che compongono ogni software. L'SBOM descrive in dettaglio tutti i componenti open source e di terzi presenti in un software, le licenze che disciplinano tali componenti, le versioni dei componenti utilizzati nel software e lo stato di eventuali patch necessarie per mantenere la sicurezza.
- Trasparenza nella segnalazione degli incidenti di sicurezza quando si verificano, sia per l'organizzazione del fornitore che per i suoi prodotti. I fornitori devono disporre di una chiara politica di gestione delle vulnerabilità. Ciò garantirà comunicazioni sulla natura dell'incidente, su come è stato inizialmente scoperto, sulle misure adottate per affrontare la vulnerabilità (comprese le azioni richieste dai clienti) e sulle azioni intraprese per prevenire incidenti futuri.
- Fornire a clienti e partner aggiornamenti regolari sullo stato di sicurezza dell'azienda. Le informazioni su eventuali modifiche alle politiche o alle pratiche di sicurezza li aiutano a rimanere informati e, cosa ancora più importante, ad adottare rapidamente azioni per proteggere i propri prodotti, servizi e processi. Inoltre clienti e partner, potendo abbonarsi a un servizio di notifiche di sicurezza, hanno l'opportunità di rispondere tempestivamente ai problemi di sicurezza.
- Incoraggiare attivamente clienti e ricercatori a segnalare potenziali vulnerabilità di sicurezza in modo che l'azienda possa identificare e risolvere potenziali problemi prima che tali vulnerabilità vengano sfruttate. Partecipare al programma CVE per divulgare gli ID CVE e anche stabilire un bug bounty program dimostra la maturità e la trasparenza della cybersecurity del fornitore e la fiducia nei suoi processi di sviluppo sicuri.
- Supportare i clienti in un processo proattivo di gestione del ciclo di vita dei prodotti, consentendo loro di pianificare lo smantellamento e la sostituzione dei prodotti. Fondamentale per tutto ciò è comunicare il prima possibile la data di fine supporto per il software del dispositivo, preferibilmente subito dopo il lancio del prodotto.
Ogni fornitore deve impegnarsi a fare il possibile per offrire prodotti che soddisfino le esigenze di cybersecurity dei clienti. Le certificazioni e gli standard sono validi solo fino a questo punto. La trasparenza è essenziale. Le pratiche e le politiche pubblicate, le valutazioni e gli audit di sicurezza indipendenti regolari e le divulgazioni aperte sugli incidenti di sicurezza sono modi più affidabili per costruire fiducia nell'impegno di un fornitore a proteggere i dati e a offrire prodotti con una forte sicurezza informatica.