Cybersecurity certificata: dipaniamo la matassa

Questa settimana vado sul “tecnico”, perché è probabile che in un futuro più o meno prossimo molti non addetti ai lavori inizieranno sentire parlare di certificazioni e cybersecurity, complice l’entrata in vigore di una serie di normative europee. Sono qui a scriverne perché intravvedo la non remota possibilità da un lato che molti non sappiano di cosa si tratta, dall’altro le premesse di una “guerra di religione” tra i fautori della certificazione di prodotto e quella di sistema. I primi accuseranno i secondi di fare cybersecurity “con la carta”, che risponderanno sostenendo come innanzitutto sia una questione di gestione e di processi di cui i prodotti sono un sottoinsieme. Entrambi hanno ragione e torto allo stesso tempo. Facciamo una premessa: quando si parla di certificazioni il pensiero va alla ISO (International Organization for Standardization), la più importante organizzazione per la definizione di norme tecniche ovvero le regole secondo cui si fa (pensate alla ISO 9001 in tema di gestione della qualità) o si costruisce qualcosa (per esempio esiste una norma su come devono essere fatti i bicchieri di degustazione del vino). Nello specifico della cybersecurity quando si fa riferimento a una certificazione di sistema si tratta di ISO 27001 e i requisiti di sicurezza a cui rispondere riguardano l’intera organizzazione, se invece consideriamo i prodotti allora la risposta sono i Common Criteria formalizzati nella ISO 15408. La polemica di cui sopra è sterile per la semplice ragione che entrambi questi standard danno il loro contributo. Tanto per capirci, provate a immaginare un ristorante: il fatto che utilizzi solo ed esclusivamente ingredienti, pentole e fornelli certificati e di prima qualità garantisce che i piatti siano buoni? Ovviamente no perché, se gli alimenti non sono opportunamente conservati, se lo chef non è preparato, se il personale di sala è eccessivamente lento e via aggiungendo altri “se” il risultato finale sarà disastroso. Se rovesciate la situazione poco cambia. Detto questo da consumatori e utenti ora diventati avveduti dovreste porvi una domanda: se acquisto un prodotto o servizio che ha entrambe queste certificazioni sono certo che sia ciberneticamente sicuro? Non proprio. Una certificazione di sistema come la ISO 27001 non ci dice che un’organizzazione è sicura, ma più semplicemente, anche se meno intuitivamente, garantisce che il soggetto abbia un sistema di gestione della sicurezza controllato e orientato al miglioramento continuo. Teoricamente potrebbe avere un incidente anche disastroso ogni anno e mantenere il suo certificato, a patto che, facendo una generalizzazione, sia per lo meno sempre di diversa natura. Una certificazione di prodotto ci dice invece che l’oggetto rispetta determinati requisiti di sicurezza per fare una certa cosa, in un certo contesto. Per intenderci potrei avere un laptop che assicura il massimo livello di sicurezza, ma soltanto se utilizzato in ambienti temperati, ma se lo portate nel deserto si fonde. In definitiva, se per sicurezza intendete qualcosa di assoluto allora nessuna certificazione vi potrà dare alcuna garanzia in tal senso. Questo tenetelo bene a mente per il prossimo futuro.