Durante la precedente intervista, Xavier Van Lindt ci ha spiegato come le Best Practice permettono di evitare i problemi di comunicazione incontrati dai Servizi IT. (Leggi la prima parte dell’intervista qui: Come applicare le Best Practices a problemi IT? Intervista a Xavier Van Lindt).
In questo articolo, Xavier ci spiega come le Best Practice permettono di evitare i problemi di sicurezza incontrati dai Servizi IT.
In effetti, la seconda problematica osservata che si ricollega al primo punto sulla mancanza di comunicazione, è la sicurezza. La sicurezza è il risultato di una comunicazione efficace tra la direzione aziendale i Servizi IT. La sicurezza informatica non è che un allineamento sui bisogni di sicurezza evocate dal mestiere. Anche in questo caso l’impatto si diffonde sui 3 livelli gerarchici dell’impresa. È dunque la governance che permetterà di sapere quali sono i bisogni e le esigenze dei mestieri in materia di sicurezza.
In ITIL 4 la questione della sicurezza è studiata nei moduli Strategist: Direct Plan and Improve e Digital and IT Strategist. In DevOps, esiste un modulo dedicato alla sicurezza, uno dei principi fondamentali di DevOps, ovvero DevSecOps.
Contrariamente alle idee precostruite, la sicurezza non è che un problema di concezione. Non basta mettere password, firewall o ISP. I moduli DevOps insegnano che la sicurezza è prima di tutto nel quotidiano quando si è nel RUN (la produzione). Quando si è nel run, il concetto primordiale della sicurezza si chiama “osservabilità”. Spesso quello che si dimentica è che è fondamentale osservare tutto ciò che accade per non perdere nulla a livello di sicurezza. La sicurezza non riguarda solo hacking, phishing o spamming. La sicurezza riguarda anche la disponibilità dei dati, oltre alla riservatezza e all’integrità. Devops attraverso i suoi moduli SRE, Continuous Delivery e DevSecOps fa un focus enorme sul misurare tutto ciò che accade in produzione per essere sicuri di garantire la disponibilità.
Il riferimento principale in tema di sicurezza resta lo standard ISO 27000. ITIL menziona la sicurezza in quanto pratica, ma DevOps, in modo molto operativo, si focalizza sull’osservazione e sulla cultura. In DevOps Foundation e DevSecOps la sicurezza è gestita dal Responsabile della Sicurezza dei Sistemi Informatici (RSSI), ma in realtà il problema è di tutti, per questo può essere considerato un fenomeno culturale. La sicurezza non ha niente di tecnico, è innanzitutto culturale e fa parte del mestiere. Tutti devono essere concentrati e questo è messo in chiaro da DevOps.
Quindi, ciò che ci si aspetta dal RSSI non è solo di evocare politiche di sicurezza (come accennato nella formazione ITIL 4), ma soprattutto ci si aspetta da questo profilo un’evangelizzazione di tutta la Direzione dei Sistemi Informatici (DSI), nonché degli utenti e dei clienti a livello dei vari aspetti della sicurezza (tattica strategica o operativa). La sicurezza è ovunque e riguarda tutti e, per porvi rimedio, occorre comunicare! Poiché la sicurezza non è solo una storia di politica, i meccanismi o i sistemi saranno progettati, testati e controllati in fase operativa.
Esistono 5 concetti universali che vengono ritrovati negli standard DevOps, ISO e ITIL per proteggere le informazioni di cui l’organizzazione ha bisogno per svolgere le sue attività:
- Privacy: accesso ai dati limitato alle persone autorizzate
- Integrità: accuratezza in tutto il sistema
- Disponibilità: dati disponibili quando, dove e per chi
- Autenticazione: assicurarsi dell’identità di chi accede
- Non disconoscimento: essere in grado di provare l’azione eseguita.
Tuttavia, lo schema DevSecOps amplia l’argomento, lo rende culturale oltre che tecnologico e fa un ampio focus sull’osservabilità. Sapere tutto ciò che accade nella quotidianità della produzione è parte integrante della sicurezza.
Sfortunatamente, anche se quasi tutte le organizzazioni hanno degli strumenti di osservazione, non c’è costantemente qualcuno a controllare per vedere ciò che accade o non si vede davvero quello che si dovrebbe vedere, quindi è come inseguire i mulini a vento. ITIL definisce questa pratica come la gestione di eventi, DevOps come l’osservabilità, ma è soprattutto DevOps che si concentra sulla criticità della sicurezza e della gestione degli eventi.
Per un professionista che vuole svolgere delle attività di sicurezza, raccomando la formazione ISO 27000 e per un professionista che vuole approfondire la tematica della sicurezza nella sua interezza, consiglio invece la formazione DevSecOps.
