DevSecOps come paradigma di governance su larga scala. Attenzione alla sicurezza significa trasversalità dei flussi informativi, anche perché nel dominio cibernetico tanto chi attacca quanto chi si difende fa leva su una asimmetria informativa a proprio favore: chi si difende in quanto è in possesso di informazioni riservate sugli asset gestiti, chi attacca in quanto può disporre di informazioni (zero-day, ad esempio) ignote alla controparte. Tutto questo è vero nelle organizzazioni pubbliche e private di qualsiasi dimensione, ma è tanto più vero se allarghiamo il discorso all’ambito nazionale e sovranazionale.
In quest’ottica, il DevSecOps travalica la sua declinazione originaria come modello di service management per assurgere invece a paradigma di governance del patrimonio digitale e informativo. Il contesto normativo italiano e comunitario (si pensi ad esempio alla Direttiva NIS) disegna in effetti un’architettura di governance basata su flussi informativi in cui il coinvolgimento continuo non solo di enti di supervisione (ENISA in primis) ma di tutti i soggetti che compongono l’ecosistema “critico” è assolutamente cruciale.
Ad esempio, nell’azione implementativa SMART-2018/1023 si riconosce che la direttiva NIS ha istituito un gruppo di cooperazione composto da Stati membri, Commissione e ENISA al fine di sostenere e facilitare la cooperazione strategica e lo scambio di informazioni al fine di contribuire a rafforzare la sicurezza informatica nell’Unione, ravvisando tra i compiti della Commissione stessa la designazione, attraverso gara pubblica, di un responsabile delle strutture per migliorare il livello di cooperazione transfrontaliera tra gli Stati membri. Tale figura dovrà anche fornire meccanismi di supporto (tool, workshop, peer visits, ecc.) al fine di migliorare i flussi di informazioni.
Da questo punto di vista, due considerazioni si pongono in modo naturale.
In secondo luogo, è essenziale affiancare alla capacità e all’attività difensiva nel dominio cibernetico anche una adeguata capacità predittiva delle minacce, naturalmente nel quadro di un coordinamento tra tutti i soggetti coinvolti. Si tratta di una capability complessa e multidimensionale, che richiede flussi informativi sufficientemente strutturati e nello stesso tempo il concorso di sensibilità geopolitica, intelligence, competenza “hard” sull’information security e presenza operativa sui teatri in cui le minacce stesse si radicano (tenendo presente che le transazioni informative che ne sono alla base si sviluppano lungo reti fisiche e immateriali che non si fermano ai confini nazionali).
In secondo luogo, ridurre la superficie di attacco è possibile nel momento in cui si automatizzano le procedure di controllo e si lascia che soggetti terzi (osservatori indipendenti, imprese, privati) contribuiscano ciascuno con i propri mezzi alla verifica dei “livelli di servizio” in ambito infosec delle realtà incluse all’interno del perimetro cibernetico. La massima given enough eyeballs, all bugs are shallow conserva la sua validità anche se trasportata dall’ingegneria del software alla cybersecurity. In altri termini, si tratterebbe di favorire il sorgere di un ecosistema di controlli (tramite scansioni di porte su classi IP adeguatamente ampie, pentest automatizzati, flussi informativi in ottica DevSecOps) svolti da soggetti terzi interessati a verificare la sostenibilità e l’adeguatezza delle protezioni, secondo un paradigma per certi versi affine al civic hacking auspicato in altre aree dell’e-government (trasparenza, open data, democrazia partecipativa).
di Davide Maniscalco e Roberto Reale
