Dillo ai marines: Principi di leadership e sicurezza della rete
È un venerdì dopo l’orario di lavoro. Stai parlando con un dipendente remoto per installare un firewall di nuova generazione. Nessun traffico sta passando attraverso la rete e ora sei bloccato sul progetto fino a quando non viene riparato. Le finestre di manutenzione fuori orario del fine settimana in nome del miglioramento della postura della cybersicurezza possono essere alcuni dei progetti più stressanti, ad alto rischio e poco morali intrapresi da un’organizzazione. Tuttavia, il rischio e lo stress possono essere ridotti applicando la metodologia di pianificazione utilizzata dai riservisti dell’United States Marine Corps (USMC). I concetti di pianificazione dell’USMC possono essere facilmente adattati ai progetti di cybersecurity, aumentando le probabilità di successo.
La pianificazione tattica dell’USMC si concentra sull’applicazione delle sei fasi di guida delle truppe. Questo è l’approccio fondamentale che i Marines usano per tutte le operazioni. I Marines hanno usato questi passi (noti con l’acronimo BAMCIS) per pianificare qualsiasi cosa, dal ballo annuale di compleanno del Corpo dei Marines il 10 novembre a un assalto a un nido di cecchini nemico. BAMCIS è un acronimo per: Begin planning, Arrange for reconnaissance, Make reconnaissance, Complete the plan, Issue the order, and Supervise, ed è un principio fondamentale della leadership del Corpo dei Marines. L’obiettivo di BAMCIS è quello di raccogliere informazioni, fare un piano, eseguire e garantire il successo della missione.1
Utilizzando l’installazione di un firewall di nuova generazione come scenario illustrativo, cammineremo attraverso queste fasi di guida delle truppe e identificheremo come possono migliorare le probabilità che l’attrezzatura funzioni out-of-the-box e ridurre le possibilità di passare un intero weekend a risolvere i problemi.
Fase 1: Iniziare la pianificazione
L’analisi della missione (o pianificazione del progetto) inizia qui. Il giorno in cui viene dato il via libera è il giorno in cui dovrebbe iniziare la pianificazione: Determinare per quanto tempo l’infrastruttura parallela dovrà rimanere sul posto. Identificare quali risorse saranno necessarie durante qualsiasi migrazione a caldo. Quantificare l’impatto che la nuova infrastruttura di sicurezza della rete avrà sugli utenti dell’organizzazione. Preparate molte domande durante questa fase. Dovrete fare alcune supposizioni sul progetto per iniziare la pianificazione. Se l’ufficio remoto è fuori dagli Stati Uniti, le barriere linguistiche, le restrizioni all’esportazione crittografica e le questioni doganali devono essere affrontate il prima possibile. È difficile implementare con successo un’infrastruttura di sicurezza di rete se l’infrastruttura o l’ingegnere sono bloccati in dogana!
Passo 2: Organizzare la ricognizione
Nella guerra convenzionale, questo passo è quello in cui si raccolgono informazioni sulle dimensioni, capacità e debolezze del nemico. Tuttavia, ciò che questa fase risponde realmente è la domanda “Quali informazioni mi mancano per raggiungere il successo? “2 Utilizzare tutti i metodi di collaborazione disponibili per garantire che tutte le informazioni necessarie per un’implementazione di successo dell’infrastruttura di sicurezza della rete siano scoperte molto prima del go-live. I requisiti fisici come l’alimentazione e il raffreddamento, le politiche di sicurezza che controllano l’accesso all’infrastruttura e le immagini del sito dovrebbero essere ottenuti. A seconda dell’organizzazione, ottenere i chiarimenti necessari potrebbe diventare un progetto in sé, ma ottenere queste informazioni è essenziale per il successo. Sia che ci si procuri il firewall di prossima generazione direttamente dal fornitore e lo si installi da soli o che ci si affidi a un fornitore di soluzioni in outsourcing, avere queste informazioni prima dell’effettivo dispiegamento dell’infrastruttura è fondamentale per il successo.
Fase 3: Effettuare la ricognizione
Questo è il momento in cui la leadership utilizza tutte le risorse disponibili per colmare eventuali lacune informative dopo che la ricognizione è stata organizzata. Nel caso del firewall di prossima generazione, è qui che si analizzano le specifiche per garantire spazio, potenza e sicurezza adeguati. Un’infrastruttura di cybersecurity situata in una normale stanza con un soffitto a caduta, e dietro una porta senza prevenzione della coda, e non all’interno di un armadio chiuso a chiave, è un problema che aspetta di emergere.3 Se la vostra ricognizione indica che il sito non è all’altezza degli standard di sicurezza fisica richiesti, questo deve essere risolto prima di procedere. Raggiungere i team che hanno un impatto sull’infrastruttura di sicurezza è la chiave per colmare le lacune informative necessarie a prevenire un doloroso weekend di risoluzione dei problemi.
Fase 4: Completare il piano
Nella fase uno, sono state formulate molte domande e ipotesi per far partire il piano. Ora è il momento di rispondere a quelle domande ed esaminare tutte quelle ipotesi. Non innamoratevi del vostro piano. La revisione tra pari è fondamentale. Per esempio, quando si scrivono le procedure di installazione, potrebbero volerci cinque minuti per trovare un refuso relativo al collegamento del firewall di prossima generazione. Se quel refuso non viene trovato, potrebbero volerci molte ore per risolvere i problemi sul perché non scorre il traffico. Iniziate a pensare a tutte le potenziali modalità di fallimento relative all’implementazione.4 L’ultima cosa che si desidera è essere meno sicuri o che la finestra di manutenzione vada oltre le aspettative, avendo un impatto incommensurabilmente negativo sull’organizzazione. Il piano completato deve tenere conto della modifica delle credenziali dell’account amministrativo predefinito, della disabilitazione di qualsiasi porta e servizio inutilizzato e delle best practice raccomandate dal fornitore. Troppo spesso questi aspetti vengono omessi quando si cerca di implementare la soluzione prima delle scadenze, quindi assicuratevi di includerli nel piano.
Passo 5: Emettere l’ordine
La maggior parte delle operazioni militari comporta l’emissione di un “ordine operativo a cinque paragrafi”. Questo è un riassunto chiaro e conciso delle informazioni essenziali necessarie per svolgere l’operazione. Noi vogliamo avere lo stesso tipo di istruzioni chiare e concise.5 Tutte le informazioni per il successo dello spiegamento dell’infrastruttura di sicurezza della rete devono essere trasmesse a coloro che fanno il lavoro. Questo include istruzioni scritte; l’uso di conference call, lavagne virtuali e catture di schermate. Un ampio piano di comunicazione può risolvere molti problemi prima che abbiano la possibilità di diventare problemi. Anche se nessuno vuole essere bloccato in riunioni tutto il giorno, dopo l’invio delle istruzioni finali, prendetevi il tempo per assicurare la comprensione comune molto prima che il cambiamento dell’infrastruttura di sicurezza della rete inizi. Supponete che nessuno stia effettivamente leggendo le vostre e-mail o ascoltando le vostre idee nella sala conferenze, fate domande ai membri del team sul piano e assicuratevi che rispondano con le risposte corrette!
Passo 6: Supervisione
Senza supervisione, aumenta la probabilità che i marines prendano decisioni sbagliate, come non bere abbastanza acqua prima di una corsa di tre miglia nel deserto o far scattare da ubriachi un allarme antincendio che copre di schiuma diversi aerei.6 Una supervisione adeguata, d’altra parte, può portare i marines a prendere decisioni sagge che cambiano il corso della storia. I progetti di infrastrutture per la sicurezza della rete non sono diversi. La supervisione è fondamentale per garantire che il lavoro venga svolto secondo i piani e in conformità agli standard stabiliti. L’USMC considera la supervisione l’elemento più importante nella guida delle truppe. La supervisione non è solo responsabilità della leadership. Tutti i partecipanti al progetto hanno la responsabilità di parlare ogni volta che osservano qualcosa di insoddisfacente, come la mancanza di documentazione o la scarsa implementazione delle regole di filtraggio del traffico di un firewall – così come lo vedono accadere. È facile correggere la documentazione subito dopo l’implementazione quando un supervisore chiede di sapere come il firewall sta filtrando il traffico. È difficile correggerla anni dopo quando si cerca di capire perché una nuova applicazione viene filtrata in modo improprio.
Quanto più i membri del team sono in grado di provare le modifiche alla sicurezza della rete, tanto meno è probabile che si verifichino interruzioni della produzione dovute a tali modifiche.
Con l’aumento della virtualizzazione e delle tecnologie cloud, sta diventando più facile provare i progetti dell’infrastruttura di sicurezza della rete in un ambiente controllato prima del loro rilascio in produzione. Proprio come un comandante di battaglione di fanteria inculcherebbe alle truppe i valori di “addestrare come si combatte, combattere come si addestra” quando ci si prepara alla battaglia, la leadership dell’organizzazione deve inculcare valori relativi a test e formazione adeguati prima che le soluzioni siano in produzione. Più i membri del team sono in grado di provare le modifiche alla sicurezza della rete, meno probabilità ci sono di avere interruzioni della produzione dovute alle modifiche. La maggior parte sarebbe d’accordo sul fatto che un nuovo marine ha bisogno di imparare le basi della navigazione terrestre in un ambiente di addestramento controllato prima che ci si aspetti che navighi su una pattuglia schierata in una zona di guerra. Allo stesso modo, il personale di cybersecurity deve avere l’opportunità di imparare come la loro configurazione dell’infrastruttura di sicurezza di rete avrà un impatto sui dati in movimento dell’organizzazione in un ambiente di laboratorio prima di essere schierato nel cyberspazio di produzione.
Mentre ogni organizzazione è unica, questi sei passi di guida delle truppe, originati dal Corpo dei Marine, sono applicabili ad altre organizzazioni. Anche la più civile delle organizzazioni può applicare alcune lezioni apprese dai militari che potrebbero portare a meno dolorose esperienze di risoluzione dei problemi fuori orario.
Disclaimer: Le opinioni espresse in questo articolo sono quelle degli autori e non rappresentano necessariamente le opinioni di qualsiasi organizzazione a cui sono associati.
Fonti
- http://www.marines.mil/Portals/59/Publications/MCWP%203-11.2%20Marine%20Rifle%20Squad.pdf
- http://www.trngcmd.marines.mil/Portals/207/Docs/TBS/B2B2367%20Tactical%20Planning.pdf
- Mitnick, Kevin D. e William L. Simon. Il fantasma nei fili: My Adventures as the World’s Most Wanted Hacker. Little, Brown & Co., 2012.
- http://global.datacenterworld.com/dcwg18/Custom/Handout/Speaker0_Session1019658_2.pdf
- http://www.trngcmd.marines.mil/Portals/207/Docs/FMTBE/Student%20Materials/FMST/209.pdf
- https://www.stripes.com/news/pacific/drunk-marine-releases-fire-suppression-system-in-kadena-hangar-1.351940