Per motivi di lavoro sono abituato a ripetere che la sicurezza va affrontata dal basso, a rovescio rispetto all’idea prevalente che si debba iniziare dalla rete. Non che ne sia mai stato del tutto convinto ma mi pareva un modo corretto per aprire la porta ai discorsi che piu’ mi interessano dal punto di vista business. Oggi mi sono trovato per caso in mano una serie di vecchi appunti che partivano dall’idea che un sistema va configurato come se non ci fossero firewall: solo quello che serve. Idea scontata per chi si occupi un minimo di hardening e sicurezza. Per un attimo mi e’ sembrato di vedere la luce:
1) datemi una macchina sicura (intendo affidabile e con un sistema operativo dignitoso)
2) mettiamo al sicuro i dati (beh, non sto pensando alla cifratura ad onor del vero)
3) usiamo i dati con delle applicazioni “sicure” (e qui son dolori e mal di pancia a non finire)
4) infine pensiamo alla sicurezza della rete separando quello che sta dentro da quello che sta fuori
Semplice no? Riflettendoci ancora un attimo mi sono accorto che la maggior parte delle realta’ che conosco non ha un “dentro” ed un “fuori”: e’ tutto un groviglio confuso di cose in-house, in outsourcing e magari anche altrove. Ho pensato che bastasse dire “infine pensiamo alla rete” facendo sparire sicurezza ed il resto. Non mi pare corretto. Non mi pare proprio. Mi piace comunque pensare che si possa partire dall’altro lato, lasciare la rete da ultima e il firewall beh… forse ha fatto il suo tempo. Eresia?
