Per ottenere una valutazione migliore su come sia meglio gestire i budget di sicurezza, c’è un nuovo tipo di approccio che diverse aziende hanno cominciato a utilizzare con ottimi risultati.
Si tratta di creare un gruppo di lavoro che coinvolge anche i responsabili di reparti chiave dell’azienda non ICT, chiamati a occuparsi specificamente della governance della sicurezza informatica.
Identificate le informazioni e i processi più strategici che meritano massima sicurezza e attenzione, ogni comparto mette a fattor comune l’analisi, evidenziando poi i possibili rischi per il business. La condivisione permette all’azienda di andare poi ad allocare gli investimenti più adeguati a supporto della sicurezza.
Un altro punto chiave della strategia è la periodicità con cui il consesso di esperti si riunisce per capire, definire e valutare i rischi, attuando le giuste contromisure. Il che significa che non si da per assodato nulla e tutto è sempre soggetto a costanti verifiche e quindi pianificazioni più mirate degli interventi.
La sicurezza non è mai abbastanza
I professionisti della sicurezza informatica sono consapevoli che, per quanto si possa fare, non ci saranno mai abbastanza risorse per mitigare tutti i potenziali rischi alla sicurezza aziendale. È compito del CSO (Chief Security Officer) occuparsi di come allocare le risorse a disposizione, per quanto limitate, a livello organizzativo e strategico, per prevenire o contenere i pericoli e le minacce.
Questa la teoria. Nella pratica, l’applicazione può essere ancora più difficile in quanto l’equilibrio tra rischio organizzativo e risorse disponibili continua a essere labile.
È estremamente importante, dunque, sviluppare un organo di governo a supporto della sicurezza informatica aziendale che aiuti a definire le priorità per costruire un servizio di supporto adatto a proteggere l’impresa con quante più risorse possibili sulle informazioni e sui servizi più business critical.
Rispetto al passato non conta essere grandi, piccoli, locali o internazionali: gli attacchi al business da parte dei cybercriminali sono diventati trasversali e pervasivi. Soprattutto, sono sempre più invisibili.
Più velocità decisionale nella governance della sicurezza
L’organo di governo della sicurezza può variare notevolmente a seconda della struttura dell’organizzazione. I membri rappresentanti, infatti, devono provenire da diversi dipartimenti organizzativi: l’ufficio legale, l’ufficio del personale, l’ufficio di controllo, l’amministrazione, la produzione e, naturalmente, il CIO e il suo staff ICT.
Questo contribuisce a creare un ambiente in cui ogni reparto diventa consapevole di avere un proprio ruolo nella creazione di adeguate policy di sicurezza e impara a capire molte dinamiche che meritano attenzione come, ad esempio, il Mobile Device Management.
Il CSO può utilizzare questo organo di governo facendolo diventare un punto di riferimento per discutere i rischi e costruire quella linea decisionale sulla sicurezza delle informazioni più critiche anche nel medio e nel lungo termine L’organo di gestione aiuta il CSO ad aumentare il suo potere decisionale, confermando la sua autorità e quindi i risultati che può raggiungere in una migliore governance della sicurezza informativa.
La condivisione è fondamentale: il metodo OCTAVE
Una volta che l’organo di governo è formato, il passo successivo per il CSO è quello di illustrare quali sono i rischi per la sicurezza delle informazioni.
L’approccio migliore, solitamente, è quello di iniziare classificando il tipo di dato e le tipologie di informazioni, con una valutazione dei possibili livelli di protezione necessari.
Gli esperti utilizzano il metodo OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation), ma esistono anche altri metodi. L’utilizzo di un modello permette al CSO di esporre i pericoli alla sicurezza con un liguaggio che consente a tutti i membri dell’organo di governo di capire bene, al di là dei tecnicismi.
Ad esempio, il valore delle informazioni relative a un cliente all’interno del sistema CRM o quello delle informazioni finanziarie archiviate in un sistema ERP sono business critical e, come tali, hanno bisogno di un livello di sicurezza molto alto. Il CSO può quindi presentare all’organi di governo i rischi di una compromissione legata a questo tipo di sistemi informatici e le risorse necessarie per ridurli al minimo, attraverso piani che arrivano ad includere anche il disaster recovery per garantire la business continuity.
L’organo di gestione può quindi capire l’importanza di una adeguata distribuzione delle risorse e quindi dare il suo contributo in termini di risorse aggiuntive e di responsablizzazione.
Un comitato di gestione della sicurezza a supporto del CISO
L’importanza di un comitato di gestione della sicurezza delle informazioni non va sottovalutata. Si tratta di una delle prime cose che un CSO dovrebbe stabilire come una priorità. Non ci saranno mai abbastanza risorse economiche od organizzative per ridurre ogni rischio potenziale in cui possono incorrere i sistemi informativi.
Un organo di governo che raccolga una varietà di rappresenti anche di un certo numero di reparti non tecnici aiuta a prendere decisioni politiche di sicurezza anche difficili, ottenendo i migliori risultati anche con delle risorse limitate. Non solo: un board così concepito, aiuta a diffondere una migliore cultura della sicurezza in azienda, incrementando l’efficacia del ruolo del CISO.