Nel tempo, la bilancia sui cui piatti sono posti la centralizzazione e la decentralizzazione delle mansioni operative ha oscillato spesso da una parte e dall’altra.
A metà degli anni ’90, nel caso delle operation di sicurezza a prevalere è stata la decentralizzazione. La gestione dei firewall si era trasformata in un lavoro specializzato e complicato. Per non parlare poi dei 15-20 altri tipi di prodotti che sono entrati a far parte dell’ecosistema di sicurezza.
In quel periodo, non c’era praticamente modo di ottenere economie di scala centralizzando l’amministrazione e aumentando l’efficienza e la riduzione dei costi era l’unico motivo che poteva indurre a centralizzare qualunque cosa.
Verso la centralizzazione
Così quello a cui abbiamo assistito in questi ultimi 10 anni è stata la centralizzazione graduale delle funzioni di sicurezza, guidata in gran parte dalla necessità di essere responsabili secondo l’aspetto auditing/compliance. Era diventato troppo difficile fare rispettare le policy aziendali e centralizzare il reporting con attività sempre più di frequente, e sempre in maggior numero, dislocate in varie zone del mondo. Questa è stata un’altra ragione per cui la bilancia ha iniziato a pendere verso un team centralizzato di sicurezza.
Ma ancora una volta il panorama è andato gradatamente cambiando; un certo numero di organizzazioni sta facendo entrare le operation di sicurezza in altri gruppi operativi, (networking, data center, application). Quali sono i pro e i contro di questo approccio?
Pro
- La sicurezza è intrinseca in tutte le operation, ma non per questo non significa che la sicurezza è un aspetto da considerare allo stesso modo a ogni livello della tecnologia. Se gli esperti di sicurezza sono isolati, i concetti inerenti la security tendono a essere “un di più” o qualcosa che chi si occupa della rete ha soltanto bisogno di “tollerare” Se tutto è all’interno dello stesso team, viene facilitata la collaborazione e si è certi che gli obiettivi sono allineati.
- Il consolidamento dei fornitori sta guidando il processo. Dal lato tecnico, è chiaramente in atto una tendenza che porta i maggiori fornitori di tecnologia ad aggiungere funzioni di sicurezza alle loro offerte. Cisco, IBM, Oracle, Microsoft e via dicendo stanno tutti integrando la sicurezza nelle loro serie di prodotti attuali. Tutto ciò significa che ci sarà un preciso supporto nella gestione della sicurezza di rete all’interno del team che si occupa del network, poiché col tempo i toolset convergeranno.
- Il consolidamento permette la separazione dei compiti e il controllo dei programmi. In molte organizzazioni, i top security officer riportano a una persona non-tecnologica (CFO, CEO, eccetera). Ciò assicura che la funzione di sicurezza sia completamente obiettiva e indipendente.
Contro
- La capacità di influenzare le persone può essere una sfida. Se delle mansioni di sicurezza si fa carico il team che si occupa delle operation tecnologiche, il lavoro del CSO (Chief security officer) si trasforma in un’attività completamente di influencer, poiché questa persona controlla risorse minime. E’ un lavoro differente, che richiede approcci diversi (collaboration vs gestione top down).
- Il reporting può essere più difficile. Se la rete, il data center e la sicurezza dell’applicazione sono altrove, è più difficile riunire tutti i dati e ottenere una visione consistente e integrata di cosa sta accendendo in tutta l’organizzazione.
- Rispondere a un incidente è più complicato. La risposta a determinati avvenimenti può anche essere problematica nel momento in cui gli esperti di sicurezza sono sparsi per tutta l’organizzazione: quando si deve far fronte a un problema, la velocità e la risolutezza nelle decisioni sono critiche. In questo senso, il CSO deve avere un programma di contenimento ben definito e facilmente praticabile, per assicurare che l’organizzazione possa schierare le risorse necessarie al fine di fronteggiare un problema nel caso si rivelasse necessario.
In ogni caso un fatto è da sottolineare: la strategia generale di sicurezza di un’azienda e il programma ad essa collegato devono essere controllati da un chief security officer.
Non è importante se il CSO riporta al CIO o altrove, gli investimenti per la sicurezza dovrebbero essere di pertinenza solo del CSO. Il motivo è presto detto: ci deve essere un’unica persona responsabile per l’implementazione e il successo del programma di sicurezza.
Quella persona non deve avere preconcetti o pregiudizi in relazione ai singoli campi di specializzazione. Un professionista imparziale può pensare in termini più ampi piuttosto che qualcuno focalizzato soltanto sul funzionamento della rete, delle applicazioni o del data center.
Qual è la scelta giusta?
La decisione deve essere basata su quale ritenete sia la cosa migliore per la vostra organizzazione e su che cosa funzionerà meglio in virtù della vostra cultura aziendale.
In alcune organizzazioni, c’è un forte accentramento decisionale e senza le persone, un CSO è una figura priva di significato. In altre aziende, la collaborazione e il lavoro di squadra sono un fattore molto importante: in questo caso la cosa migliore che potrebbe succedere a un CSO sarebbe che degli esperti di sicurezza entrassero a far parte dei team operativi.
Indipendentemente dalla direzione che avete intrapreso oggi, probabilmente domani tornerete sui vostri passi. Questo sembra essere l’ordine naturale delle cose nel business della sicurezza. In questo campo c’è la necessità costante di ottenere il meglio e poiché i processi interni di business giocano una parte importante in tutto il cambiamento, i gruppi e i ruoli si sposteranno periodicamente.