I senior executive e i board aziendali stanno mostrando sempre maggior interesse agli aspetti di sicurezza e al loro impatto sull’organizzazione di business. A confermarlo, i dati di un’indagine condotta da Forrester su 2.199 It security decision makers di aziende, di varie dimensioni, del Nord America e dell’Europa, dai quali emerge che quasi il 50% dei Ciso (Chief Information Security Officer) riporta direttamente al top management (C-Level) e il 27% a un solo livello sotto la direzione aziendale.
Figura 1 – Security's Increasing Visibility
(cliccare sull'immagine per visualizzarla correttamente)
Questo dimostra quanto il business abbia ben compreso il valore della sicurezza; tale visibilità è un tassello fondamentale per cambiare la cultura della sicurezza in azienda e far comprendere che “ognuno è responsabile” all’interno dell’impresa.
I dipartimenti di sicurezza in azienda stanno assumendo ruoli e responsabilità sempre più elevati in aree come l’application security, la business continuity e il risk management e si vanno sempre più delineando due differenti tipi di organizzazioni (che non significa però avere dipartimenti differenti): da un lato, troviamo quelle che Forrester chiama “strategy-focused security and risk organization”, più orientate all’allineamento con le priorità e le esigenze del business; dall’altro, ci sono le cosiddette “operations-focused security organization”, focalizzate sugli aspetti di sicurezza legati all’efficienza ed efficacia operativa del day-by-day.
Figura 2 – Security's Increasing Set o Responsability
(cliccare sull'immagine per visualizzarla correttamente)
In ogni caso, le security organization oggi devono essere agili, flessibili e altamente performanti, in grado di indirizzare adeguatamente una moltitudine di necessità simultaneamente. E questo è possibile, secondo Forrester, solo attraverso la “costruzione” di una organizzazione dove siano ben disegnati processi, ruoli, responsabilità, tecnologie e strumenti.
Strategy-focused security and risk organization: azioni proattive nella gestione dei rischi
Le organizzazioni focalizzate sugli aspetti strategici della sicurezza, osserva Forrester, sono quelle che operano a stretto contatto con il business per definire obiettivi e priorità. Questo tipo di organizzazioni, solitamente, si occupa di “education&communication” attraverso una strategia di Grc, Governance, Risk and Compliance, impostazione e gestione di metriche e sistemi di misurazione, reporting e controllo. Ma ciò su cui si devono maggiormente concentrare, sottolineano gli analisti Forrester Khalid Kark e Rachel A. Dines, è la proattività, cercando di anticipare possibili minacce, nonché i bisogni del business.
Il ruolo di simili organizzazioni è certamente “business value” ma Forrester evidenzia come spesso all’interno delle aziende non ci sia una così netta distinzione tra organizzazioni “strategy-focused” e “operations-focused” e come sia difficile governare azioni proattive quando la maggior parte del tempo e delle risorse devono essere “spesi” nelle attività quotidiane. E questo è il motivo principale per cui sono ormai molte le organizzazioni di sicurezza che hanno deciso di spostare le security operations all’interno dei dipartimenti It.
Figura 3 – Something's Gotta Live: Operationalize Security
(cliccare sull'immagine per visualizzarla correttamente)
Operations-focused security organization: esperienza tattica ed efficienza operativa
Le organizzazioni più concentrate sugli aspetti operativi, solitamente, hanno un rapporto meno diretto con il business e riportano all’It o ne fanno parte. Il loro focus primario è il deployment, la gestione e il monitoraggio di tool e tecnologie di sicurezza negli ambienti It con conseguente attenzione all’efficienza dei costi e all’integrazione con i sistemi It esistenti. I team che si occupano di questi aspetti, dunque, sono quelli che coprono le aree della gestione delle minacce e delle vulnerabilità, della sicurezza delle applicazioni, oltre ad aspetti di security configuration e compliance.
I Ciso, in questo tipo di organizzazioni, possiedono un forte background tecnologico e le persone che risiedono all’interno del team sono generalmente molto esperte in campi specifici (esperienza su alcune problematiche o conoscenza approfondita di determinate tecnologie, ecc.).
Sempre più verso la strategia, senza dimenticare le operations
Dato che la sicurezza va assumendo un ruolo sempre più strategico e di valore per il business, laddove non si riesce a impostare un dipartimento IT secondo un modello organizzativo realmente “business oriented” perché fagocitati dalle attività operative, si ricorre spesso all’outsourcing per liberare risorse e iniziare a impostare la cosiddetta “strategy-focused security and risk organization”.
Attenzione però, avverte Forrester, perché questa potrebbe essere la giusta ricetta per creare un disastro laddove l’ambiente di sicurezza non fosse ben strutturato e i processi ben definiti. L’outsourcer, evidenziano gli analisti di Forrester, non può essere colui che “mette in ordine” l’organizzazione e soprattutto rappresenta una sorta di “intervallo” all’interno dei processi (aggiungendo ulteriore complessità, e rischio, se questi non risultano essere ben strutturati e gestiti).
Per poter fare scelte di questo tipo è fondamentale che si conosca a fondo l’ambiente operativo e che vi sia un’adeguata maturità a livello di processo e controllo. E, ad ogni modo, trasferire le responsabilità del day-by-day non esula dal tenere in considerazione questi aspetti fondamentali:
– “chiudere” in una torre d’avorio le security operations è sbagliato: anche in una organizzazione strategy-focused è importante non togliere l’attenzione sulle operations, anche se queste non devono sovrastare le azioni più business oriented. È bene seguire una metodologia all’interno della quale individuare le aree dove aspetti strategici e operativi si incontrano, tenendo presente che, di solito, le organizzazioni di sicurezza più strategiche non spendono oltre il 25% di tempo e risorse in ambiti operativi;
– misurare e analizzare: anche in una organizzazione dove le security operations vengano trasferite al dipartimento It o ad un outsourcer, si dovrà continuare a misurare e analizzare tutte le informazioni derivanti da infrastrutture e architetture. Questo è fondamentale per essere sicuri che i processi siano ben aderenti e allineati (ogni cambiamento a livello strategico si ripercuote sulle operations, e viceversa). Fare attenzione quindi agli aspetti di misurazione e analisi delle operations è importante ai fini di poter godere di quella visibilità necessaria, a livello più strategico, per poter prendere decisioni e gestire azioni proattive;
– ricalibrare se necessario: le turbolenze economiche degli ultimi anni hanno costretto a diversi tagli di budget con conseguenti spostamenti di ruoli e persone. In alcune organizzazioni di sicurezza, non è raro vedere cambi repentini con passaggi da organizzazioni operations-focused a strategy-focused a seconda delle necessità e delle risorse (persone e denaro) disponibili. L’importante, sottolinea Forrester, è riuscire a mantenere una visione d’insieme che permetta di “ricalibrare” la strategia. E per aiutare le security organization ad avere una certa visibilità sullo stato in cui si trovano, Forrester ha ideato un grafico all’interno del quale viene identificato il progresso dei ruoli e delle responsabilità della sicurezza in relazione alle aspettative del business per valutare quindi come ricalibrarle.
Figura 4 – The Security and Risk Continuum
(cliccare sull'immagine per visualizzarla correttamente)
Il modello di Forrester
Costruire una organizzazione di sicurezza con mission più strategica che operativa non è comunque cosa semplice. Forrester ha ipotizzato un modello di riferimento che include quattro differenti livelli di responsabilità:
1) security oversight: con competenze in ambito Enterprise Grc (Governance, Risk and Compliance); tale livello include responsabilità di program management; relazioni dirette con il business; sviluppo e governo di metriche, misurazioni e controlli; marketing dell’information security (per l’educazione e la comunicazione di policy e strategie).
2) It risk: team e persone con ruoli e responsabilità in ambiti come policy e compliance; controllo e gestione della sicurezza nei rapporti con le terze parti; gestione delle minacce e delle vulnerabilità; assessment di rischi e processi.
3) security engineering: area con competenze specifiche in ambito architetturale e sistemistico (soprattutto per il controllo delle policy e delle regole, affinché anche i sistemi siano aderenti alle linee guida strategiche); sicurezza delle applicazioni; implementazione e integrazione di sistemi e soluzioni.
4) security operations: persone con ruoli e responsabilità di gestione della sicurezza delle infrastrutture, controllo e management dei device, security event and information management, security incident management.
Figura 5 – The Scope of Responsabilities in Security Organization
(cliccare sull'immagine per visualizzarla correttamente)
Per una organizzazione strategica servono nuove figure
Da sottolineare, in particolare, nel modello prospettato da Forrester, il ruolo chiave di alcune figure emergenti: business liaison; third-party security coordinator; security engineer.
1) Business liaison: è una figura che sta a metà tra la business unit e il team di sicurezza ed è colui che deve controllare e garantire che le aspettative del business trovino corrispondenza nella azioni strategiche delle organizzazioni di sicurezza.
2) Third-party security coordinator: è una figura che sta assumendo sempre più importanza perché è colei che indirizza assessment piuttosto che scelte di provisioning che possono andare dall’outsourcing al cloud computing. È dunque una persona che conosce bene il mercato dell’offerta, oltre ad avere una chiara visione della propria azienda e delle sue necessità e priorità. All’interno delle organizzazioni di sicurezza, è la figura che permette di adottare determinate scelte (anche in termini di apertura dei sistemi aziendali a terze parti o collaboratori esterni e di accesso alle informazioni) in totale sicurezza per l’azienda.
3) Security engineer: è colui che ha le maggiori competenze tecniche perché sviluppa, implementa ed integra soluzioni tecnologiche. Assume un ruolo chiave perché le sue responsabilità sono indirizzate e focalizzate sulle soluzioni di sicurezza che, in una visione strategica, devono aderire alle linee guida del business ed essere funzionali ad esse.