Governance

Organizzare le procedure di sicurezza ICT

Centralizzare o decentralizzare le operation di security? Analizziamo vantaggi e svantaggi di entrambe le scelte per capire quale meglio si potrebbe adattare alle esigenze specifiche dell’impresa

Pubblicato il 12 Mar 2015

security-150311151515

Nel tempo, la bilancia sui cui piatti sono posti la centralizzazione e la decentralizzazione delle mansioni operative ha oscillato spesso da una parte e dall’altra.

A metĂ  degli anni ’90, nel caso delle operation di sicurezza a prevalere è stata la decentralizzazione. La gestione dei firewall si era trasformata in un lavoro specializzato e complicato. Per non parlare poi dei 15-20 altri tipi di prodotti che sono entrati a far parte dell’ecosistema di sicurezza.

In quel periodo, non c’era praticamente modo di ottenere economie di scala centralizzando l’amministrazione e aumentando l’efficienza e la riduzione dei costi era l’unico motivo che poteva indurre a centralizzare qualunque cosa.


Verso la centralizzazione
Così quello a cui abbiamo assistito in questi ultimi 10 anni è stata la centralizzazione graduale delle funzioni di sicurezza, guidata in gran parte dalla necessitĂ  di essere responsabili secondo l’aspetto auditing/compliance. Era diventato troppo difficile fare rispettare le policy aziendali e centralizzare il reporting con attivitĂ  sempre piĂą di frequente, e sempre in maggior numero, dislocate in varie zone del mondo. Questa è stata un’altra ragione per cui la bilancia ha iniziato a pendere verso un team centralizzato di sicurezza.

Ma ancora una volta il panorama è andato gradatamente cambiando; un certo numero di organizzazioni sta facendo entrare le operation di sicurezza in altri gruppi operativi, (networking, data center, application). Quali sono i pro e i contro di questo approccio?


Pro

  • La sicurezza è intrinseca in tutte le operation, ma non per questo non significa che la sicurezza è un aspetto da considerare allo stesso modo a ogni livello della tecnologia. Se gli esperti di sicurezza sono isolati, i concetti inerenti la security tendono a essere “un di più” o qualcosa che chi si occupa della rete ha soltanto bisogno di “tollerare” Se tutto è all’interno dello stesso team, viene facilitata la collaborazione e si è certi che gli obiettivi sono allineati.
  • Il consolidamento dei fornitori sta guidando il processo. Dal lato tecnico, è chiaramente in atto una tendenza che porta i maggiori fornitori di tecnologia ad aggiungere funzioni di sicurezza alle loro offerte. Cisco, IBM, Oracle, Microsoft e via dicendo stanno tutti integrando la sicurezza nelle loro serie di prodotti attuali. Tutto ciò significa che ci sarĂ  un preciso supporto nella gestione della sicurezza di rete all’interno del team che si occupa del network, poichĂ© col tempo i toolset convergeranno.
  • Il consolidamento permette la separazione dei compiti e il controllo dei programmi. In molte organizzazioni, i top security officer riportano a una persona non-tecnologica (CFO, CEO, eccetera). Ciò assicura che la funzione di sicurezza sia completamente obiettiva e indipendente.

Contro

  • La capacitĂ  di influenzare le persone può essere una sfida. Se delle mansioni di sicurezza si fa carico il team che si occupa delle operation tecnologiche, il lavoro del CSO (Chief security officer) si trasforma in un’attivitĂ  completamente di influencer, poichĂ© questa persona controlla risorse minime. E’ un lavoro differente, che richiede approcci diversi (collaboration vs gestione top down).
  • Il reporting può essere piĂą difficile. Se la rete, il data center e la sicurezza dell’applicazione sono altrove, è piĂą difficile riunire tutti i dati e ottenere una visione consistente e integrata di cosa sta accendendo in tutta l’organizzazione.
  • Rispondere a un incidente è piĂą complicato. La risposta a determinati avvenimenti può anche essere problematica nel momento in cui gli esperti di sicurezza sono sparsi per tutta l’organizzazione: quando si deve far fronte a un problema, la velocitĂ  e la risolutezza nelle decisioni sono critiche. In questo senso, il CSO deve avere un programma di contenimento ben definito e facilmente praticabile, per assicurare che l’organizzazione possa schierare le risorse necessarie al fine di fronteggiare un problema nel caso si rivelasse necessario.

In ogni caso un fatto è da sottolineare: la strategia generale di sicurezza di un’azienda e il programma ad essa collegato devono essere controllati da un chief security officer.

Non è importante se il CSO riporta al CIO o altrove, gli investimenti per la sicurezza dovrebbero essere di pertinenza solo del CSO. Il motivo è presto detto: ci deve essere un’unica persona responsabile per l’implementazione e il successo del programma di sicurezza.

Quella persona non deve avere preconcetti o pregiudizi in relazione ai singoli campi di specializzazione. Un professionista imparziale può pensare in termini più ampi piuttosto che qualcuno focalizzato soltanto sul funzionamento della rete, delle applicazioni o del data center.


Qual è la scelta giusta?
La decisione deve essere basata su quale ritenete sia la cosa migliore per la vostra organizzazione e su che cosa funzionerĂ  meglio in virtĂą della vostra cultura aziendale.

In alcune organizzazioni, c’è un forte accentramento decisionale e senza le persone, un CSO è una figura priva di significato. In altre aziende, la collaborazione e il lavoro di squadra sono un fattore molto importante: in questo caso la cosa migliore che potrebbe succedere a un CSO sarebbe che degli esperti di sicurezza entrassero a far parte dei team operativi.

Indipendentemente dalla direzione che avete intrapreso oggi, probabilmente domani tornerete sui vostri passi. Questo sembra essere l’ordine naturale delle cose nel business della sicurezza. In questo campo c’è la necessitĂ  costante di ottenere il meglio e poichĂ© i processi interni di business giocano una parte importante in tutto il cambiamento, i gruppi e i ruoli si sposteranno periodicamente.

Valuta la qualitĂ  di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Keynote
Round table
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 2