Sicurezza

Allineare business plan e strategia di sicurezza

Anche il più piccolo cambiamento nelle attività “core” può comportare un grandissimo problema di security. I responsabili dovrebbero perciò essere sempre informati sui progetti strategici e operare parallelamente con le altre divisioni aziendali

Pubblicato il 12 Ago 2015

profesional-persone-businessman-121130123422

Affinché ogni IT manager possa operare con successo per un lungo periodo, è necessario che effettui valutazioni periodiche della sinergia fra la sua strategia di business e quella della sicurezza.

Importanti eventi come ad esempio le acquisizioni non dovrebbero essere la sola occasione in cui vengono fatte tali valutazioni; in seno a un’azienda accadono costantemente dei cambiamenti e sorprende quanto velocemente possa svilupparsi una disconnessione.

In questo articolo, vedremo quali “business event” possano richiedere una revisione della strategia di sicurezza della rete, cosa tale revisione dovrebbe includere e come possono essere evitati dei passi falsi nei confronti del management.


Quando rivedere le strategie di sicurezza?

Le sostituzioni e le promozioni fra i dirigenti, o magari l’inizio dell’utilizzo di un prodotto o di un servizio, possono cambiare rapidamente i driver di un determinato business. Ogni volta che un’azienda subisce un tale cambiamento, è essenziale che la strategia di security e le policy IT cambino in modo da fornire il tipo di sicurezza che l’evoluzione dell’organizzazione richiede.

Un esempio è una grande organizzazione che per la prima volta ha reso accessibili online molti dei suoi prodotti e servizi. Malgrado il successo del cambiamento da una strategia di vendita “tramite catalogo” a un sito di e-commerce, tale azienda ha drasticamente incrementato la quantità di informazioni personali che consentono di identificare un individuo, sia nella rete interna sia in Internet.

La policy di sicurezza della rete ha dovuto perciò essere aggiornata al fine di rendere sicuro questo cambiamento nel traffico. Tutti i collegamenti di rete al database dei clienti sono stati cifrati, i diritti di accesso degli utenti della rete sono stati rivisti, e modificati ove necessario, e l’organizzazione ha cominciato a testare vari tool di exrusion detection dei dati.

Comunicare la strategia a tutti (e in fretta)

Per evitare una strategia di sicurezza disallineata, l’IT manager deve stare al passo con con le differenti divisioni e con le loro strategie, Ma anche con il modo in cui ciascuno di tali divisioni sta pianificando di perseguire quelle strategie.

Se ci si assicura che tutte le parti siano allineati sia in relazione al business sia alle necessità di sicurezza, si possono fare scelte più consapevoli quando si acquistano o si implementano tecnologie di sicurezza. Per esempio, se la security è coinvolta nella fase iniziale di una nuova iniziativa di business, la stessa security può essere progettata in modo che sia implementata all’inizio del progetto, un metodo sempre più efficace che non provare a coinvolgere la sicurezza nelle fasi finali.

I componenti chiave di qualsiasi strategia di sicurezza

L’IT manager dovrebbe chiedersi se la strategia di sicurezza può:

  • Proteggere i dati, sia stazionari sia in transito attraverso la rete, secondo una precisa classificazione
  • Limitare le nuove e minacce emergenti
  • Massimizzare le risorse fornendo servizi in sicurezza
  • Soddisfare le conformità e i requisiti normativi

Convincere il management ad approvare la nuova strategia di sicurezza

Tutti i maggiori cambiamenti alla corrente strategia di security necessitano del supporto chiave dei top manager e devono essere controfirmati e supportati a livello di board. Le nuove iniziative di sicurezza che richiedono budget addizionali è più probabile siano approvate se coinvolgono il rischio e la conformità, due driver importanti per la governance. Ad esempio se il board ha chiara la responsabilità legale di un’adeguata protezione dei dati dei clienti, è più “facile” far approvare risorse aggiuntive.

Un cambiamento nella politica di sicurezza richiede spesso nuovi prodotti o servizi. E tali prodotti o servizi non sono gratuiti. Così la chiave per aumentare il budget di sicurezza, è di provare a presentare una strategia modificata come componente di un’iniziativa volta al risparmio dei costi, come per esempio i progetti tecnologici che migliorano l’efficienza e riducono i costi generali.

È essenziale, tuttavia, che il team di sicurezza valuti pienamente la tolleranza al rischio dell’organizzazione. Le strategie di sicurezza e di business il più delle volte divergono quando un team di sicurezza e i responsabili del business hanno idee differenti su quale sia l’appropriato livello di rischio dell’azienda.

Ciò accade spesso quando un dirigente appena assunto viene da un’industria differente ed è abituato a operare all’interno di un diverso ambiente di rischio. Quando i team non sono della stessa opinione, le difese sono sovra o sotto stimate e i budget vengono sprecati.

È una sfida trovare una strategia di sicurezza capace di allinearsi con i business plan. Le modifiche della policy richiedono la comunicazione e la cooperazione fra tutti i reparti e la chiave è riassicurare che la strategia di sicurezza sia vista come un abilitatore del business e non un disabilitatore.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Keynote
Round table
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 2