L’impostazione organizzativa è uno degli aspetti più importanti nella concretizzazione di una appropriata governance dell’Ict Security nelle aziende. Non tutte le imprese, però, sono oggi organizzate in modo adeguato per gestire il problema. Sono queste alcune considerazioni che si possono fare dopo aver letto il rapporto 2008 dell’Osservatorio Information Security Management “Ict Security: quale Governance?” realizzato dalla School of Management del Politecnico di Milano insieme al Cefriel e in collaborazione con Reed Exhibitions Italia.
Dalla ricerca condotta dall’Osservatorio sono state individuate quattro configurazioni organizzative emergenti, caratterizzate da complessità crescente: il modello All in One, quello Ict Centric, il modello Segregation e quello Multiplayer. Di questa tematica abbiamo già parlato in un precedente articolo (sul numero di marzo di ZeroUno; l’articolo è disponibile online all’interno del Web Security Journal – Da questo numero del Security Journal vogliamo però tornare sull’argomento per analizzare, con l’aiuto dei responsabili dell’Osservatorio, i quattro modelli organizzativi in modo più dettagliato.
In queste pagine ci occuperemo, in particolare, del modello All in One, che rappresenta il modello iniziale, storico, da cui è possibile un’evoluzione a modelli più complessi, che saranno trattati nei prossimi numeri.
Prima di iniziare con l’analisi di questo modello è importante ricordare che, per affrontare in modo strutturato la tematica dell’organizzazione delle funzioni connesse all’Ict Security è stato necessario identificare le attività specifiche e quelle correlate al tema della sicurezza. Questo compito non è risultato facile, perché non esiste ancora una nomenclatura comune sulle funzioni correlate all’Ict Security e guardare solo il nome della struttura organizzativa può generare confusione; a volte in strutture con nomi simili si sono trovate persone che svolgono mansioni molto diverse.
Nel corso delle interviste, tuttavia, sono emerse sei principali tipologie di attività correlate all’Ict Security: definizione delle policy e delle procedure operative; pianificazione e controllo; progettazione e/o identificazione dei sistemi e delle soluzioni; implementazione dei sistemi e delle soluzioni; monitoraggio.
“Per capire qual è il macromodello organizzativo scelto da un’azienda occorre comprendere in quali unità organizzative sono collocate queste attività”, spiega Luca Marzegalli, responsabile scientifico dell’Osservatorio di Information Security Management della School of Management del Politecnico di Milano e del Cefriel e responsabile dell’unità Information Security del Cefriel. “Il modello All in One, che si può riconoscere in varie realtà, è quello in cui tutte e sei le attività fanno capo a un’unica struttura”. Questa struttura, che spesso prende il nome di “Reti e sicurezza”, è in genere collocata all’interno della direzione Ict e si occupa anche delle infrastrutture e della rete e gestisce reti, dati e fonia.
“Questo modello – commenta Marzegalli – si contraddistingue per non avere nessuna segregation of duty (segregazione delle responsabilità), in quanto tutte le decisioni sono prese da un’unica struttura, responsabile sia del definire le regole, sia di implementarle e controllarne le applicazioni. L’assenza di segregation of duty implica che il modello di sicurezza adottato sia soggetto alla sola responsabilità del capo di questa struttura”. Il vantaggio principale di questo modello è rappresentato dalla possibilità di raggiungere elevati livelli di efficienza, dovuti alla scarsa necessità di processi di coordinamento. I modelli più evoluti possono essere significativamente più onerosi da mantenere e adatti solo a contesti che li giustifichino.
“Il modello All in One è generalmente preferito dalle aziende con dipartimenti Ict piuttosto piccoli”, dice Marzegalli. “Le imprese da noi analizzate, tuttavia, non erano aziende di piccole dimensioni, erano realtà piuttosto grandi. I dipartimenti Ict più piccoli potevano arrivare anche a 50-100 persone”.
Il modello All in One, generalmente non è adottato nelle realtà considerate infrastrutture critiche, che si affidano a modelli più complessi. Di solito è prevalente in imprese in cui la rilevanza delle informazioni e dell’Ict, rispetto al core business, non è percepita come fattore chiave. Peraltro non sempre questo è vero. Le aziende della grande distribuzione o del settore manifatturiero sono infatti tra quelle in cui questo modello è più frequentemente diffuso e in queste aziende, soprattutto nella grande distribuzione, la sensibilità verso l’Ict è molto elevata. Il modello All in One non è stato rilevato in aziende dei settori banking e telecom, in cui la tipologia di core business accanto ad anni di esperienze e frodi hanno sensibilizzato al problema della sicurezza.
“Nel campione di grandi aziende da noi considerato è emersa una sensibilità maggiore, rispetto alla media, alle tematiche Ict”, puntualizza Marzegalli. “Pertanto il modello All in One è stato rilevato solo nel 17% dei casi”.
Questo modello, accanto ai vantaggi individuati in precedenza, presenta però anche uno svantaggio fondamentale, derivato proprio dalla mancanza di segregazioni di ruoli. In questo modello è spesso una sola persona che definisce le regole, le implementa e le controlla. Se è sensibile al tema della sicurezza tutto può procedere nel migliore dei modi, se invece non lo è, il rischio è che l’azienda perda di vista l’importanza, anche ai fini dello sviluppo, della security. Da questo modello, quindi, le aziende passano spesso a modelli più evoluti, in cui la segregation of duty si affina sempre più e assume forme differenti, in base al modo in cui sono separate le responsabilità.
Ma per finire, che consigli dare a un’azienda che ha optato per il modello All in One? “Si potrebbe consigliare di considerare bene se l’importanza della sicurezza non giustifichi un maggiore investimento e una evoluzione del modello organizzativo di security”, dichiara Marzegalli. Spesso in un’azienda piccola, in cui è presente una sola persona che si occupa di Ict security non esistono alternative al modello All in One. Ma se l’impresa percepisce l’importanza della sicurezza si trova ad allocare almeno due persone e diventa necessario iniziare a ragionare su modelli più complessi.
“Se un’azienda ha una struttura Ict che supera le 20 persone è ragionevole pensare che ci si trovi in questa situazione”, afferma Marzegalli. “In questi casi è necessario, quindi, coinvolgere almeno due persone per quanto riguarda l’Ict security”.
IL MODELLO ALL IN ONE IN SINTESI
1) Il modello All in One accentra le sei principali attività correlate all’Ict Security in un’unica struttura o, soprattutto nel caso delle Pmi, in un’unica persona.
2) È il modello più semplice, da cui è possibile evolvere a modelli più complessi.
3) È preferito dalle imprese di piccole dimensioni ma è spesso adottato anche da grandi aziende che non sono sensibili alla tematica della sicurezza o non ritengono un problema fondamentale la salvaguardia delle informazioni in rapporto al loro core business.
4) Tra le aziende che hanno scelto questo modello, secondo la ricerca, rientrano imprese della grande distribuzione e del settore manifatturiero.
5) Preferiscono modelli più evoluti, rispetto all’All in One le imprese dei settori banking e telecomunicazioni.
