Come possono essere definiti i ruoli e le responsabilità all’interno dell’azienda per tutti questi uffici che, in una misura o nell’altra, sono coinvolti nella sicurezza?
Si tratta di un problema, al giorno d’oggi, estremamente comune a molte aziende. La sicurezza viene affrontata nei suoi vari aspetti, da uffici diversi, ognuno per conto proprio senza una standardizzazione e senza una vera comprensione del livello di rischio per l’azienda.
Per trovare una soluzione, dovrebbe essere creata una posizione tipo CSO (Chief Security Officer), che dovrebbe provvedere alla sicurezza nel suo complesso.
La persona incaricata dovrebbe provvedere alla definizione delle procedure, delle strutture di comunicazione e dei report sulla sicurezza. L’implementazione di un programma sulla sicurezza potrebbe affrontare la questione con il seguente approccio:
Pianificazione ed organizzazione
- Stabilire gli obiettivi del management
- Creare un comitato di controllo sulle inadempienze
- Valutare le componenti principali del business
- Tracciare un profilo dei rischi corsi dall’azienda
- Eseguire una valutazione dei rischi
- Sviluppare le architetture di sicurezza a livello d’organizzazione, applicazione, rete e componenti
- Identificare le soluzioni per ogni livello dell’architettura
- Ottenere l’approvazione del management a portare avanti i progetti
Implementazione
- Assegnare ruoli e responsabilità
- Sviluppare ed implementare policy di sicurezza, procedure, standard e linee guida
- Identificare i dati sensibili statici e in transito
-
Implementare i seguenti programmi
- Identificare e gestire le risorse
- Risk management
- Gestire le vulnerabilità
- Conformità
- Identity management e controllo degli accessi
- Controllo delle modifiche
- Ciclo di vita dello sviluppo del software
- Pianificare la business continuity
- Formazione sulla sicurezza
- Sicurezza fisica
- Risposta in caso d’incidenti
- Implementare soluzioni (amministrative, tecniche, fisiche) per ogni programma
- Sviluppare audit e soluzioni di monitoraggio per ogni programma
- Definire gli obiettivi, gli accordi sul livello dei servizi e i relativi parametri per ogni programma
Fase operativa e manutenzione
- Seguire procedure che assicurino il rispetto delle linee guida di ciascun programma implementato
- Fare audit interni ed esterni
- Eseguire le operazioni definite per ogni programma
- Gestire le condizioni del livello di servizio per ogni programma
Monitoraggio e valutazione
- Controllare i login, i risultati degli audit, i valori dei parametri misurati e gli SLA per ogni programma
- Valutare il raggiungimento degli obiettivi
- Svolgere riunioni trimestrali con il comitato di controllo
- Sviluppare piani di miglioramento ed integrarli con le fasi di pianificazione ed organizzazione
Il management deve capire la necessità di avere una persona, all’interno dell’azienda, che coordini le attività riguardanti la sicurezza e faccia da ponte tra la direzione e il resto della società. Il responsabile della sicurezza informatica deve individuare i rischi che l’azienda corre e ridurli entro livelli accettabili. Per fare ciò, deve dimostrare una comprensione degli elementi principali dell’attività per poi creare e portare avanti un programma sulla sicurezza che faciliti le attività in conformità con un lungo elenco di regolamenti e di leggi.
Inoltre, il responsabile della sicurezza deve trovare punti d’accordo tra le esigenze del business e quelle della sicurezza in modo tale da assicurare che quest’ultima non vada ad intaccare in alcun modo i ricavi della società. Deve quindi avere un’ampia visione ed andare oltre le questioni meramente informatiche interessandosi delle procedure di business, degli aspetti legali e di quelli operativi, della generazione di ricavi, della protezione della reputazione e del risk management. Tutto questo deve essere fatto nella maniera più efficiente possibile dal punto di vista dei costi.
E’ utile per l’azienda istituire un comitato di controllo che fornisca una visione globale delle questioni inerenti la sicurezza e che permetta la collaborazione di tutte le professionalità interessate. Questo comitato è responsabile delle decisioni tattiche e strategiche in materia di sicurezza all’interno dell’azienda e non dovrebbe essere legato ad alcuna business unit in particolare. Dovrebbe valutare l’impatto delle decisioni in fatto di sicurezza sui singoli dipartimenti e sulla società nel suo insieme. Il comitato di controllo dovrebbe essere presieduto dall’amminsitratore delegato/direttore generale e ne dovrebbero far parte anche l’CFO, il CIO, i direttori degli altri dipartimenti e il responsabile interno degli audit.
Il comitato dovrebbe riunirsi almeno una volta ogni tre mesi e avere un’agenda ben definita. Qui di seguito alcuni dei suoi compiti:
- Definire il livello di rischio accettabile per l’azienda
- Sviluppare obiettivi e strategie
- Determinare le priorità nelle iniziative in materia di sicurezza sulla base delle esigenze del business
- Verificare il risk assessment e i report degli audit
- Monitorare l’impatto sul business dei rischi in fatto di sicurezza
- Controllare le principali violazioni della sicurezza dei dati e i possibili incidenti
- Approvare tutte le principali modifiche alle policy di sicurezza
E’ importante che la direzione di un’azienda aderisca a queste linee guida, in modo tale che la responsabilità della sicurezza venga affidata alle persone più adeguate.
