L’Ict security, intesa come insieme di regole per garantire la sicurezza delle informazioni immagazzinate e veicolate usando le tecnologie Ict e permettere la disponibilità e il buon funzionamento dei sistemi e delle applicazioni Ict è strategica per le aziende. Ma perchè possa funzionare a dovere, le imprese devono darsi anche una ‘governance strategica’, individuando soluzioni organizzative e meccanismi per garantire la disponibilità e il buon funzionamento di sistemi e applicazioni Ict.
Sono questi alcuni temi affrontati dalla ricerca “Ict Security: quale governance ?”, condotta dell’Osservatorio Information Security Management della School of Management del Politecnico di Milano basata su di un’analisi empirica consistente in oltre 30 casi di studio relativi a grandi imprese di vari settori e su di una survey che ha coinvolto oltre 300 chief information officer.
Secondo l’indagine esistono, a livello di sicurezza, almeno quattro configurazioni organizzative con complessità crescente: il modello All in One, adottato dal 32% delle imprese coinvolte nella survey; il modello Ict Centric (introdotto nel 27% delle aziende); il modello Segregation (5%) e quello Multiplayer (20%).
Nel modello All in One a una sola unità organizzativa sono assegnate responsabilità come la definizione delle policy e delle procedure operative, la pianificazione e il controllo, la progettazione e l’identificazione dei sistemi e delle soluzioni, la loro implementazione e gestione operativa accanto al monitoraggio. Questa struttura è di solito nella direzione Ict, nell’area che si occupa di infrastrutture di rete. Il modello Ict Centric è applicato invece nelle aziende che distinguono tra attività di governo e operative. L’unità organizzativa responsabile del governo si occupa di definizione delle policy di dettaglio e delle procedure operative, di pianificazione e controllo, di progettazione e identificazione di sistemi e delle soluzioni, di monitoraggio. Le unità organizzative di Solutions e Operations, invece, hanno responsabilità sull’implementazione dei sistemi e delle soluzioni e sulla loro gestione operativa. In questi casi, la responsabilità della gestione degli apparati di sicurezza può ricadere in una struttura apposita o essere parte della responsabilità della struttura di Operations dell’Ict; l’attività di implementazione dei sistemi e delle soluzioni è spesso demandata alla divisione Solutions dell’Ict.
Un posizionamento alternativo c’è quando questa unità è collocata nella direzione Corporate Security, nata in molte aziende come struttura di sicurezza fisica. In questa situazione, o in quella in cui l’unità di governo è fuori dalla direzione Ict, il modello è il Segregation; i compiti operativi di Ict Security restano collocati nella struttura Ict. Conflitti tra le priorità dell’Ict Security e altre priorità dell’Ict sono gestiti tra il responsabile Ict e quello di Corporate Security o a livello di top management.
In alcune realtà la divisione tra la struttura di governo e quella operativa, soprattutto quando le strutture sono in direzioni aziendali diverse, può portare a un divario tra le soluzioni progettate dalla funzione di governo e la realtà Ict esistente che può condurre all’insuccesso alcuni progetti intrapresi. Per questo, alcune realtà hanno introdotto il modello Multiplayer, assegnando la responsabilità dell’attività di progettazione e/o identificazione dei sistemi e delle soluzioni a un’apposita struttura organizzativa in staff all’Ict, che ha il compito di costituire l’interfaccia privilegiata di corporate security nell’Ict.
L’importanza delle dimensioni e del settore industriale
C’è correlazione tra il modello scelto e le dimensioni della struttura Ict. L’All in One è il più diffuso in strutture in cui le dimensioni dell’Ict sono limitate; il modello Multiplayer è applicabile solo dove le dimensioni della struttura Ict sono significative.
Esiste anche una seconda correlazione, tra il modello utilizzato e l’area di appartenenza dell’azienda. La maggior parte delle imprese del settore media ha adottato un modello All in One; le realtà della grande distribuzione si dividono tra All in One e Ict Centric. Le imprese che gestiscono i sistemi bancari preferiscono il modello Ict Centric; quelle dell’area delle telecomunicazioni scelgono il Multiplayer.
La correlazione tra il settore in cui opera l’azienda e il modello organizzativo scelto può essere spiegata considerando le esigenze di ogni area industriale. Nella grande distribuzione il problema dei furti è più rilevante di quello delle frodi informatiche; nelle telecomunicazioni i rischi sono più connessi alla sicurezza Ict. In alcuni ambiti c’è correlazione tra frodi informatiche e frodi legate alla sicurezza fisica.
Possono esserci, per esempio, violazioni ai sistemi da postazioni interne all’azienda o furti di beni materiali che sono coperti tramite modifiche ai sistemi informativi.
Un altro elemento considerato è il modello di sourcing usato dall’azienda nel campo dei servizi Ict. Nei casi in cui l’azienda abbia optato per l’outsourcing, la divisione tra la componente di governance e quella operativa sembrerebbe naturale.
Influiscono sulla scelta del modello da adottare anche la sensibilità del top management e la sua percezione della rilevanza strategica dell’Ict Security, il livello di fiducia che il responsabile della corporate security ha costruito con il top management e il livello di Ict usato nello sviluppo di soluzioni di sicurezza fisica.
In molti casi l’evoluzione dell’organizzazione è legata alla reazione a fatti contingenti, come incidenti. Il verificarsi di questi eventi costituisce un elemento catalizzatore di cambiamento, che porta a modifiche della strategia di Ict security seguita.
Modelli in evoluzione
I modelli organizzativi adottati nelle aziende non sono statici, ma, soggetti a continui cambiamenti. Le imprese che iniziano a sviluppare sensibilità ai problemi della sicurezza informatica affidano, di solito, la responsabilità a chi gestisce l’infrastruttura e la rete; spesso, i professionisti che operano in questa unità hanno già affrontato il problema della scelta dell’architettura e degli apparati di protezione perimetrale e sono ritenute le persone che in azienda hanno più competenze.
Quando le dimensioni dell’azienda lo consentono e il management ha sensibilità sul tema, c’è la separazione tra la parte governance e quella operation e l’azienda sceglie un modello organizzativo di tipo Ict centric o Segregation. Il passaggio al Multiplayer si ha quando c’è difficoltà di allineamento tra governance e operation. Alcune realtà che hanno scelto il modello Multiplayer, infine, riunificano i ruoli, tornando al modello Ict centric o Segregation.
Analizzare rischi e benefici
Non c’è, però, un modello perfetto; ognuno ha rischi e benefici. Il modello All in One è il più snello, l’attribuzione di responsabilità è chiara e le risorse sono minime, non ci sono esigenze forti di coordinamento e non si ricorre al controllo da parte di terze parti; non c’è, però, separazione dei doveri. Nel modello Ict Centric, invece, c’è separazione tra operations e governance. In questo caso sono distinti chi stabilisce le regole e controlla e il responsabile dell’implementazione e della gestione.
Nei modelli Segregation e Ict Centric i conflitti di priorità sono gestiti tra il responsabile Ict e i dirigenti dello stesso livello o dal Top management. Il modello Multiplayer ha maggior separazione dei doveri, ma il rischio è di sovrapposizione di responsabilità e di ampie zone di grigio che possono portare a conflitti che, se non gestiti, possono causare il rallentamento dei processi decisionali.
