Tra i quattro modelli di Ict security applicati dalle imprese e individuati dall’Osservatorio Information Security Management della School of Management del Politecnico di Milano, il modello All in One, da noi analizzato in un precedente articolo (vedi ZeroUno n. 317 – ottobre 2008 e www.zerounoweb.it nell’area dedicata al Security Web Journal), è quello più semplice, in cui tutte le funzioni di Ict security sono accentrate in un’unica unità organizzativa. Questo modello, che può risultare vincente in un’azienda di dimensioni piccole, perde, tuttavia, in efficacia con il crescere dell’impresa e con l’aumento dell’importanza delle problematiche di sicurezza. In questo caso l’impresa, se vuole gestire l’Ict security in modo strategico, deve inevitabilmente iniziare a ragionare su modelli più complessi.
“Un primo modello più evoluto, derivato dall’All in One, è il modello Ict Centric, in cui responsabilità di governo e responsabilità della gestione operativa sono separate”, afferma Luca Marzegalli (in foto), Responsabile Scientifico dell’Osservatorio Information Security Management della School of Management del Politecnico di Milano e Responsabile dell’Unità Information Security del Cefriel.
“In questo modello”, prosegue Marzegalli, “la gestione dell’Ict security avviene all’interno della divisione Ict. Un’unità organizzativa, responsabile del governo, definisce le policy, le procedure operative e le regole da introdurre in azienda. Si occupa di pianificazione e controllo, di progettazione e identificazione dei sistemi e delle soluzioni, di monitoraggio”. Questa struttura non ha compiti operativi diretti; sono le unità organizzative di Solutions e Operations a mantenere, rispettivamente, le responsabilità dell’implementazione di sistemi e soluzioni e la gestione operativa dei sistemi e delle soluzioni.
“La transizione dal modello All in one a quello Ict centric, spesso è un processo lento”, commenta Marzegalli. “Di solito il modello è prima definito teoricamente; il responsabile dell’unità organizzativa che è chiamato a gestire il governo è in genere chi precedentemente gestiva l’Ict security dal punto di vista operativo”. La sfida, a questo punto, consiste nel trasferire le competenze ai colleghi che si occuperanno di Ict security da questo punto di vista, allo scopo di renderli realmente autonomi nella gestione operativa.
“La velocità della transizione dipende molto dalle caratteristiche personali dei professionisti coinvolti”, prosegue Marzegalli. “Se il responsabile è una persona dalle competenze molto tecniche, a volte tende a mantenere la propria operatività in modo diretto e a non cedere con facilità la gestione operativa ai colleghi. Quindi, per comprendere pienamente l’esistenza e l’efficacia di questa separazione sarebbe necessario entrare nel dettaglio di ogni singola realtà che applica il modello Ict centric, per capire quanto questa organizzazione trovi preciso riscontro nella gestione di ogni giorn1o”.
Pro e contro
Uno dei vantaggi del modello Ict Centric è rappresentato dal fatto che, essendo la gestione dell’Ict security inserita all’interno dell’Ict, è più semplice possedere una visibilità completa di quanto avviene e percepire in modo corretto qual è il grado di rischio a cui è sottoposta l’azienda. Anche i rapporti interni sono facilitati dalla presenza di una forte percezione e comune identità.
Uno degli svantaggi più rilevanti di questo modello può invece essere rappresentato dall’insorgenza di conflitti tra priorità di security e di altre priorità dell’Ict. Questi conflitti sono sanati dal direttore Ict all’interno dell’area dei sistemi informativi, senza un coinvolgimento più ampio del management aziendale. Un esempio tipico in questo senso può essere costituito dall’esigenza di avere rapidità di delivery e messa in produzione di nuove applicazioni, priorità spesso privilegiata dal direttore Ict, anche a rischio di tralasciare o trascurare importanti aspetti di sicurezza. Queste problematiche possono portare a valutare l’opportunità di introdurre altri tipi di modelli, come quello segregation che, come vedremo nei dettagli prossimamente, sposta la struttura di Ict security al di fuori dell’Ict e la colloca nella direzione Corporate security.
Interazione spinta con diverse unità organizzative
“Il modello Ict Centric è il più diffuso all’interno delle aziende prese in considerazione dalla ricerca [basata su circa 100 tra questionari e interviste ad aziende medio-grandi ndr], spiega Marzegalli. Tra le imprese che scelgono questo modello rientrano aziende della grande distribuzione e le banche. Nelle società del settore grande distribuzione la struttura di Ict security è spesso di dimensioni piuttosto limitate; nelle banche, invece, la struttura Ict security è di dimensioni più ampie e può coinvolgere, nel proprio interno, anche decine di persone. Quando la struttura diventa più complessa possono essere create unità organizzative all’interno dell’Ict security. Una tipica articolazione è basata su ambiti tecnologici della security (dalla sicurezza di rete alla sicurezza applicativa) e prevede spesso anche un’unità di staff dedicata a politiche e procedure. Altre unità possono essere dedicate a temi specifici dell’Ict Security, come l’Identity Management e il Disaster Recovery”.
La struttura di Ict Security, inoltre, interagisce con diverse unità organizzative. Un’area spesso coinvolta è quella legata al Fraud Management, che si occupa di gestire e investigare i tentativi di frode che sono svolti verso l’azienda, provenienti sia dall’esterno sia dall’interno.
Altro ambito coinvolto è quello che si occupa delle Prestazioni obbligatorie, quali la produzione, per l’autorità giudiziaria, su specifica richiesta, dei tabulati telefonici nel settore delle telecomunicazioni e dell’elenco dei movimenti bancari nel settore finance.
Un’ulteriore area è quella legale, che si occupa di compliance normativa, aspetti contrattuali dell’outsourcing, rapporto con l’autorità giudiziaria.
L’internal audit è spesso coinvolto nelle verifiche periodiche di compliance; questo avviene per esempio per gli aspetti legati alla certificazione di bilancio. Più in genere l’internal audit è coinvolto nella verifica del rispetto di normative e standard specifici.
Altra unità di interazione è quella di risk management che, dove presente, raccoglie le informazioni di dettaglio sull’esposizione ai rischi, sia di corporate security sia di Ict security, dandone visibilità al top management e suggerendo interventi prioritari.
Rapporti sono intrattenuti anche con l’unità Organizzazione e risorse umane. Le interazioni sono fondamentalmente intrattenute in rapporto alla normativa sulla privacy, soprattutto per quanto riguarda le decisioni di controllo delle attività dei dipendenti (quali uso di Internet e della posta elettronica), in rapporto agli aspetti procedurali per garantire il rispetto degli standard di security e in relazione alla sensibilizzazione del personale riguardo la rilevanza strategica dell’Ict security e dei rischi a essa connessi.
L’Ict Security può rivestire un ruolo importante anche in rapporto allo sviluppo di nuovi prodotti e servizi Ict Centric e nel garantire il regolare funzionamento delle operations, quando ricorrono a tecnologie Ict, in particolare nel caso in cui siano utilizzate componenti Ict standard (dalla connettività ai sistemi operativi).
In realtà spesso quest’area non rientra tra gli ambiti di responsabilità dell’Ict Security, il che comporta il rischio di risultare in parte o del tutto scoperta, come è emerso in alcuni casi analizzati. “Le aziende con una numerosità di staff Ict maggiore di una ventina di persone, dovrebbero essere dotate almeno di questo modello organizzativo”, commenta Marzegalli. “L’invito alle aziende che hanno scelto il modello All in One è quello di passare a questo modello, che potrebbe essere già considerato in una struttura Ict di 8-9 persone. A chi ha adottato questo modello, il consiglio è di fare attenzione che quanto avvenga giorno per giorno corrisponda al modello applicativo definito e che tutti i ruoli siano rispettati in modo concreto”.
Il modello Ict Centric in sintesi
-Nel modello Ict Centric responsabilità di governo e responsabilità della gestione operativa sono separate
-È il modello più diffuso tra quelli individuati dalla ricerca condotta dall’Osservatorio
-Le aziende della grande distribuzione e del settore finanziario sono tra quelle che maggiormente ricorrono a questo modello
-Uno dei vantaggi di questo modello è rappresentato dalla chiarezza di visione che si riesce ad ottenere grazie alla collocazione della gestione dell’Ict security all’interno dell’area Ict
-Uno degli svantaggi più rilevanti di questo modello può essere rappresentato dall’insorgenza di conflitti tra priorità di security e altre priorità, come la tempestività del rilascio in produzione.
-Quando le esigenze di sicurezza dell’azienda diventano più complesse, la struttura di Ict security può avvalersi di ulteriori unità organizzative nel proprio interno e interagire con ulteriori aree aziendali
