Chi ha già ha tentato di costruire un framework di risk information management sa che per portare a compimento il processo con successo è necessario eseguire un certo numero di passaggi, precisi e non facili.
Una volta determinate le esigenze di riservatezza e integrità, dovrebbero essere coinvolte le persone adatte e dovrebbero essere applicati i corretti controlli di processo e la tecnologia più idonea.
I controlli alle persone sono essenziali
Per i responsabili di sicurezza e le loro organizzazioni, i dipendenti possono essere gli asset più importanti o i più grandi vincoli nel perseguire il risk information management. I Cso (Chief Security Officer) possono lavorare con i dipendenti per sviluppare una buona cultura di sicurezza nei seguenti modi:
- Identity e access management. Definite i ruoli per i differenti utenti all’interno del vostro ambiente – dagli assistenti ai top manager – e specificate per tutti i dipendenti i privilegi di accesso fisici e logici. Una volta definiti questi ruoli, accertatevi che le persone dispongano dell’accesso adatto.
- Organizzazione delle informazioni di sicurezza. Ognuno deve essere responsabile della sicurezza. I Cso sanno che le loro organizzazioni devono affrontare problemi di sicurezza che vanno oltre la pura e semplice It; devono infatti gestire ogni forma di possibile rischio per le informazioni aziendali.
- Training e consapevolezza. Sviluppate un programma di marketing e di brand per la sicurezza. I dipendenti al di fuori dai gruppi che si occupano di privacy e di sicurezza non pensano all’information risk management ed è compito del Cso far sì che anche questi siano coinvolti, interessati e che pensino alla sicurezza.
I controllo tecnologici creano efficienze e fanno risparmiare tempo
I controlli, le verifiche di conformità, le risposte, le misure e il reporting dei controlli di sicurezza sono i primi candidati all’automazione, ma questo solo dopo che avete fatto il training al personale e avete definito i processi. Se escludete il personale e gli elementi di processo, tutto ciò che potrete fare sarà insufficiente e ben presto i processi si interromperanno. Per quanto riguarda la tecnologia, si possono identificare sette dominii.
- Network. Usate la tecnologia per rendere la rete “intelligente”. Sicurezza della rete significa mantenere le vostre informazioni al sicuro da chi sta all’esterno, proteggerla dalle persone non autorizzate e renderla sicura da ciò che vi transita.
- Database. Cifrate i campi sensibili del database, idealmente con un tool coordinato a livello di impresa. Mantenete stretti controlli sul vostro database attraverso il monitoring attivo, l’amministrazione delle vulnerabilità e i tool di crittografia.
- Sistemi. Definite precise strategie aziendali per proteggere i sistemi. Come con la protezione del database, ove necessario autenticate l’accesso ai dispositivi di memorizzazione e cifrate i dati in archivio.
- Endpoint. Proteggete la prima linea di difesa. Gli endpoint includono i desktop, i laptop e i dispositivi mobili. Tipicamente, sono i sistemi non aggiornati con le patch che vengono infettati. Per proteggere questi vulnerabili collegamenti della vostra catena, implementate tecnologie come antivirus, antispam, crittografia del disco, configuration management, firewall/IPS e forti autenticazioni.
- Infrastruttura a livello di applicazione. Riducete la vostra superficie di attacco. Nel 2006 le vulnerabilità che hanno interessato le applicazioni Web hanno rappresentato il 69% di tutte le vulnerabilità documentate. Per ridurre quella superficie di attacco, implementate le tecnologie di analisi di codice sorgente e un Web application firewall, che difenderà la vostra applicazione da richieste che esulano da quelle previste.
- Messaging e contenuti. Proteggete lo scambio delle informazioni di business. I Cso devono accertarsi che le informazioni sensibili siano cifrate e che il traffico Web in entrata e in uscita, l’email e l’instant messaging siano filtrati basandosi sulla conformità alle policy aziendali.
- Crittografia di dati. La sola cifratura dei dati non assicurerà una protezione sufficiente. Una strategia enterprise di crittografia con stretti criteri di autorizzazione è la chiave per la sicurezza dei dati, sia che i dati siano inutilizzati, in uso o in transito.
Il processo è la colla che unisce persone e tecnologia
Anche i migliori framework di risk information management diventano ben presto inutili se non esiste alcun processo volto a eseguire le policy. Forrester divide tale processo nei seguenti sette domini.
- Information risk management. Ciò significa ridurre, trasferire o accettare i rischi. Anzitutto introducete i processi, identificate, valutate e attenuate i rischi di sicurezza delle informazioni. Successivamente, definite i processi per dare una priorità ai vari tipi di rischi, controllarli e tracciarli. Avere un processo convenzionale di risk information management assicura che l’amministrazione sia informata almeno dei rischi critici e possa intraprendere le azioni appropriate per attenuarli, ridurli, trasferirli o eliminarli.
- Framework per la policy e la conformità. Fornite un concreto orientamento agli utenti. La scrittura della policy di sicurezza è soltanto il primo punto. La policy deve essere convertita in standard, in procedure e nell’implementazione di linee guida tecniche..
- Information asset management. Molte aziende si affidano troppo pesantemente alla tecnologia per gestire gli asset di dati. Per rimediare a ciò, sviluppate dei processi per definire la proprietà dell’asset, per essere aiutati alla classificazione dell’asset, per controllare l’asset durante il suo ciclo di vita e accertare un corretto mantenimento o la più adatta cancellazione.
- Business continuity e disaster recovery. I Cso devono sviluppare un insieme di processi per mantenere e controllare i rischi di business e per accertarsi siano disponibili sistemi ridondanti e personale alternativo nel caso se ne abbia bisogno.
- Gestione delle minacce e degli incidenti. Molti Cso rimangono focalizzati sulle minacce all’infrastruttura, mentre la maggior parte dei rischi viene dalle vulnerabilità delle applicazioni.
- Sicurezza fisica e ambientale. Non importa quanto sofisticata sia la vostra sicurezza digitale, se le protezioni ai vostri “cancelli” non controllano costantemente l’accesso al vostro ambiente fisico, non sarete mai sicuri. Per essere certi della continua disponibilità di ogni struttura, le attrezzature e le facility hanno bisogno di una manutenzione periodica e di adeguati controlli dell’ambiente, come il calore, la ventilazione, l’aria condizionata e i generatori.
- Sviluppo dei sistemi e operation management. La sicurezza non deve essere un aspetto secondario. Accertatevi sia considerata sin da subito: in questo modo potete risparmiare tempo, sforzi e soldi. Soddisfare i requisiti, periodiche revisioni architetturali, la garanzia della qualità e i controlli di accesso assicurano che un sistema e le sue applicazioni siano adeguatamente protetti.
Adottare un metodo top-down
La sicurezza è un business complicato ed è vitale individuare un metodo semplice per scoprire e definire le priorità. Riunendo le persone, gli elementi di processo e la tecnologia di sicurezza in una policy specifica, le organizzazioni possono stabilire una struttura che controlla efficacemente, misura e produce report sui controlli e sulla conformità dell’azienda alle policy di sicurezza.