Nel marasma di sigle di cui nemmeno gli addetti ai lavori riescono a definire nitidamente i confini operativi, ci ritroviamo dinanzi ai cosiddetti Chief Information Security Officer (CISO), ai Chief Technology Officer (CTO) e ai Chief Information Officer (CIO). Sono queste le persone che nelle organizzazioni sono responsabili della protezione dei dati e dei sistemi informativi. È un compito che è diventato sempre più impegnativo negli ultimi anni, dato l’aumento della trasformazione digitale, del lavoro a distanza e di una matrice di minacce informatiche in continua espansione.
Anche le piccole e medie imprese che si trovano a subire i principali attacchi informatici (dal ransomware agli attacchi di phishing), la sicurezza non è più un fattore secondario.
Quali sono i compiti di questi “guardiani” della sicurezza delle informazioni? Cosa riserva il futuro a questi professionisti alle prese con casi sempre più critici?
La responsabilità principale di un leader della sicurezza informatica è redigere politiche, procedure e pratiche basate sulla gamma di minacce affrontate da un’organizzazione, garantendo al contempo che siano rispettate. Ciò include, a titolo esemplificativo (ma non esaustivo), le policy per la gestione delle password, il controllo degli accessi, la risposta agli incidenti e altro ancora.
Sono loro a tenere le redini quando si tratta di difesa informatica e, di conseguenza, a fare il possibile (e l’impossibile) per costruire una cultura della sicurezza e della protezione con il corretto utilizzo di politiche e procedure.
Disponendo di policy solide e assicurandosi che vengano rispettate, la popolazione aziendale dovrebbe comprendere l’imperativo della sicurezza e le proprie responsabilità individuali.
Le soluzioni certo non mancano. Per le imprese è disponibile un’ampia gamma di nuove tecnologie di sicurezza innovative, volte a mitigare le minacce informatiche. Tuttavia, l’implementazione efficace di queste tecnologie è uno sforzo abbastanza serio che richiede una vasta esperienza in materia.
Il top management si aspetta che questi personaggi prestino la loro esperienza e competenza in questo senso e aiutino nella selezione degli strumenti e dei fornitori giusti.
Questo è un processo senza fine, soprattutto perché le minacce continuano a evolversi e vengono adottate nuove tecnologie, spesso con una nuova serie di vulnerabilità. Di conseguenza, è essenziale che i professionisti della sicurezza informatica rimangano costantemente all’erta.
La governance della sicurezza implica il garantire che i processi vengano rispettati e che eventuali vulnerabilità emerse vengano affrontate immediatamente. Per poterlo fare occorre condurre costantemente controlli di sicurezza con estrema regolarità, esaminando i rapporti sugli incidenti e intraprendendo test di penetrazione pianificati per identificare le vulnerabilità e testare le misure di sicurezza.
Ovviamente, ogni sistema, strumento e tecnologia deve essere sottoposto a test di vulnerabilità prima di essere implementato in un’organizzazione.
Le grandi organizzazioni lavorano con numerosi fornitori esterni durante il normale svolgimento delle attività, con molte di queste aziende che accedono regolarmente a sistemi, file e dati interni. Questa “permeazione” dei fornitori evidenzia aspetti di sicurezza che non sempre vengono riconosciuti come invece si dovrebbe – ai security manager qualunque sia la sigla utilizzata nella singola organizzazione.
Quando si firma un contratto con qualsiasi nuovo fornitore, è ormai comune includere clausole relative alla sicurezza delle informazioni e agli standard di protezione dei dati, insieme a vari test e audit per esaminarne lo stato. Ciò richiede il coinvolgimento del dirigente o del funzionario che ha la responsabilità della sicurezza informatica.
I contratti devono inoltre specificare le linee guida per rispondere alle violazioni, divulgarle per assicurarne l’osservanza, garantire che i dati dell’organizzazione e le informazioni sui clienti rimangano al sicuro e che non vi siano collegamenti allentati lungo la catena operativa, amministrativa e logistica.
La vastità del “ring”, in cui i professionisti della sicurezza delle informazioni devono indossare i guantoni, impone loro di rimanere aggiornati sui vari standard di sicurezza globali, normative e requisiti di conformità
Poiché i rischi per la sicurezza informatica continuano a moltiplicarsi, si deve considerare che i requisiti normativi in tutto il mondo cresceranno di conseguenza per salvaguardare clienti, dipendenti e aziende: la responsabilità di rispettare tutto questo spetta al CISO o al CTO o al CIO di un’organizzazione.
Non bastasse quel che si è appena detto, una considerazione è d’obbligo se si tiene conto che ogni nuova area geografica comporta la propria quota di leggi e regolamenti che devono essere rispettati. E’ fin troppo naturale, quindi, riconoscere che i professionisti della sicurezza informatica giochino un ruolo enorme quando l’organizzazione industriale commerciale o finanziaria lavora abitualmente in contesto internazionale e deve fare i conti con leggi e regolamenti spesso in conflitto tra loro.
L’orizzonte a livello organizzativo si è quindi ampliato e questi “signori” sono chiamati a supportare in maniera ogni giorno più intensa ogni processo decisionale garantendo la valutazione dell’impatto di qualunque iniziativa.
Gli auguri più sinceri a CISO, CTO e CIO sono d’obbligo…
Con molta probabilità, lo avete usato anche voi. Magari oggi. Se questo è il caso, la vostra presentazione è una delle 30 milioni che vengono create ogni giorno...
Leggi tutto
