Approfondimenti

Osservatorio – Una governance per l’ICT Security

Spesso il livello di sicurezza delle aziende dipende dalla sensibilità personale degli interlocutori coinvolti, dal top management al sistemista, ai fornitori esterni. Per garantire l’efficacia delle soluzioni adottate è invece necessario impostare una strategia che comprenda anche i diversi aspetti gestionali

Pubblicato il 17 Ott 2011

Le informazioni rappresentano una risorsa vitale per qualsiasi
azienda. La distruzione, la compromissione o l’accesso non
autorizzato al patrimonio informativo aziendale può causare
danni elevatissimi al business, fino a comprometterne la
sopravvivenza stessa, come dimostrano alcuni degli eventi e degli
scandali più eclatanti degli ultimi anni (frodi finanziarie,
spionaggio industriale, falsificazioni dei dati di bilancio,
intercettazioni non autorizzate, ecc.).

I fatti di cui sopra sono quasi sempre riconducibili al tema
della sicurezza delle informazioni. L’Information Security
può essere quindi definita come l’insieme delle misure –
di natura tecnologica, organizzativa e legale – volte a impedire
o comunque ridurre al minimo i danni causati da eventi
intenzionali
(crimini, frodi) o non
intenzionali
(errori umani, fenomeni naturali)
che violano la confidenzialità, l’integrità e la
disponibilità del patrimonio informativo aziendale
,
indipendentemente dal modo in cui tali informazioni siano
comunicate, e dal supporto fisico sul quale siano custodite.

L’ICT Security è generalmente considerata una componente
dell’Information Security, focalizzata sulla protezione di
tutte le informazioni gestite dai sistemi informativi e trasmesse
attraverso le reti aziendali e Internet. In realtà questa
definizione o, meglio, questa concezione dell’ICT Security
per essere completa deve tenere conto non solo della protezione
(confidenzialità, integrità, disponibilità) del dato
elementare e delle informazioni proprietarie
dell’organizzazione, ma anche della protezione delle
infrastrutture e delle applicazioni ICT da attacchi o
manomissioni che ne possano compromettere il regolare
funzionamento. La compromissione
dell’infrastruttura può infatti portare al blocco
temporaneo dei processi aziendali, causando un danno economico
all’azienda
. A questo proposito, uno dei temi
maggiormente discussi negli ultimi anni riguarda la sicurezza del
dato relativa a servizi di Software as a Service e, più in
generale, di Cloud Computing. Una tra le principali barriere
all’adozione di questi nuovi paradigmi è proprio la
necessità e insieme la difficoltà a garantire la sicurezza
informatica. Parallelamente, si somma la riluttanza da parte
delle aziende ad avere i propri dati, non solo lontani dal
perimetro dell’azienda stessa, come già succede, ma
all’interno di una nuvola, e quindi con la problematicità
di tracciare la posizione degli stessi.

Si comprende pertanto che il tema dell’ICT Security
è una componente fondamentale sia dell’Information
Security sia di quella che si può definire “Business
Security”
. Oltre a dover gestire i progetti e i
servizi specifici, i responsabili dell’ICT Security devono
quindi garantire la giusta componente di sicurezza in ogni
progetto in cui si faccia uso di soluzioni ICT e quindi,
considerata la sempre maggiore pervasività delle tecnologie
digitali, praticamente in tutte le attività aziendali.

Si può affermare che esistono due macro-aree distinte di
attività:

  • la prima include le attività e i progetti specifici di ICT
    Security (sicurezza infrastrutturale delle reti, patching dei
    sistemi informativi, profilazione e autenticazione utenti, ecc.);
  • la seconda comprende tutte le attività volte a garantire il
    rispetto dei requisiti di sicurezza all’interno di tutte le
    soluzioni ICT.

Inoltre, la gestione delle attività legate all’ICT
Security è piuttosto complessa, per diversi motivi, tra cui la
costante evoluzione tecnologica, che offre nuove opportunità
alle imprese da un lato, ma dall’altro le espone
continuamente a nuovi rischi, legati a nuove vulnerabilità e a
nuove minacce che vengono continuamente messe a punto dagli
“attacker”. Vanno inoltre valutati gli impatti
sull’organizzazione nonché sul modo di lavorare delle
persone, con i conseguenti rischi di resistenza o, comunque, di
inerzia al cambiamento. Risulta quindi evidente
l’importanza di dotarsi di un’appropriata governance
dell’ICT Security, che assicuri la giusta rilevanza
strategica
al tema, fattore chiave per ottenere adeguati
livelli di efficacia ed efficienza delle iniziative. Nella
letteratura, così come nella prassi, non vi è piena convergenza
sulla definizione di ICT Security Governance né sul relativo
spettro di attività.

Cercando di mettere insieme i principali approcci e contributi,
ne emerge che obiettivo dell’ICT Security Governance è
quello di dotare l’impresa di:

  • una strategia di ICT Security ben definita e collegata agli
    obiettivi di business;
  • una struttura organizzativa coerente agli obiettivi;
  • meccanismi di pianificazione e controllo;
  • metodologie di risk analysis/management appropriate;
  • policy che comprendano tutti gli aspetti legati alla
    strategia, al controllo e alla regolamentazione inerente
    l’ICT Security;
  • standard di riferimento che assicurino procedure e rispetto
    delle policy;
  • processi di monitoraggio e controllo che assicurino feedback
    tempestivi sullo stato di implementazione dei programmi, sulla
    loro efficacia, nonché sulla compliance alle policy e alle
    normative di riferimento;
  • meccanismi organizzativi che consentano un aggiornamento e un
    miglioramento continuo delle policy e delle procedure e, quindi,
    una costante riduzione del livello di rischio complessivo.

Da questo elenco risulta abbastanza chiaramente come vi siano
alcuni elementi di natura più strategica affiancati da aspetti
di carattere più gestionale. In particolare, i primi tre punti
fanno riferimento a quella che si può identificare come la
Governance strategica dell’ICT Security.

Le leve principali che possono essere utilizzate per la
progettazione della Governance strategica dell’ICT Security
sono fondamentalmente tre:

  • le scelte (macro)organizzative, quali la creazione di unità
    organizzative ad hoc, l’attribuzione di ruoli e
    responsabilità, le scelte di sourcing strategico, ecc.;
  • la configurazione dei processi strategici, primo fra tutti i
    processi di pianificazione e controllo;
  • le risorse umane.Lo sviluppo di profili di competenze
    appropriati per presidiare i diversi ambiti di responsabilità è
    infatti di fondamentale importanza nel determinare il successo di
    tali attività.

Seppur l’ICT Security, come più in generale l’ICT,
sia a supporto di tutti i processi delle aziende, spesso
l’approccio alla sicurezza mantiene un carattere reattivo e
non proattivo. Il livello di maturità della Governance
dell’ICT Security, infatti, è sensibilmente inferiore a
quanto avviene rispetto ad altri temi legati all’ICT e
pertanto spesso il livello di sicurezza delle aziende dipende in
maniera significativa dalla sensibilità personale degli
interlocutori coinvolti, dal top management al sistemista, ai
fornitori esterni. Ma non sempre tale modo di operare è in grado
di garantire l’efficacia e l’affidabilità nel tempo
delle soluzioni adottate.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!


Argomenti


Canali

Articoli correlati

Articolo 1 di 2