Come si integra la funzione sicurezza all’interno dei sistemi informativi?

Lavoro nella direzione dei sistemi informativi di un’importante azienda italiana e mi occupo in particolare di sicurezza. L’organizzazione della nostra struttura e molto complessa e e mi chiedevo se esistono dei modelli organizzativi nei quali l’area s …

Lavoro nella direzione dei sistemi informativi di un’importante azienda italiana e mi occupo in particolare di sicurezza. L’organizzazione della nostra struttura e molto complessa e e mi chiedevo se esistono dei modelli organizzativi nei quali l’area sicurezza è preponderante. Vorrei poi capire in che modo la divisione sicurezza It si interfaccia con le altre aree dei sistemi informativi.

La School of Management del Politecnico di Milano, in collaborazione con il Cefriel, ha recentemente presentato il rapporto Information Security Management che fa proprio il punto sulle attività della sicurezza Ict.

In particolare, secondo Luca Marzegalli, responsabile scientifico dell’Osservatorio, le principali attività della sicurezza Ict sono relative a:

  • definizione delle policy e delle procedure operative,
  • pianificazione e controllo delle attività,
  • progettazione e identificazione delle tecnologie e dei sistemi, alla loro implementazione e gestione operativa,
  • monitoraggio di tutti i singoli componenti

Si tratta di un complesso insieme di procedure, che necessita di competenze ad hoc e trasversali oltre che di una conoscenza approfondita delle reti, dei processi interni all’azienda e delle interazioni tra l’organizzazione e gli attori esterni, come clienti, fornitori e partner.

Schematizzando si possono individuare quattro configurazioni di complessità crescente che mettono in luce i riflessi organizzativi nella scelta dei team legati alla sicurezza Ict: All in one, Ict centric, Segregation e Multiplayer

Organizzazione “All in one”
Il modello all in one si caratterizza per la concentrazione di tutte le attività legate alla protezione dei sistemi informativi in un’unica organizzazione, tipicamente l’unità operativa della funzione Ict. «Una scelta fondamentale, in questo caso – chiarisce Marzegalli – è capire dove collocare la parte di governo, se internamente o esternamente alla struttura informatica.

Organizzazione “Ict centric”
La configurazione Ict Centric prevede, invece, il posizionamento dell’unità di governo della sicurezza in staff alla direzione sistemi informativi. Questo team si occupa tipicamente delle attività di governo e progettazione delle soluzioni, demandando lo sviluppo applicativo e la gestione operativa alle diverse aree tecnologiche.

Organizzazione “Segregation”
Un’alternativa percorribile è quella della Segregation, nella quale l’unità di presidio della sicurezza informatica è collocata al di fuori della direzione Ict, generalmente all’interno della direzione “corporate” della sicurezza, nata in molte realtà con la responsabilità di gestire la protezione degli asset tangibili, quindi la cosiddetta sicurezza fisica. In questo caso, le attività di governo, e spesso anche la selezione delle soluzioni, sono affidate a chi ha in carico la sicurezza fisica mentre all’Ict rimangono sviluppo ed esercizio. «Eventuali conflitti – sottolinea -Marzegalli, tra le priorità dell’Ict security e quelle dell’Ict dovranno essere gestiti tra il Cio e il responsabile a livello corporate della tutela dei dati».

Organizzazione “Multiplayer”

Il quarto profilo, denominato Multiplayer, introduce un ulteriore livello di separazione, assegnando la responsabilità dell’attività di progettazione e identificazione delle soluzioni a un’apposita struttura organizzativa in staff all’It, che avrà il compito di costituire l’interfaccia privilegiata per le materie della tutela. Questo modello prevede che le attività di governo siano attribuite a una o più unità organizzative della funzione sicurezza corporate (ovvero quella che si occupa della sicurezza fisica), mentre la progettazione delle soluzioni è assegnata a un’apposita unità di protezione It, collocata all’interno della divisione Ict. Sviluppo e gestione delle attività sono, invece, attribuite alla corrispondente funzione informatica.

A determinare la scelta dei diversi modelli organizzativi, sono soprattutto le dimensioni della direzione Ict. Ecco che, ovviamente, la configurazione all in one risulta la più adottata nelle strutture con dimensioni dell’organizzazione Ict limitate, mentre la Multiplayer è presente laddove le dimensioni della struttura informatica siano particolarmente significative.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome