1. Bilanciare il livello di rischio con il livello di sicurezza da adottare. E’ necessaria l’elaborazione di un piano per la sicurezza che prenda in esame policy, procedure e tecnologie, ma non si deve mai perdere di vista gli obiettivi di …
1.
Bilanciare il livello di rischio con il livello di sicurezza da adottare.
E’ necessaria l’elaborazione di un piano per la sicurezza che prenda
in esame policy, procedure e tecnologie, ma non si deve mai perdere di vista gli
obiettivi di business aziendali e, soprattutto, lo sforzo nel disegno e deployment
di una infrastruttura di sicurezza dovrà essere commisurato al rischio
che si corre e all’importanza delle risorse che si vogliono proteggere.
2. Non partire da “un foglio bianco” ma fare riferimento
a standard noti. Lo sforzo di molti esperti di sicurezza ha contribuito
negli anni a definire diversi standard di settore che dettano requisiti e linee
guida più che adeguate. Alcuni di essi sono stati definiti per contesti
molto ampi, mentre altri sono stati stilati pensando a contesti specifici (esempio:
medico, finanziario). E’ sufficiente riferirsi allo standard più
adeguato al proprio contesto aziendale per definire e implementare un adeguato
sistema di sicurezza.
3. Classificare dati e risorse. Un’adeguata classificazione
di dati e risorse permette da un lato di stabilire le corrette priorità
relativamente al livello di rischio che si corre in caso di compromissione,
dall’altro di scegliere correttamente i meccanismi di sicurezza da implementare.
E’, ad esempio, del tutto lecito che un utente sia soggetto a livelli
di autenticazione e autorizzazione via via più robusti mano a mano che
accede a risorse più critiche e con alto valore aziendale, seppur si
possa trattare di risorse di propria pertinenza.
4. I pilastri classici della sicurezza continuano a essere sempre in
primo piano: confidenzialità, integrità, disponibilità,
non ripudio. E’ chiaro che nel far sì che tali pilastri vengano
correttamente implementati rivestono un’importanza fondamentale gli aspetti
legati all’autenticazione di utenti e sistemi, all’autorizzazione
nell’accesso a risorse aziendali, alla cifratura e verifica di integrità
dei dati, alla verifica della validità di certificati e firme digitali,
a sistemi di storage robusti e affidabili, al controllo dei log dei diversi
sistemi coinvolti in un’attività o transazione.
5. Bilanciare l’impatto di un’infrastruttura di sicurezza
con l’operatività. Un sistema di sicurezza dovrebbe, in
linea di principio, essere robusto, avere un impatto minimo su tutta l’organizzazione
aziendale, essere trasparente ed essere un abilitatore per il business aziendale
e non un ostacolo. Soprattutto per aziende che offrono servizi su larga scala,
la scelta di un sistema di sicurezza dovrebbe, ad esempio, tener conto dell’operatività
dell’utente finale e della facilità d’accesso ai servizi
offerti e non vessare l’utente stesso. In altre parole, deve esserci un’alta
accettabilità da parte dell’utente finale proprio perchè
rischia di rimanere l’anello più debole della catena.
6. Approccio alla sicurezza basato su più livelli.
Un esempio in ambito finanziario è forse quello che calza meglio: il
fatto di potersi avvalere di un servizio antiphishing, antipharming, unito al
fatto di poter autenticare i propri utenti in maniera più o meno forte
a seconda della categoria e tipologia di transazioni effettuate, unito al fatto
di monitorare costantemente l’operatività transazionale e verificare
se vi sono scostamenti sensibili da un “profilo operativo tipo”,
tutto ciò determina un’attuazione a più livelli adeguata
ed efficace dell’infrastruttura di sicurezza adottata.
7. Tecnologie mature e nomi noti del settore. Sempre più
spesso si scelgono vendor, partner e tecnologie con la consapevolezza che non
sarebbe, eventualmente, molto semplice una loro sostituzione. Questo non perchè
tale sostituzione sarebbe difficile operativamente e/o tecnicamente, ma semplicemente
perché l’impatto su costi e disservizi potrebbe essere pesante.
E’ bene pertanto affidarsi a nomi che sono da tempo presenti sul mercato,
con tecnologie mature e che offrono ben più ampie garanzie.
8. Ricerca della consulenzialità e non della semplice fornitura.
Le regolamentazioni e gli standard evolvono o addirittura cambiano, le tipologie
di minacce si modificano nel tempo e diventano sempre più sofisticate,
lo stesso comportamento degli utenti evolve. Bisogna pertanto ricercare nella
scelta di un partner o di un vendor la presenza di un adeguato livello di consulenzialità,
che permetta di rendere molto più efficace la scelta aziendale.
9. Revisione regolare e costante di tutta l’infrastruttura di
sicurezza. Pur facendo un ottimo lavoro iniziale, non bisogna assolutamente
dimenticarsi che proprio nel nostro settore i cambiamenti sono continui. In
adattamento all’evoluzione di nuove esigenze di business, rivisitazioni
regolari di policy e procedure nonchè l’adozione di adeguati meccanismi
di monitoring portano a un continuo ed efficace adattamento della nostra infrastruttura
di sicurezza..
10. In conclusione: chiarezza degli obiettivi di business,
corretta classificazione e definizione dei livelli di rischio, scelta appropriata
di consulenti che ti guidano nell’adozione e recepimento di regolamentazioni
e standard, tecnologie mature, vendor noti, partner competenti. Sono questi
gli ingredienti minimi per un’efficace sistema di sicurezza aziendale
attraverso il quale far crescere i propri profitti.