Da Gartner Group una serie di linee guida per gestire la sicurezza all’interno delle imprese.
“La security non è un lucchetto chiuso, ma un lucchetto aperto dalla chiave giusta usata dalla persona giusta”. Mauro Orlando manager di Gartner Consulting sintetizza così, parlando in un convegno Smau, la gestione della sicurezza all’interno delle imprese. Sottolineando il concetto di una visione olistica della sicurezza che deve permeare l’azienda nel suo complesso.” La sicurezza riguarda tutta l’organizzazione – spiega il manager – non solo i sistemi informativi, il top management o una singola area”.
E forse questo il principale motivo per il quale molti progetti di sicurezza finiscono poi col fallire. “Si fanno spesso degli interventi parziali, scoordinati o intempestivi. La regola d’oro invece è bilanciare singoli interventi coordinati, piuttosto che fare un singolo grosso intervento”.
Per il security manager il nodo da sciegliere è proteggere l’organizzazione e nel contempo permettere al business di operare senza intoppi. Un equilibrio non facile e che Gartner vuole contribuire a trovare con otto consigli.
Il primo passo da affrontare è la definizione di una strategia di sicurezza. “La strategia di sviluppo del business deve guidare le scelte di sicurezza”, spiega Orlando “tenendo presente che la gestione dei rischi è una responsabilità dell’organizzazione nel suo insieme”.
Il secondo riguarda la security governance. E’ estremamente importante che l’organizzazione della sicurezza sia un componente integrato nell’organizzazione. Non deve essere solo appannaggio dell’It o delle operation o di un comitato centrale.
Il terzo punto ha a che fare con l’investimento e il payback. “Gli investimenti in sicurezza vanno giustificati e i costi opportunamente evidenziati”. Il “valore” della sicurezza insomma va misurato.
Ci sono poi le policy e gli standard. “Devono essere gestite secondo un unico impianto“. I destinatari della policy vanno individuati, classificati e gestiti in gruppi “omogenei” in modo da disegnare le regole per ogni area e non stendere piani e manuali di decine e decine di pagine valide per tutti ma che nessuno poi leggerà. Da sottolineare il fatto che anche le policy seguono un ciclo di vita: sviluppo, approvazione, implementazione, verifica conformita’ e manutenzione sono tutte attività da non sottovalutare. Soprattutto l’approvazione è importante perché ci deve essere un’approvazione formale (non solo sostanziale) di tutti i principali attori coinvolti. “Le persone non possono essere bloccate dalle policy” afferma in questo senso Orlando.
Quinto punto, l’awareness e la cultura. Come già accennato la cultura della sicurezza è una miscela di componenti che deve permeare l’intera impresa.
Il sesto punto riguarda l’auditing. Bisogna prevenire, controllare ed eventualmente reagire alle minacce. “La reazione si basa su un processo di investigazione che non ha l’obiettivo di trovare il colpevole, ma di verificare se la procedura è valida o va rivista”.
E poi c’è l’architettura. Per usare una metafora, bisogna passare da un’architettura a “fortezza” dove è difficile entrare, ma una volta che si è entrati si possono fare disastri a quella ad “aeroporto”, dove crescono via via i livelli di controllo.L’architettura quindi va progettata in un’ottica di almeno 12-18 mesi e deve (anche se per certi aspetti è una contraddizione) essere nel contempo agile e robusta.
Infine la tecnologia. La conoscenza delle caratteristiche delle tecnologie hardware e software installate è basilare. Va costruito un centro di competenza apposito e questa attività non può essere delegata all’esterno. “I prodotti vanno selezionati secondo un processo rigoroso e il rinnovo tecnologico è fondamentale”, chiude Orlando.