Affinché ogni IT manager possa operare con successo per un lungo periodo, è necessario che effettui valutazioni periodiche della sinergia fra la sua strategia di business e quella della sicurezza.
Importanti eventi come ad esempio le acquisizioni non dovrebbero essere la sola occasione in cui vengono fatte tali valutazioni; in seno a un’azienda accadono costantemente dei cambiamenti e sorprende quanto velocemente possa svilupparsi una disconnessione.
In questo articolo, vedremo quali “business event” possano richiedere una revisione della strategia di sicurezza della rete, cosa tale revisione dovrebbe includere e come possono essere evitati dei passi falsi nei confronti del management.
Quando rivedere le strategie di sicurezza?
Le sostituzioni e le promozioni fra i dirigenti, o magari l’inizio dell’utilizzo di un prodotto o di un servizio, possono cambiare rapidamente i driver di un determinato business. Ogni volta che un’azienda subisce un tale cambiamento, è essenziale che la strategia di security e le policy IT cambino in modo da fornire il tipo di sicurezza che l’evoluzione dell’organizzazione richiede.
Un esempio è una grande organizzazione che per la prima volta ha reso accessibili online molti dei suoi prodotti e servizi. Malgrado il successo del cambiamento da una strategia di vendita “tramite catalogo” a un sito di e-commerce, tale azienda ha drasticamente incrementato la quantità di informazioni personali che consentono di identificare un individuo, sia nella rete interna sia in Internet.
La policy di sicurezza della rete ha dovuto perciò essere aggiornata al fine di rendere sicuro questo cambiamento nel traffico. Tutti i collegamenti di rete al database dei clienti sono stati cifrati, i diritti di accesso degli utenti della rete sono stati rivisti, e modificati ove necessario, e l’organizzazione ha cominciato a testare vari tool di exrusion detection dei dati.
Comunicare la strategia a tutti (e in fretta)
Per evitare una strategia di sicurezza disallineata, l’IT manager deve stare al passo con con le differenti divisioni e con le loro strategie, Ma anche con il modo in cui ciascuno di tali divisioni sta pianificando di perseguire quelle strategie.
Se ci si assicura che tutte le parti siano allineati sia in relazione al business sia alle necessità di sicurezza, si possono fare scelte più consapevoli quando si acquistano o si implementano tecnologie di sicurezza. Per esempio, se la security è coinvolta nella fase iniziale di una nuova iniziativa di business, la stessa security può essere progettata in modo che sia implementata all’inizio del progetto, un metodo sempre più efficace che non provare a coinvolgere la sicurezza nelle fasi finali.
I componenti chiave di qualsiasi strategia di sicurezza
L’IT manager dovrebbe chiedersi se la strategia di sicurezza può:
- Proteggere i dati, sia stazionari sia in transito attraverso la rete, secondo una precisa classificazione
- Limitare le nuove e minacce emergenti
- Massimizzare le risorse fornendo servizi in sicurezza
- Soddisfare le conformità e i requisiti normativi
Convincere il management ad approvare la nuova strategia di sicurezza
Tutti i maggiori cambiamenti alla corrente strategia di security necessitano del supporto chiave dei top manager e devono essere controfirmati e supportati a livello di board. Le nuove iniziative di sicurezza che richiedono budget addizionali è più probabile siano approvate se coinvolgono il rischio e la conformità, due driver importanti per la governance. Ad esempio se il board ha chiara la responsabilità legale di un’adeguata protezione dei dati dei clienti, è più “facile” far approvare risorse aggiuntive.
Un cambiamento nella politica di sicurezza richiede spesso nuovi prodotti o servizi. E tali prodotti o servizi non sono gratuiti. Così la chiave per aumentare il budget di sicurezza, è di provare a presentare una strategia modificata come componente di un’iniziativa volta al risparmio dei costi, come per esempio i progetti tecnologici che migliorano l’efficienza e riducono i costi generali.
È essenziale, tuttavia, che il team di sicurezza valuti pienamente la tolleranza al rischio dell’organizzazione. Le strategie di sicurezza e di business il più delle volte divergono quando un team di sicurezza e i responsabili del business hanno idee differenti su quale sia l’appropriato livello di rischio dell’azienda.
Ciò accade spesso quando un dirigente appena assunto viene da un’industria differente ed è abituato a operare all’interno di un diverso ambiente di rischio. Quando i team non sono della stessa opinione, le difese sono sovra o sotto stimate e i budget vengono sprecati.
È una sfida trovare una strategia di sicurezza capace di allinearsi con i business plan. Le modifiche della policy richiedono la comunicazione e la cooperazione fra tutti i reparti e la chiave è riassicurare che la strategia di sicurezza sia vista come un abilitatore del business e non un disabilitatore.
