Il volto organizzativo della cyber security
La classica distinzione tra l’area tecnologica e l’area umana della cyber security non è sufficiente per definire la complessità delle attività necessarie per garantire la sicurezza di un’infrastruttura: per questo abbiamo introdotto un terzo volto della cyber security, quello organizzativo, che riguarda direttamente l’impresa e le sue scelte.
L’indispensabile collante tra il volto umano e quello tecnologico all’interno della nostra distinzione dei tre volti della sicurezza informatica è il volto organizzativo, che coinvolge tutta la direzione aziendale.
Il volto organizzativo della cyber security si occupa infatti di far conciliare i bisogni e le peculiarità dell’azienda con le necessità legate alla sicurezza informatica. Si pensi per esempio alla definizione del budget: guardando al solo lato tecnologico, un IT manager particolarmente prudente potrebbe per assurdo chiedere l’equivalente del fatturato annuale dell’azienda solo per acquistare firewall, software, consulenze, formazione e altri prodotti e servizi in difesa dell’infrastruttura. Non avrebbe però alcun senso portare le spese per la cyber security a una soglia tale da far fallire l’impresa che si desiderava proteggere. Qui entra in gioco il volto organizzativo, vale a dire l’assunzione equilibrata di rischi volta ad avere uno stanziamento economico congruo a fronte di un livello accettabile di sicurezza.
O ancora, si consideri la scelta dei fornitori: la scelta fatta dall’IT manager potrebbe essere dettata unicamente dall’analisi dei criteri tecnici. L’azienda, da parte sua, potrebbe invece avere politiche ben chiare sulla scelta dei fornitori, le quali potrebbero tenere in considerazione anche criteri relativi alla sostenibilità ambientale o alla territorialità. Ecco allora che diventa premiante poter contare su una solida organizzazione interna, per trovare un vendor che, a conti fatti, riesca a soddisfare al meglio tutti i requisiti, tecnici e non.
Le principali attività sono:
Budget congruo dell’IT: la corsa al risparmio, quando si parla di sicurezza informatica, è decisamente rischiosa. Conti alla mano è sempre meglio prevenire che curare, stanziando fin da subito un budget adeguato per la protezione dell’infrastruttura IT. Un risparmio iniziale potrebbe infatti portare a perdite decisamente maggiori sul lungo termine.
Certificazioni/framework: ci si riferisce all’adozione di standard collaudati e riconosciuti che dimostrano un livello di attenzione alto alla cyber security. Si parla per esempio della certificazione ISO 27001, nonché delle certificazioni dedicate alla formazione specifica del personale (tecnico e non);
Policy: è noto che le policy sono viste dai più come un fastidio, come un rallentamento. È però indubbio che, mirando alla standardizzazione di un sistema di gestione interna, grazie al rispetto di precise policy, è possibile ridurre sempre più le aree di attacco e velocizzare le risposte in caso di incidente.
Organizzazione tecnica: spesso si trascura l’importanza di una corretta e continua comunicazione tra i diversi dipartimenti: il reparto IT deve avere un buon rapporto con gli altri team, senza che le diverse aree vedano l’intervento del tecnico come un fastidio o uno sconfinamento. Lo scenario in cui un intervento come un hardening di un server viene visto come un disturbo deve essere eliminato alla radice.
Security incident management: ci sono diversi modi per gestire un incidente informatico. Ma i primi due passi sono sempre i medesimi: Quick Reaction Unit (laddove disponibile) e ripristino immediato. Così facendo, tra le altre cose, diventa possibile prevenire l’insorgere del panico, il quale potrebbe portare a danni ancora maggiori, anche dal punto di vista legale. Formalizzare per tempo le azioni da compiere in caso di incidente informatico è essenziale per proteggere l’azienda: è necessario imparare per tempo come rispondere a un’eventuale richiesta di riscatto senza commettere nessun reato, nonché imparare come interagire con il garante della privacy e come rapportarsi con la polizia postale.
Risk management: tutte le persone in azienda devono essere consapevoli del proprio impatto, come abbiamo visto nella descrizione del volto umano della cyber security. Per fare questo è necessario partire da un controllo metodico di tutte le segnalazioni fatte.
Gestione risorse umane: tra i temi più caldi nel campo della gestione delle risorse umane c’è quello del potenziale dipendente scontento, che potrebbe quindi fare danni volontari. Si pensi alle conseguenze di un dipendente che ha dato le dimissioni e che, prima di uscire di scena, decide di cancellare o di rubare dei dati: situazioni come questa devono essere prevenute.
Valutazioni politiche: tra gli elementi più importanti, sotto questo aspetto, spicca quello delle “Red Zone”, ovvero delle aree geografiche con una potenziale escalation a livello di pericolosità, classificate in base a variabili ben precise. Una Red Zone può diventare un facile accesso per degli attacchi indirizzati verso qualsiasi rete aziendale: la soluzione principale è quella di posizionare un filtro alle connessioni esterne, tenendo monitorati gli accessi Firewall. In un momento come quello attuale, pensando a quanto sta accadendo in Est Europa, lavorare per prevenire questo tipo di attacchi può essere cruciale.
