giovedì, 22 ottobre 2020

News

Business & People

IT e cybersecurity in azienda: ruoli e responsabilità

22/09/2020

MILANO - Maurizio Tondi, Director Security Strategy di Axitea, svolge alcune importanti riflessioni su un possibile conflitto di interessi che riguarda tutte le aziende: accade infatti spesso che le organizzazioni, soprattutto quelle di piccole e medie dimensioni, affidino la cybersecurity a chi già gestisce l’IT dell’azienda, una figura interna o un consulente esterno.

È una scelta che può derivare da valutazioni di natura economica, dalla comodità di avere un unico interlocutore, ma anche da una scarsa consapevolezza dei responsabili aziendali rispetto ai temi della security.

La cybersecurity non è solo tecnologia

Per molti, la sicurezza cyber viene considerata un aspetto puramente tecnologico, e quindi demandata a chi già si occupa della tecnologia in azienda. Ma è un errore, perché la sicurezza informatica va ben oltre la pura e semplice tecnologia e rappresenta un elemento di potenziale integrazione da un lato, ma certamente una pratica a se stante dal punto di vista della responsabilità e della gestione del rischio, che richiede competenze specifiche e di “separation of duty”.

Secondo Maurizio Tondi, "la sicurezza è un aspetto strategico ma anche molto pragmatico che riguarda il business di ogni organizzazione e per le sue caratteristiche specifiche deve essere gestita da chi ha competenze in questo ambito. Per le PMI, esattamente come per tutte le altre organizzazioni, è fondamentale definire un piano di sicurezza IT e protezione dati per la difesa dai rischi provenienti dall’esterno e sempre più dall’interno".

La specializzazione è fondamentale 

È fondamentale che la responsabilità della cybersecurity in azienda sia detenuta da chi presenta le necessarie competenze specifiche. Se le dimensioni dell’organizzazione lo consentono, può essere presente un responsabile interno della sicurezza informatica, il cosiddetto CISO (Chief Information Security Officer). Quando la presenza di questa figura non è giustificata a livello organizzativo o di business, è consigliabile affidarla in outsourcing a una realtà specializzata in sicurezza, che potrà mettere a disposizione dell’azienda cliente competenze avanzate e il giusto grado di indipendenza e una più evidente neutralità e "terziarietà" nell’interesse dell’imprenditore o del management aziendale.

Si tratta di una tesi supportata anche dai più elevati standard di settore che indicano tra le best practice questo approccio di separazione (iso27001:2013 e NIST CSF). È anche una questione di competenze: soprattutto nelle realtà più piccole chi gestisce l’IT ha una conoscenza trasversale dei molti sistemi che consentono a un’azienda di operare. Ma la cybersecurity sotto questo aspetto è un mondo a sé, che richiede competenze specifiche, un continuo aggiornamento e una focalizzazione sulle “cyber minacce che un IT Manager difficilmente potrà raggiungere.

Conflitto di interesse

Se la gestione dell’IT e cybersecurity risiedono in un’unica funzione oppure sono affidati alla stesso soggetto o fornitore,  può insorgere un evidente e pericoloso conflitto di interessi che determina una aumento complessivo del rischio e nel caso di una cattiva gestione, anche nel danno.. Non deve per forza esserci malizia o malafede, semplicemente le priorità dell’IT che supporta il business possono e sono spesso essere differenti rispetto a quelle di chi deve garantire protezione ai dati, ai sistemi e ai dipendenti e continuità di esercizio.

Però IT e sicurezza possono, anzi devono collaborare, proprio perché legati strettamente ai processi di business aziendali, che tipicamente considerano da punti di vista differenti. Una strategia di sicurezza efficace parte sicuramente da una corretta gestione dell’infrastruttura IT, ma è molto di più, perché prende in esame anche le componenti relative alla connettività, ai sistemi individuali e soprattutto alle persone ed ai loro comportamenti.

Il patch management, un esempio di collaborazione tra IT e cybersecurity

Quotidianamente i cybercriminali sono imoegnato in nuovi tentativi di attacco, basati sulla tecnologia o sullo sfruttamento di comportamenti inadeguati da parte degli utenti, come ad esempio nel caso del phishing.

Ogni giorno, le organizzazioni sono oggetto di attacchi di varia tipologia, che sfruttano debolezze informatiche o umane. È compito di chi si occupa di infrastrutture IT procedere con un aggiornamento dei sistemi informatici con le patch di sicurezza in modo da correggere le vulnerabilità di sistemi o di programmi.

È fondamentale che chi si focalizza sulla cybersecurity (e ne è responsabile) verifichi che questo lavoro sia svolto con continuità e in modo puntuale: soltanto con una distinzione dei ruoli si riesce a  separare la figura del controllore da quella del controllato e si evita un pericoloso conflitto di interessi che sarebbe in grado di mettere in pericolo l’azienda.

 



Tutte le news