Il Security for Business Innovation Council (SBIC) sostiene che la sicurezza delle informazioni deve essere trasversale all’organizzazione aziendale con l’obiettivo di integrare la protezione all’interno dei processi di business e fare in modo che i team di sicurezza lavorino sempre più a a stretto contatto con le diverse business unit, per la lotta al cyber crime
RSA, la divisione di Sicurezza di EMC, presenta l’analisi realizzata da un gruppo di noti chief security officer, pensata per aiutare le aziende e le istituzioni a migliorare considerevolmente la conoscenza delle minacce avanzate che vanno dallo spionaggio industriale all’interruzione delle operazioni di business e finanziarie, fino al sabotaggio delle infrastrutture aziendali.
Si tratta del decimo report della serie di ricerche condotte dal Security for Business Innovation Council (SBIC) e offre agli executive aziendali raccomandazioni specifiche su come sviluppare un approccio intelligence-driven per combattere le minacce avanzate partendo dallo sviluppo di un programma innovativo in grado di creare un team responsabile della sicurezza delle informazioni. Gli ultimi diciotto mesi, infatti, hanno visto enormi cambiamenti nei requisiti richiesti ai team di sicurezza, con uno scenario, in termini di minacce, in costante evoluzione, di ambienti di business iperconnessi, di ingresso di nuove tecnologie e di controlli normativi sempre più in aumento. La conseguenza che ne deriva è una fase di transizione nelle responsabilità e nelle attività fondamentali dei team che si occupano della sicurezza informatica delle aziende.
Il report, intitolato “Transforming Information Security: Designing a State-of-the Art Extended Team”, afferma che questi team devono poter evolvere acquisendo competenze e know how non tradizionalmente associati al tema della sicurezza, come ad esempio la gestione del rischio di business o conoscenze legali, matematiche, di marketing e di processi di acquisto. La disciplina della sicurezza informatica dovrebbe, inoltre, adottare un modello di responsabilità congiunta che unisca i manager line-of-business con gli executive, i quali iniziano a capire come il rischio informatico sia a tutti gli effetti parte integrante del rischio di business. Molte delle capacità tecniche e di business avanzate richieste dall’ampliamento delle responsabilità dei team di sicurezza non sono facilmente reperibili e richiederanno strategie aggiuntive per la formazione degli esperti, oltre al ricorso all’esperienza di service provider esterni specializzati.
Per aiutare le aziende a creare team di sicurezza estesi, il report delinea sette passaggi fondamentali:
1. Ridefinire e rafforzare le competenze base – Le competenze dei team devono essere focalizzate su quattro aree strategiche: intelligence sui rischi informatici e analisi e gestione dei dati di sicurezza, consulenza sul rischio, progettazione e applicazione di controlli.
2. Delegare le operazioni di routine – Delegare quei processi di sicurezza “di routine” alle funzioni IT, alle diverse business unit e/o a service provider esterni.
3. Affidarsi a esperti – Per particolari specializzazioni, il team di lavoro deve poter essere supportato da esperti che possono essere interni o esterni all’azienda.
4. Gestione del rischio da parte di chi ne è responsabile – Bisogna collaborare con le funzioni di business per gestire i rischi informativi e coordinare un approccio oltre che una strategia omogenei. Inoltre è fondamentale che le procedure siano semplici così da poter essere seguite dalle funzioni di business alle quali va delegata la responsabilità.
5. Assunzione di specialisti nell’ottimizzazione dei processi – Il team deve poter fare affidamento su persone dotate di notevole esperienza nella gestione di progetto, di programma o di qualità, nell’ottimizzazione dei processi e nel delivery di servizi.
6. Costruire relazioni di spessore – E’ determinante rafforzare e creare rapporti di fiducia con gli interlocutori più importanti come i responsabili dei sistemi principali, i middle manager e i service provider esterni.
7. Formazione dei futuri talenti – In considerazione di una presenza abbastanza scarsa di esperti, per la maggior parte delle aziende l’unica vera soluzione a lungo termine è quella di formare le risorse al proprio interno. Il background di queste persone può comprendere nozioni di sviluppo software, analisi di business, gestione finanziaria, intelligence militare, giurisprudenza, privacy dei dati, scienze dell’informazione e analisi statistica complessa.
Art Coviello, Executive Vice President, EMC, Executive Chairman, RSA: “Per far si che questa trasformazione avvenga, la sicurezza deve essere considerata come una responsabilità condivisa che richiede forti collaborazioni per gestire i rischi inerenti al business all’interno di uno scenario di minacce che è in costante evoluzione. È fondamentale che le aziende abbiano al loro interno team di sicurezza dotati delle competenze necessarie per svolgere questo lavoro al meglio”.
Bob Rodger, Group Head of Infrastructure Security, HSBC Holdings plc. “Le competenze di un team di sicurezza dovrebbero concentrarsi principalmente sulle capacità di fornire consulenza e indicazioni, definire strategie, identificare e spiegare i rischi alle funzioni di business, comprendere le minacce e far si che l’azienda possa guardare sempre avanti senza che il team sia frenato dalle attività operative della routine quotidiana”.