All in One, Ict Centric, Segregation e Multiplayer: sono i quattro modelli organizzativi, caratterizzati da complessità crescente, individuati dall’Osservatorio Information Security Management della School of Management del Politecnico di Milano e del Cefriel per garantire un’adeguata governance della sicurezza informatica. La classificazione dell’Osservatorio si basa su una ricerca realizzata tramite interviste dirette a oltre una trentina di Chief Information Security Officer e Chief Security Officer e una survey che ha coinvolto oltre 60 Chief Information Officer.
ZeroUno ha già analizzato i primi due modelli negli articoli “Ict Security, il modello All in One” e “Se l’azienda cresce, applicate il modello Ict Centric” disponibili sul sito www.zerounoweb.it; in questo articolo andiamo a individuare le peculiarità del modelli Segregation e Multiplayer.
Segregation: la governance alla direzione Corporate Security
Nel modello Segregation, la governance della sicurezza, compresa quella informatica, è di competenza della direzione Corporate Security che si occupa della gestione della protezione degli asset tangibili e ha origine tipicamente come struttura di sicurezza fisica. Sono di competenza della direzione Ict, invece, i compiti di gestione operativa della sicurezza.
“Il responsabile della Corporate Security ha di solito competenze nel settore della sicurezza tradizionale; può essere, per esempio una persona che proviene dalle forze dell’ordine ed è ben preparato nell’area della sicurezza fisica, ma spesso non ha competenze specifiche di Ict security”, spiega Luca Marzegalli, responsabile Security Practice del Cefriel e responsabile scientifico dell’Osservatorio Information Security Management. Una soluzione ottimale è quella in cui il responsabile della Corporate Security seleziona come proprio riporto sui temi di Ict Security una persona proveniente dall’Ict. “Se il responsabile della Corporate Security non ha competenze Ict tende a delegare molti compiti al proprio riporto, responsabile di Ict Security; quando questo non avviene, spesso si creano rapidamente attriti di difficile gestione”, dice Marzegalli.
“Un’azienda tipicamente passa dal modello Ict Centric [dove la governance dell’Ict Security, indipendente dalla Corporate Security, è di competenza della direzione Ict ndr] al modello Segregation quando il top management decide di avere più controllo sull’Ict, concedendo un minor numero di deleghe al responsabile Ict”, afferma Marzegalli. Da non dimenticare, inoltre, che spesso i responsabili della sicurezza fisica sono responsabili dell’incolumità del top management; il legame che si crea è quindi di fortissima fiducia e anche questo aspetto può portare il top management a ritenere opportuno adottare il modello Segregation.
“Il modello Segregation è però quello che abbiamo rilevato meno frequentemente all’interno delle aziende da noi prese in considerazione”, commenta Marzegalli. “È il modello meno diffuso proprio per il rischio di perdita di visibilità rispetto a quanto avviene nell’Ict, per la possibilità di costruire una falsa percezione della sicurezza. Abbiamo trovato il modello Segregation in alcune imprese dell’area delle telecomunicazioni, anche se non è il settore privilegiato. È maggiormente presente in aziende con elevata complessità, come per esempio società internazionali che hanno molte sedi. In questo contesto, il ruolo di corporate security ha un peso significativo”.
Questo modello spesso costituisce una fase di transizione in momenti di necessità, rifocalizzazione e centralizzazione di alcuni ruoli. Non bisogna dimenticare, che nessuno dei modelli di Ict security è stabile in tutto il ciclo di vita di un’azienda.
Multiplayer: modello di compromesso
“Multiplayer è il più complesso tra i quattro modelli di Ict Security, in quanto prevede una struttura più articolata e cerca di trovare un compromesso tra il modello Segregation, in cui esiste una fortissima ‘segregation of duty’, e il modello Ict Centric”, spiega Marzegalli, che precisa: “Nel modello Segregation, chi definisce le regole del gioco in ambito sicurezza è al di fuori dell’Ict. Il modello Ict Centric, invece, pur avendo segregation of duty, prevede la gestione della sicurezza all’interno della divisione Ict e di conseguenza consente una maggiore visibilità sull’Ict. Nel Multiplayer prevalgono i benefici di entrambi i modelli. Esistono due strutture di Ict Security, la prima nella Corporate Security, che coinvolge i responsabili della pianificazione e controllo, la seconda nella divisione Ict, che coinvolge quanti progettano le soluzioni”. Sono le aziende di grandi dimensioni, con strutture Ict molto ampie, con centinaia o addirittura migliaia di persone nel loro staff It, a usare questa struttura molto articolata.
“Anche questo modello, però, ha dei limiti”, avverte Marzegalli. “Una struttura così articolata richiede un forte dispendio di energie nel coordinare le attività di Ict security”. Nella struttura di Ict Security collocata nella Corporate Security sono svolte le attività di definizione delle policy, le attività di pianificazione e controllo e quelle di monitoraggio. Nell’Ict Security dell’Ict, invece, è collocata la progettazione e l’identificazione di sistemi e soluzioni, nonché tutti i compiti di interfaccia con le altre strutture di Ict.
Sono numerosi gli attori coinvolti e tra le diverse fasi è richiesto continuo coordinamento. Il rischio, quindi, è che il modello risulti troppo dispendioso e poco efficiente. “I problemi maggiori”, puntualizza Marzegalli, “si riscontrano a livello decisionale. La struttura Ict security nella Corporate Security può richiedere politiche che l’Ict ritiene non implementabili e viceversa la struttura di Corporate Security può considerare le proposte provenienti dall’Ict come non adeguate e non in linea con le necessità dell’azienda. Questa situazione può paralizzare decisioni anche in merito a interventi urgenti”. Ulteriori difficoltà nascono nell’assegnazione di responsabilità; il rischio è che si crei un’area grigia, indefinita, in cui possano crearsi conflitti forti tra le persone. Questo è il principale motivo per cui alcune aziende hanno abbandonato questo modello.
Imprese del settore banking e Telco, con eccezioni in altri settori, sono tra le aziende che applicano il modello Multiplayer.
Un alternarsi di modelli
“Per concludere la nostra analisi è importante precisare che nelle realtà da noi individuate, anche di dimensioni importanti e settori critici, non c’è omogeneità nella scelta tra i vari modelli”, dice Marzegalli. “Non c’è un percorso evolutivo ben delineato: quello che in genere si manifesta è un alternarsi di modelli, anche in modo non lineare. Di solito chi lascia il modello All in One difficilmente vi ritorna. Più facile, invece, è tornare all’Ict Centric o al Segregation. Da questi ultimi due modelli, molto spesso si passa al Multiplayer, ma questo non è necessariamente il punto di arrivo.
Da sottolineare è che l’incertezza presente in molte aziende riguardo la stabilità della suddivisione di ruoli e responsabilità, spesso rischia di causare il rinvio di decisioni importanti. “Il piano strategico aziendale non è sempre presente e focalizzato; inoltre la sicurezza è molto soggetta a elementi esogeni, come l’intervento di normative, la presenza di incidenti legati a una cattiva gestione della sicurezza stessa, la spinta del vendor”, afferma Marzegalli. “Molte aziende sono più determinate a gestire le occasioni, le emergenze che non a gestire un piano strutturato su un arco di tempo medio-lungo; in più cambiamenti organizzativi continui non facilitano certo la corretta gestione della sicurezza”.
StoneGate: piena compatibilità con Windows 7
Test di compatibilità con Windows 7 superato in casa Stonesoft (www.stonesoft.com), provider di soluzioni integrate per la sicurezza e la business continuity. La soluzione StoneGate Vpn Client ha superato il test per cui l’integrazione dei due prodotti potrà garantire ai clienti StoneGate maggiore sicurezza, gestibilità ed efficienza, facilitando il percorso di migrazione verso Windows 7.
Creando un perimetro protettivo intorno all’azienda, StoneGate Firewall/Vpn impedisce eventuali attacchi e mette in sicurezza le comunicazioni di dati con più connessioni Vpn parallele, grazie a una tecnologia brevettata (StoneGate Multi-Link) integrata nell’appliance che può essere implementata quando ci si connette direttamente a Internet e su connessioni Vpn office-to-office sicure. Per gli utenti mobili che necessitano di connessioni remote sicure alle risorse delle proprie aziende, Stonesoft offre da tempo StoneGate VpnClient su piattaforma Windows (StoneGate Vpn Client è integrato direttamente nella soluzione StoneGate Firewall/Vpn) ora compatibile anche con il nuovo sistema operativo Windows 7 (oltre che con Windows Vista). La soluzione che ha superato il test fa parte di StoneGate Security Solution, una piattaforma ideata per la sicurezza di reti e connettività always-on, ideale per mettere in collegamento sedi distaccate di uffici.
“StoneGate Vpn Client è una soluzione per i telelavoratori che devono disporre di tutte le risorse possibili sempre e ovunque. Il logo Windows 7 conferma la validità dei nostri prodotti garantendo ai clienti un processo di migrazione lineare verso il nuovo sistema operativo”, sottolinea Emilio Turani, country manager di Stonesoft Italia.
