Metodologie

Risk management, costruire un framework in cinque passi

Ecco come mettere a punto un efficace piano per la valutazione e la gestione del rischio. Essenziale è saper misurare in modo adeguato il livello di sicurezza dell’azienda, ma anche fa rispettare precise policy

Pubblicato il 15 Mar 2015

risk-management-150310172635

Non è un segreto per i professionisti della sicurezza e del risk management che la security sia una funzione che riunisce persone, processi e tecnologia.

Ma quando si tratta di investire soldi, la storia è ben diversa: la maggior parte delle aziende infatti fa tradizionalmente tendere la percentuale della spesa in modo sproporzionato verso la tecnologia, cercando così di risolvere i problemi di sicurezza attraverso un approccio basato essenzialmente sul prodotto.

Effettuare un deployment della tecnologia può essere più facile che non cercare di cambiare il modo di lavorare delle persone o definire/monitorare nuovi processi organizzativi. In questo articolo, vedremo quali sono i cinque step fondamentali che qualsiasi organizzazione può utilizzare per costruire un framework volto ad attenuare il rischio d’impresa.

1. Comprendere e definire l’universo di informazioni a rischio

Per sviluppare un completo framework di information risk management (IRM) i securoty manager devono anzitutto definire le loro responsabilità. Per esempio, il framework di Forrester Research si compone di 17 dominii che coprono le persone, i processi e la tecnologia. Ma la sola definizione di questi dominii diventa inutile se ogni dominio non possiede controlli adeguati per garantire la riservatezza, l’integrità e la disponibilità delle informazioni.

2. Determinare i requisiti di riservatezza, integrità e disponibilità
Non tutte le aree di business richiedono lo stesso livello di protezione. Obblighi contrattuali e direttive legali possono determinare i livelli di controllo per alcune organizzazioni, ma per molte altre, sarà necessario prendere decisioni assieme ai reposnabili di divisione. Nel valutare la criticità di una funzione, rispondete a queste tre domande:

  • Quanto è “confidenziale” la funzione? Valutate l’impatto potenziale di una violazione dei dati per questa funzione sul business globale. Spesso, le aziende pagano un prezzo molto pesante a causa della perdita di reputazione commerciale e dei contenziosi in corso.
  • Quale deve essere il livello di precisione dell’informazione fornita dalla funzione? Valutate l’impatto potenziale che potrebbero comportare dei dati corrotti. Per esempio, il caso di un cliente a cui vengono prescritte medicine sbagliate è ben più difficile da gestire che le rimostranze al servizio clienti.
  • Se questa funzione non è più disponile, quali sono le conseguenze? Il tempo è quasi sempre denaro.Ad esempio il sito Web della società, su cui transitano rilevanti quantità di denaro ogni giorno, non può essere in alcun modo minacciato o rischiare di andare offline, anche solo per pochi minuti.

3. Definite i “margini di manovra”
Spesso i security manager sono responsabili di settori quali la business continuity, il disaster recovery e la conformità alle normative. Ci sono aree correlate di cui i CSO (Chief Security Officer) non sono direttamente responsabili, come la sicurezza fisica, lo sviluppo delle applicazioni e le operazioni IT, ma queste funzioni hanno enormi implicazioni per la sicurezza globale degli asset informativi. Per poter svolgere il proprio lavoro in modo efficace, i CSO hanno la necessità di monitorare e misurare i controlli di sicurezza in tutti questi gruppi di business. Inoltre, i CSO dovrebbero adottare un approccio basato su framework per individuare e misurare tali aree, al fine di tracciare il loro andamento nel tempo.

4. Sviluppare meccanismi di controllo, di risposta e di monitoring
Un framework di IRM deve garantire che i precedenti controlli siano definiti, applicati, misurati, monitorati e che siano stilati dei report. Nelle aree in cui tali controlli non consentano di attenuare sufficientemente il rischio, i CSO devono fare in modo che questi rischi siano ridotti, trasferiti o accettati.

5 Statistiche e report
In una recente indagine, Forrester ha rilevato che la maggior parte dei tool per le metriche di sicurezza è ancora in una fase embrionale, alcuni sono addirittura in fase di pianificazione. Gli interpellati hanno citato due principali obiettivi per i progetti di sviluppo dei propri tool: trovare le giuste metriche e tradurre le metriche di sicurezza in un linguaggio di business.

Molti manager sono focalizzati a raccogliere e a segnalare informazioni inerenti aggiornamenti tattici e di stato. Al fine di sviluppare con successo un programma per le metriche di sicurezza, il CSO deve individuare, monitorare e misurare la sicurezza in funzione degli obiettivi di business. Dovrebbe quindi concentrarsi nel tradurre quelle misure in linguaggio di business, che possa essere di utilità per il management quando deve prende decisioni strategiche per l’azienda.

Oggi, la maggior parte delle organizzazioni deve avere buone policy di sicurezza e appropriati processi e tecnologie. E farli rispettare. Le odierne aziende dispongono di capacità di monitoraggio e di risposta, ma la grande maggioranza delle organizzazioni non è in grado di misurare in modo adeguato la sicurezza. La misurazione e la conformità alle policy di sicurezza sono due componenti critiche del vostro programma di security che non devono mai essere trascurate o sottovalutate.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati