La maggior parte degli staff IT è assorbita da vari task associati alla protezione, al disaster recovery, al monitoraggio dei sistemi, al recupero dei dati… gestire la sicurezza informatica è una sfida per ogni tipo di azienda.
Ma per le PMI l’impresa è quasi impossibile. Gli esperti fanno quadrato per aiutare le aziende a capire meglio strategie e iniziative che possono supportare al meglio la governance, a partire dai fondamentali.
La sicurezza informatica si basa su 5 pilastri fondamentali:
- gestione delle politiche e dei controlli
- gestione degli accessi
- protezione delle infrastrutture e dell’hardware
- sicurezza del software e di tutte le applicazioni
- gestione degli incidenti
Idealmente, ciascuna di queste funzioni dovrebbe essere gestita da un team preposto, ognuno con un responsabile o un coordinatore che fa capo direttamente a un CISO o a un CSO.
Security team: uno, nessuno, centomila
Peccato che le aziende del midmarket non possano permettersi questo lusso. L’unica strategia per loro percorribile, infatti, è quella di lavorare con il personale che hanno a disposizione e che, spesso, indossa più cappelli, proprio per riuscire a coprire più funzioni. Tra l’altro il responsabile della governance della sicurezza informatica in una PMI non può nemmeno essere un CISO. Potrebbe essere il CIO o qualche altro C-level tra gli executive (che spesso è portatore a sua volta di più cappelli). Anche se un’azienda di piccole o medie dimensioni esternalizza alcune funzioni di sicurezza affidandole a un MSSP (managed security service provider), ovvero a un fornitore di servizi specializzati, è comunque necessario un interlocutore aziendale che funga da unico punto di contatto per la sicurezza IT e che si interfacci con il provider.
Per fare chiarezza, gli specialisti hanno condotto un’analisi volta a clusterizzare le funzioni per capire come sia possibile gestirle al meglio, in modo da poter organizzare le risorse a disposizione secondo un approccio più funzionale ed efficiente per ogni compito. La prima cosa da fare è razionalizzare i pilastri della security: access management, infrastruttura e sicurezza informatica, ad esempio, sono talmente interdipendenti da poter essere considerati un’unica SBU (Security Business Unit).
1) Policy e audit management
Il capitolo delle policy e dell’audit management riguarda l’elaborazione delle varie politiche di sicurezza informatica e risponde a funzionari che possono essere sia interni che esterni all’azienda.
Le grandi organizzazioni possono contare su personale dedicato, che si occupa di scrivere, gestire, aggiornare e distribuire le policy relative alla sicurezza informatica che governano la direzione dell’azienda.
I revisori e le autorità di regolamentazione, per altro, richiedono un unico punto di contatto, ovvero un responsabile sicurezza informatica che possa rispondere alle loro richieste e si occupi di stendere o di condividere con loro i report necessari a relazionare la conformità dei sistemi alle normative.
Anche se questa funzione è importante per guidare le procedure di sicurezza informatica, in una PMI non corrisponde a un’attività quotidiana. Le varie politiche e le relative procedure di sicurezza IT, una volta redatti vanno aggiornati solo annualmente. Questa calendarizzazione varia solo nel caso di verifichino delle particolari modifiche al sistema, oppure ci sia un giro di poltrone che cambi direttive a livello di governance.
Di base, una politica di sicurezza comprende, fra le varie cose, un uso adeguato dei sistemi e la definizione dei dispositivi autorizzati e consentiti (BYOD in testa), la protezione ma anche la proprietà dei dati, la classificazione e la messa in sicurezza delle procedure e l’assegnazione delle responsabilità rispetto ai vari task di servizio. Il responsabile della redazione delle policy di sicurezza e di tutti gli aggiornamenti relativi potrebbe dunque essere una persona sola del vostro staff. Questo tipo di lavoro, infatti, non è a tempo pieno e questo permette di assegnare alla risorsa anche un’altra serie di compiti come, ad esempio, quello di supportare il manager che si occupa di gestire le relazioni con le autorità normative.
Gli esperti sottolineano anche come questo responsabile delle relazioni esterne legate alla sicurezza possa anche non venire necessariamente dall’IT. I controlli legati alla sicurezza IT, infatti, sono solo una parte di ciò che le autorità di regolamentazione hanno bisogno di revisionare. È il caso della Sarbanes-Oxley Act per le società quotate in borsa o della Health Insurance Portability and Accountability Act per le aziende mediche o del Federal Financial Institutions Examination Council per le istituzioni finanziarie. A questo punto non è necessaria una figura di alto profilo per recuperare e coordinare le informazioni necessarie ai funzionari rappresentanti legislativi.
2) Access management e sicurezza dell’infrastruttura e dell’hardware
Come già accennato, la gestione degli accessi, la sicurezza delle infrastrutture (un caso è quello della protezione del Web) e dell’hardware sono spesso interdipendenti. Questo tipo di compiti non solo riguarda la definizione e il mantenimento di user ID e password ma comporta anche l’installazione di software antimalware e tutti gli aggiornamenti necessari.
Mentre le organizzazioni più grandi possono affrontare i costi e avere due team diversi, uno dedicato alla manutenzione dell’hardware (desktop, workstation, server e firewall) e l’altro alla supervisione dell’access management, le PMI non hanno un help desk dedicato al ripristino delle password. Spesso sono le stesse risorse ad occuparsi sia di rilasciare gli accessi e di installare gli aggiornamenti, che di gestire le patch e i software antivirus.
Fortunatamente la gestione degli accessi è già parte integrante del profilo professionale dei network manager che si occupano di gestire infrastrutture e sistemi. Nelle piccole e nelle medie aziende in cui difficilmente è presente uno staff dedicato all’access management è consigliabile accorpare tutte queste funzioni. In aggiunta, questo tipo di risorse sono competenti e skillate anche nel gestire i vostri firewall e i sistemi di intrusion detection che fanno parte della suite di sicurezza dell’hardware.
3) Sicurezza del software e dell’applicazioni
La sicurezza del software e delle applicazioni è un po’ complicata da gestire per le PMI. Quando le risorse disponibili, già esigue, sono staffate sulle ruotine quotidiane come la manutenzione della rete e la gestione degli accessi, è difficile andare ad analizzare le falle della sicurezza. Ed è ancora più difficile tenere il passo con le vulnerabilità che possono insorgere rispetto ai software acquistati da fornitori esterni.
Un buon approccio per una società del midmarket è quello di acquistare un software dedicato all’analisi del software oppure di stipulare un contratto con un fornitore esterno che si preoccupi di effettuare delle scansioni regolari dei vari codici di programmazione delle applicazioni. Per le grandi aziende ci sono prodotti come, ad esempio, WebInspect di Hewlett-Packard che automatizzano i controlli di sicurezza. Le PMI possono guardare a soluzioni diverse come, ad esempio, Ounce Labs, Fortify Software, mentre una soluzione (tutta italiana) è Julia di Gruppo Coralis.
4) Gestione degli incidenti
Saper rispondere agli incidenti è un’altra funzione cruciale. Le squadre di emergenza sono come la polizia o i vigili del fuoco: li chiami solo quando sono necessari. Il problema è che, esattamente come la polizia e i vigili del fuoco, i team addetti alla gestione degli incidenti devono garantire sempre un minimo di organico e, soprattutto, essere sempre pronti per una qualsiasi situazione di emergenza, di giorno e di note.
Ecco perché è necessario disporre di un piano di risposta agli incidenti. Le basi di una pianificazione a chiamata presuppone una rotazione dei turni in cui una serie di membri del team possono essere convocati e attivarsi subito per le emergenze e le procedure necessarie a gestire le situazioni più comuni, come virus e attacchi di hacker.
Come sopravvivere alla sicurezza informatica (senza uscire pazzi)
Certo, descritta così la sicurezza sembra un’impresa titanica rispetto alle già molteplici attività che gli staff IT devono onorare ogni giorno. Il modo migliore per mantenere la sanità mentale tra i membri dello staff IT è quello di stabilire delle priorità ai vari compiti di sicurezza. Se il vostro staff è già sintonizzato su desktop, server e firewall, la gestione degli accessi è solo una delle routine che fanno parte delle attività quotidiane.
In realtà, dopo la gestione degli accessi e della sicurezza, il lavoro rimanente sono solo attività part-time. Naturalmente, un team di risposta agli incidenti deve essere sempre pronto ma, rispetto ai tentativi di intrusione, sicuramente gli episodi non saranno frequenti come sono frequenti le attività di ripristino delle password. Questo non significa che bisogna ridurre l’importanza della sicurezza informatica o abbassare i controlli rispetto alle scansioni del codice dei software. Significa solo che la sicurezza non è qualcosa che impegna tutti i giorni un team dedicato ma è un programma che va a pianificare in modo organico e plenario dei team preposti, ognuno dei quali controlla una serie di attività che contribuiscono a garantire la business continuity in ogni sua forma.
