Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Quattro modelli per l’Ict Security

pittogramma Zerouno

Quattro modelli per l’Ict Security

03 Mar 2008

di Lorenza Peschiera

Per affrontare adeguatamente il problema della sicurezza in ambito Ict è necessario che
le aziende sappiano darsi una giusta impostazione organizzativa. Secondo una ricerca dell’Osservatorio Information Security Management della School of Management del Politecnico di Milano sono almeno quattro le configurazioni organizzative che le imprese adottano. Ognuna di esse ha pro e contro e per questo la loro efficacia deve essere valutata in rapporto alle caratteristiche di ogni azienda

L’Ict security, intesa come insieme di regole per garantire la sicurezza delle informazioni immagazzinate e veicolate usando le tecnologie Ict e permettere la disponibilità e il buon funzionamento dei sistemi e delle applicazioni Ict è strategica per le aziende. Ma perchè possa funzionare a dovere, le imprese devono darsi anche una ‘governance strategica’, individuando soluzioni organizzative e meccanismi per garantire la disponibilità e il buon funzionamento di sistemi e applicazioni Ict.
Sono questi alcuni temi affrontati dalla ricerca “Ict Security: quale governance ?”, condotta dell’Osservatorio Information Security Management della School of Management del Politecnico di Milano basata su di un’analisi empirica consistente in oltre 30 casi di studio relativi a grandi imprese di vari settori e su di una survey che ha coinvolto oltre 300 chief information officer.
Secondo l’indagine esistono, a livello di sicurezza, almeno quattro configurazioni organizzative con complessità crescente: il modello All in One, adottato dal 32% delle imprese coinvolte nella survey; il modello Ict Centric (introdotto nel 27% delle aziende); il modello Segregation (5%) e quello Multiplayer (20%).
Nel modello All in One a una sola unità organizzativa sono assegnate responsabilità come la definizione delle policy e delle procedure operative, la pianificazione e il controllo, la progettazione e l’identificazione dei sistemi e delle soluzioni, la loro implementazione e gestione operativa accanto al monitoraggio. Questa struttura è di solito nella direzione Ict, nell’area che si occupa di infrastrutture di rete. Il modello Ict Centric è applicato invece nelle aziende che distinguono tra attività di governo e operative. L’unità organizzativa responsabile del governo si occupa di definizione delle policy di dettaglio e delle procedure operative, di pianificazione e controllo, di progettazione e identificazione di sistemi e delle soluzioni, di monitoraggio. Le unità organizzative di Solutions e Operations, invece, hanno responsabilità sull’implementazione dei sistemi e delle soluzioni e sulla loro gestione operativa. In questi casi, la responsabilità della gestione degli apparati di sicurezza può ricadere in una struttura apposita o essere parte della responsabilità della struttura di Operations dell’Ict; l’attività di implementazione dei sistemi e delle soluzioni è spesso demandata alla divisione Solutions dell’Ict.
Un posizionamento alternativo c’è quando questa unità è collocata nella direzione Corporate Security, nata in molte aziende come struttura di sicurezza fisica. In questa situazione, o in quella in cui l’unità di governo è fuori dalla direzione Ict, il modello è il Segregation; i compiti operativi di Ict Security restano collocati nella struttura Ict. Conflitti tra le priorità dell’Ict Security e altre priorità dell’Ict sono gestiti tra il responsabile Ict e quello di Corporate Security o a livello di top management.
In alcune realtà la divisione tra la struttura di governo e quella operativa, soprattutto quando le strutture sono in direzioni aziendali diverse, può portare a un divario tra le soluzioni progettate dalla funzione di governo e la realtà Ict esistente che può condurre all’insuccesso alcuni progetti intrapresi. Per questo, alcune realtà hanno introdotto il modello Multiplayer, assegnando la responsabilità dell’attività di progettazione e/o identificazione dei sistemi e delle soluzioni a un’apposita struttura organizzativa in staff all’Ict, che ha il compito di costituire l’interfaccia privilegiata di corporate security nell’Ict.

L’importanza delle dimensioni e del settore industriale
C’è correlazione tra il modello scelto e le dimensioni della struttura Ict. L’All in One è il più diffuso in strutture in cui le dimensioni dell’Ict sono limitate; il modello Multiplayer è applicabile solo dove le dimensioni della struttura Ict sono significative.
Esiste anche una seconda correlazione, tra il modello utilizzato e l’area di appartenenza dell’azienda. La maggior parte delle imprese del settore media ha adottato un modello All in One; le realtà della grande distribuzione si dividono tra All in One e Ict Centric. Le imprese che gestiscono i sistemi bancari preferiscono il modello Ict Centric; quelle dell’area delle telecomunicazioni scelgono il Multiplayer.
La correlazione tra il settore in cui opera l’azienda e il modello organizzativo scelto può essere spiegata considerando le esigenze di ogni area industriale. Nella grande distribuzione il problema dei furti è più rilevante di quello delle frodi informatiche; nelle telecomunicazioni i rischi sono più connessi alla sicurezza Ict. In alcuni ambiti c’è correlazione tra frodi informatiche e frodi legate alla sicurezza fisica.
Possono esserci, per esempio, violazioni ai sistemi da postazioni interne all’azienda o furti di beni materiali che sono coperti tramite modifiche ai sistemi informativi.
Un altro elemento considerato è il modello di sourcing usato dall’azienda nel campo dei servizi Ict. Nei casi in cui l’azienda abbia optato per l’outsourcing, la divisione tra la componente di governance e quella operativa sembrerebbe naturale.
Influiscono sulla scelta del modello da adottare anche la sensibilità del top management e la sua percezione della rilevanza strategica dell’Ict Security, il livello di fiducia che il responsabile della corporate security ha costruito con il top management e il livello di Ict usato nello sviluppo di soluzioni di sicurezza fisica.
In molti casi l’evoluzione dell’organizzazione è legata alla reazione a fatti contingenti, come incidenti. Il verificarsi di questi eventi costituisce un elemento catalizzatore di cambiamento, che porta a modifiche della strategia di Ict security seguita.

Modelli in evoluzione
I modelli organizzativi adottati nelle aziende non sono statici, ma, soggetti a continui cambiamenti. Le imprese che iniziano a sviluppare sensibilità ai problemi della sicurezza informatica affidano, di solito, la responsabilità a chi gestisce l’infrastruttura e la rete; spesso, i professionisti che operano in questa unità hanno già affrontato il problema della scelta dell’architettura e degli apparati di protezione perimetrale e sono ritenute le persone che in azienda hanno più competenze.
Quando le dimensioni dell’azienda lo consentono e il management ha sensibilità sul tema, c’è la separazione tra la parte governance e quella operation e l’azienda sceglie un modello organizzativo di tipo Ict centric o Segregation. Il passaggio al Multiplayer si ha quando c’è difficoltà di allineamento tra governance e operation. Alcune realtà che hanno scelto il modello Multiplayer, infine, riunificano i ruoli, tornando al modello Ict centric o Segregation.

Analizzare rischi e benefici
Non c’è, però, un modello perfetto; ognuno ha rischi e benefici. Il modello All in One è il più snello, l’attribuzione di responsabilità è chiara e le risorse sono minime, non ci sono esigenze forti di coordinamento e non si ricorre al controllo da parte di terze parti; non c’è, però, separazione dei doveri. Nel modello Ict Centric, invece, c’è separazione tra operations e governance. In questo caso sono distinti chi stabilisce le regole e controlla e il responsabile dell’implementazione e della gestione.
Nei modelli Segregation e Ict Centric i conflitti di priorità sono gestiti tra il responsabile Ict e i dirigenti dello stesso livello o dal Top management. Il modello Multiplayer ha maggior separazione dei doveri, ma il rischio è di sovrapposizione di responsabilità e di ampie zone di grigio che possono portare a conflitti che, se non gestiti, possono causare il rallentamento dei processi decisionali.

Lorenza Peschiera

Articolo 1 di 5