Nuovo rapporto del Security for Business Innovation Council, l'iniziativa che chiama a raccolta circa un migliaio di top manager aziendali, promossa da Rsa, security division di Emc.
Il documento prodotto quest'anno si focalizza su più aree: in particolare, su dove investire per migliorare i processi, come migliorare i processi chiave per la sicurezza, perché aggiornare il risk assessment o, ancora, fornendo una guida per la documentazione.
Innanzitutto, il contributo dei manager ha prodotto cinque raccomandazioni, mettendo in risalto altrettante aree di focalizzazione degli sforzi per la protezione delle informazioni aziendali.
Proteggere i processi di business non le risorse IT
L'intero rapporto del Security for Business Innovation Council è disponibile sul sito di Emc, mentre di seguito sintetizziamo le raccomandazioni:
- 1 - Spostare il focus dagli asset tecnici ai processi di business critici - La prima raccomandazione mette in guardia dal concentrarsi sul punto di vista tecnico, che porta a proteggere server, applicazioni o altri asset tecnologici. Viene invece consigliato di allargare lo sguardo per osservare come le informazioni sono utilizzate per il business. Sono i processi che vanno protetti in ogni componente. Per questo, lo staff IT deve lavorare fianco a fianco con le unità di business.
- 2 - Stimare il rischio derivante dalla Cybersecurity da un punto di vista business – È necessario far comprendere in cosa consiste il rischio per l'azienda. Per questo è opportuno introdurre stime sul business nel processo di risk advisory. In pratica, legare l'eventualità di un incidente informatico ai risultati di fatturato, per esempio disegnando scenari che descrivono l'impatto sul business di un determinato incidente, fino al più accurato possibile dato finanziario.
- 3 – Stabilire un processo di risk assessment centrato sulle funzioni – La terza raccomandazione richiede di abbandonare gli strumenti automatici di valutazione del rischio, per accelerare i processi decisionali. Per questo si devono rendere le singole business unit responsabili di gestire direttamente il rischio. Per esempio i service provider realizzano assessment noiosi e ripetitivi, mentre dovrebbero introdurre un certo grado di flessibilità nei processi di accettazione del rischio, per consentire al business di raccogliere quelle opportunità legate al momento.
- 4 – Impostare una rotta verso una garanzia del controllo basata su prove – Gli executive interpellati da RSA consigliano di sviluppare la capacità di raccolta dei dati sulla sicurezza, in modo da testare l'efficacia dei controlli in maniera continua. Per iniziare si devono documentare i controlli di sicurezza più importanti, quelli relativi ai processi più critici, per capire quali elementi di prova sugli eventi possono fornire. Quindi si può procedere a impostare dei report che collezionano queste "prove" in maniera automatica e sistematica, così da migliorare gli assessment interni o esterni.
- 5 – Sviluppare metodi di raccolta dati per l'intelligence – Partendo dal valutare quali risposte possono arrivare da soluzioni analitiche, vanno selezionate le fonti di informazioni che sono utili. Fino ad arrivare a un set ritenuto soddisfacente, eventualmente negoziando acquisizioni o scambi di dati con fornitori esterni. Quindi si potranno arricchire le analisi attraverso strumenti di threat intelligence esterni. Ottimizzando tali processi si può minimizzare l'aumento della capacità storage necessaria per supportare l'aumento dei log.