Un maggior coinvolgimento delle linee di business per combattere le minacce alla sicurezza. È questo il nocciolo della questione emersa nel decimo rapporto del Security for Business Innovation Council (SBIC).
Promosso da RSA, divisione per la sicurezza di EMC, lo SBIC raggruppa noti CSO (Chief Security Officer) in tutto il mondo per aiutare aziende e istituzioni a migliorare la conoscenza delle minacce avanzate: dallo spionaggio industriale al sabotaggio delle infrastrutture aziendali.
Intitolato "Transforming Information Security: Designing a State-of-the Art Extended Team", il report raccomanda agli executive aziendali un approccio intelligence-driven per combattere le minacce avanzate.
Il primo passo consiste nel creare un team innovativo responsabile della sicurezza delle informazioni. Negli ultimi diciotto mesi, infatti, i requisiti per i team di sicurezza sono cambiati.
Lo scenario: minacce in costante evoluzione, ambienti di business iperconnessi, ingresso di nuove tecnologie e di controlli normativi sempre più in aumento.
Secondo il rapporto questo implica una fase di transizione nelle responsabilità e nelle attività fondamentali dei team che si occupano della sicurezza informatica delle aziende.
I team devono poter evolvere acquisendo competenze e know how non tradizionalmente associati al tema della sicurezza, come per esempio la gestione del rischio di business o conoscenze legali, matematiche, di marketing e di processi di acquisto.
È possibile che lo sviluppo delle competenze necessarie imponga strategie aggiuntive per la formazione degli esperti, oltre al ricorso all'esperienza di service provider esterni specializzati.
Il rischio informatico è a tutti gli effetti parte integrante del rischio di business, ma questo non è ancora compreso. Per aiutare le aziende a creare team di sicurezza estesi, il report delinea sette passaggi fondamentali:
Ridefinire e rafforzare le competenze base – Le competenze dei team devono essere focalizzate su quattro aree strategiche: intelligence sui rischi informatici e analisi e gestione dei dati di sicurezza, consulenza sul rischio, progettazione e applicazione di controlli.
Delegare le operazioni di routine – Delegare quei processi di sicurezza "di routine" alle funzioni IT, alle diverse business unit e/o a service provider esterni.
Affidarsi a esperti – Per particolari specializzazioni, il team di lavoro deve poter essere supportato da esperti che possono essere interni o esterni all'azienda.
Gestione del rischio da parte di chi ne è responsabile – Bisogna collaborare con le funzioni di business per gestire i rischi informativi e coordinare un approccio oltre che una strategia omogenei. Inoltre è fondamentale che le procedure siano semplici così da poter essere seguite dalle funzioni di business alle quali va delegata la responsabilità.
Assunzione di specialisti nell'ottimizzazione dei processi – Il team deve poter fare affidamento su persone dotate di notevole esperienza nella gestione di progetto, di programma o di qualità, nell'ottimizzazione dei processi e nel delivery di servizi.
Costruire relazioni di spessore – E' determinante rafforzare e creare rapporti di fiducia con gli interlocutori più importanti come i responsabili dei sistemi principali, i middle manager e i service provider esterni.
Formazione dei futuri talenti – In considerazione di una presenza abbastanza scarsa di esperti, per la maggior parte delle aziende l'unica vera soluzione a lungo termine è quella di formare le risorse al proprio interno. Il background di queste persone può comprendere nozioni di sviluppo software, analisi di business, gestione finanziaria, intelligence militare, giurisprudenza, privacy dei dati, scienze dell'informazione e analisi statistica complessa.