Sebbene nelle aziende (anche quelle medio-piccole) sia presente un concetto – seppur embrionale – di sicurezza informatica, c’è molta confusione su chi si deve occupare di questa attività. Come vedremo, causa una scarsa cultura della cyber security, le idee sono poche e confuse.
La situazione classica: l’IT gestisce tutto ciò che è tecnologia. Tutto!
Le stampanti, le applicazioni, i software, la telefonia…tutto ciò che è tecnologia è dell’IT, che deve possedere competenze trasversali. Anche la cyber security, che alla fine è solo un insieme di programmi e procedure tipiche dell’informatica.
Niente di più sbagliato. L’IT non è un factotum.
Un esempio di una corretta gestione è dato dalle grandi aziende, vedremo poi come applicarlo alle PMI senza che esplodano i costi.
Le grandi aziende separano i ruoli…e i dipartimenti
Nelle imprese che se lo possono permettere, esiste un responsabile designato per la sicurezza informatica, il CISO (Chief Information Security Officer). Questa persona spesso non dipende dal CIO (Chief Information Officer) o, per semplificare, dall’IT. Questo ci porta a fare due valutazioni:
- c’è indipendenza tra le due funzioni (o, se vogliamo, tra i due dipartimenti IT e cyber security);
- si separano i ruoli (chi è responsabile dell’IT non è responsabile della cyber security).
Indipendenza tra le funzioni IT e cyber
Qualora le due responsabilità fossero affidate alla medesima persona, si configurerebbe il rischio di conflitto di interessi: ma anche, più semplicemente ogni figura ha le sue priorità e potrebbe concentrare il 90-95% del suo lavoro su un aspetto, minimizzando gli sforzi e il tempo dedicato alla sicurezza informatica (“basta un backup giornaliero, un antivirus e un firewall”).
Anche la formazione accademica e professionale fa la differenza: se non sono nato come esperto di cyber security farò più fatica a governare tutti gli aspetti che mettono al riparo da attacchi hacker e fughe di dati.
Separazione dei ruoli
È necessario che, sebbene gli investimenti e il tempo speso in cyber security non possano essere uguali alla gestione dell’IT, ci sia qualcuno che sia responsabile della cyber security, diverso dal responsabile dell’IT.
Perché si crei – nel rispetto di una indipendenza dei ruoli – una collaborazione tra i due reparti, che porti a effettuare delle scelte condivise: ad esempio, evitiamo questa piattaforma perché poco sicura, scegliamo insieme le policy di gestione delle credenziali di accesso, ecc…
IT & cyber security: due mondi più diversi di quanto si pensi
Un buon esperto di cyber security non sarebbe un bravo responsabile IT e viceversa. Questo perché le competenze sono molto specifiche e troppo ampie perché chi è skillato in un ambito riesca ad eccellere nell’altro.
Ognuna delle due figure vede gli eventi in azienda in modo diverso: banalizzando, è come dire che un difensore può tranquillamente fare l’attaccante, tanto è sempre calcio…
Il conflitto di interessi nel caso di IT in outsourcing
Un conflitto di interessi molto pesante si configura nel caso in cui un’azienda decide di affidare sia IT che cyber security a un’unica figura esterna all’azienda. Cosa accade quando si subisce un attacco informatico? Il controllato fa anche da controllore e autodenuncerà errori o mancati aggiornamenti (anche in buona fede)?
Giusto separare i ruoli: ma i costi?
Le grandi aziende possono permettersi CIO, CISO e interi dipartimenti dedicati all’IT e alla cyber security, ma per le aziende meno strutturate (la stragrande maggioranza), ciò non è sostenibile economicamente: non si possono avere due figure (e due strutture così costose in azienda).
Cosa fare allora?
Affidare la cyber security in outsourcing
Si parla di sicurezza informatica gestita quando un’azienda o un’organizzazione si affida a società specializzate in cyber security: ciò consente di non avere in organico una persona che si occupi di sicurezza informatica (tra l’altro, figure molto ricercate e molto costose), ma di avere esperti che lavorano per il 100% del loro tempo alla gestione della sicurezza.
Vuol dire sfruttare le migliori tecnologie disponibili sul mercato e farsi consigliare sulle migliori soluzioni e procedure da intraprendere senza effettuare massicci investimenti iniziali.
D’altronde, quando affidiamo a un commercialista la fiscalità e le scadenze tributarie della nostra attività, non ci sentiamo più al sicuro di quando noi stessi ci improvvisiamo esperti di tributi?
Se sei interessato ad approfondire le possibili soluzioni di sicurezza informatica gestita, contatta Noi Sicurezza per avere maggiori informazioni: