Nell’ambito delle strategie di management d’impresa, per introdurre una corretta Politica della Sicurezza è molto importante l’attribuzione di ruoli e responsabilità all’interno dell’organigramma aziendale.
Per garantire una applicazione continua dei criteri individuati in fase di analisi – ed un coerente grado di sicurezza – è infatti utile operare, laddove si riveli necessario, una riorganizzazione interna.
Questo, perchè l’introduzione di procedure di sicurezza all’interno di Sistemi Informativi aziendali comporta sicuramente dei costi e un impegno costante nel tempo
I passi che conducono, attraverso l’organizzazione interna, al conseguimento di un grado di sicurezza adeguato alle necessità aziendali possono essere facilmente riassunti:
- definizione di politiche e strategie aziendali ad hoc;
- loro implementazione mediante individuazione di ruoli e responsabilità
- introduzione di strumenti e meccanismi per garantire e misurare il livello di sicurezza;
- definizione di processi e procedure aziendali coerenti con i criteri adottati;
- controlli continui e monitoraggio dei sistemi.
Come per le procedure associate ai criteri di Qualità Aziendale, anche le Politiche di Sicurezza e Gestione del Rischio non dovrebbero essere attuate senza aver prima ben compreso quelli che sono i meccanismi e i processi industriali in atto, consolidati da tempo, che non dovrebbero essere stravolti dall’introduzione dei nuovi meccanismi di processo aziendale.
Questo significa che non esistono modelli organizzativi o strumenti applicabili a qualsiasi situazione, ma per ciascuna realtà devono essere ritagliate procedure coerenti con i modelli del processo produttivo in essere, per non creare interferenze dannose al normale funzionamento delle attività produttive.
Questo però non significa che non si debbano considerare modelli teorici o realtà eistenti, in cui i sistemi sono già stati resi sicuri.
Esistono delle figure chiave che non possono essere trascurate dall’organizzazione aziendale che desideri raggiungere un livello di sicurezza specifico. Al di là dell’aspetto gerarchico, quindi, è necessario porre l’accento sui ruoli che devono essere ricoperti e quindi sulle mansioni che devono essere attuate individuando sia “cosa va fatto” sia “chi deve farlo”.
Di certo, è inevitabile il coinvolgimento del management aziendale ai massimi livelli. In definitiva, il CEO è il responsabile della sicurezza dell’azienda e quindi è necessario che intervenga sia per guidare la definizione e l’adozione delle linee guida necessarie al raggiungimento del livello di sicurezza desiderato, sia per distribuire ruoli, attività e responsabilità.
Suo compito sarà innanzitutto individuare un IT Manager responsabile per la sicurezza che dovrà individuare ambiti di intervento, risposte attese, tempi e modi di attuazione delle linee guida che, tra l’altro, spetta a lui definire.
Il responsabile della sicurezza deve quindi garantire che tutte le funzioni aziendali comprendano le politiche aziendali e siano consapevoli delle strategie adottate e, conseguentemente, dei modelli comportamentali che dovranno essere seguiti dalle risorse coinvolte dal processo di Hardening.
Per ciascuna funzione aziendale è necessario individuare un Responsabile di Funzione che sia in grado di descrivere con completezza gli impatti derivanti da comportamenti inadeguati e, in definitiva, da errori nell’applicazione degli strumenti e delle procedure adottate.
Questa persona dovrà disporre delle competenze necessarie alla gestione dei sistemi informativi, ovvero avere conoscenza di aspetti sistemistici e di networking, come pure di DBA e di sistem configuration, per essere in grado di misurare l’eventuale impatto derivante dal fallimento delle politiche sicurezza o dalla loro inadeguatezza.
Esiste poi una figura, il System Designer, che ha il compito di raccogliere le indicazioni fornite dai vari responsabili di funzione e individuare quelle che sono le caratteristiche che dovranno essere soggette all’attività di Hardening, ovvero sulle quali si dovranno attuare le politiche di sicurezza aziendale.
Se consideriamo l’attrazione delle linee guida di sicurezza come un vero proprio progetto, risulta ineludibile il ruolo di Project Manager, il cui compito è stimare tempi e costi per il raggiungimento degli obiettivi, verificando l’aderenza alle stime dei risultati raggiunti.
A questo punto, tutte le funzioni aziendali sono state coinvolte e gli strumenti resi operativi. Adesso è necessario verificare che il sistema informativo aziendale sia rispondente ai requisiti di sicurezza che erano stati posti come obiettivo in fase di avvio del progetto di Hardening.
Per ottenere questo risultato è necessario incaricare un Auditor che si faccia carico di testare il sistema di sicurezza adottato.
Per massimizzare l’accuratezza di tale test è preferibile che questa figura sia scelta all’esterno del personale aziendale.
Non va dimenticato che le strategie che vengono adottate devono muoversi all’interno del core business aziendale e che di conseguenza è ad esso che si devono accordare.
Occorre quindi predisporre procedure e responsabili che operino coerentemente con il mantenimento del focus sul conseguimento degli obiettivi.
I processi normalmente interessati dalle politiche di sicurezza di andare sono:
- Helpdesk (supporto agli utenti per problematiche di manutenzione, profilazione gestione accessi e permessi);
- Change Management (evoluzione dei sistemi e applicazione di correttivi);
- Compiti (chi installa cosa, quando e con quale procedura);
- Monitoraggio (verifica dei log di sistema e resoconto documentale dei risultati, per l’individuazione di accessi fraudolenti);
- Backup & Recovery dei dati;
- Audit del sistema (verifiche periodiche della rispondenza delle politiche adottate all’evoluzione tecnologica e dei sistemi di intrusione);
- Gestione emergenze (modalità di intervento per ridurre il danno derivante dal problema riscontrato).
Inoltre, è utile predisporre un canale di comunicazione che consenta una rapida e completa trasmissione delle informazioni inerenti le attività di sicurezza in essere, perché è importante disporre al momento giusto delle giuste informazioni.
È anche importante rendere disponibili l’insieme dei documenti che caratterizzano le politiche aziendali in termini di sicurezza, dall’analisi dei rischi alle statistiche in ambito aziendale e globale sui criteri di test seguiti.
Per concludere, non si può prescindere da un’attività formativa orientata alla sicurezza dei sistemi, a cui tutto il personale deve essere sottoposto sia in termini di incentivazione della professionalità sia per garantire la corretta comprensione delle delle strategie perseguite.