In questa economia globalizzata, la rapida evoluzione della tecnologia ha portato ad una profonda trasformazione del panorama in termini di sicurezza delle informazioni. Le aziende scoprono che le risorse sono più limitate che mai e devono essere indirizzate con priorità alle aree di maggior ritorno economico e di più grande necessità. Determinare le priorità per un’azienda è un’operazione molto difficile, soprattutto se l’imperativo è massimizzare i risultati pur minimizzando gli investimenti e le risorse impegnate.

Questi cambiamenti epocali non sono compatibili con una strategia compartimentalizzata in tema di sicurezza delle informazioni, perché ormai ogni singola parte dell’azienda moderna funziona grazie alla connettività di rete e ai dati. L’information technology supporta oggi qualsiasi reparto aziendale e lo stesso devono fare le iniziative di sicurezza. Il moderno Chief Information Security Officer (CISO) deve dimostrarsi proattivo nel promuovere e supportare nuove iniziative di business, basandole su solide misure di sicurezza delle informazioni e su analisi dei rischi appositamente focalizzate sullo specifico servizio di business.

Di conseguenza, una relazione diretta e costante fra il CISO e la direzione aziendale, in particolare con il consiglio d’amministrazione, diventa fondamentale, ed è altrettanto essenziale che il CISO rappresenti le iniziative tecnologiche e di sicurezza con un approccio mentale che coniughi rischi e risultati di business. Sempre più spesso le nuove tecnologie vengono adottate come leva per differenziarsi e trarre un qualche vantaggio sui propri concorrenti, ma senza un’analisi dei rischi matura, robusta e ripetibile, che rappresenti costi e benefici, le aziende finiscono col trovarsi in difficoltà sotto diversi aspetti.

La sicurezza delle informazioni è il vero business
Gestire efficacemente i rischi che incombono sulle informazioni è oggi un aspetto particolarmente critico per tutte le aziende che vogliono attuare strategie e iniziative, e che vogliono raggiungere i propri obiettivi di business. Il risk management, però, assume un senso compiuto solo se abilita l’azienda a conseguire i propri obiettivi di business, rendendola contemporaneamente più resistente agli eventi inattesi. La relazione con il consiglio d’amministrazione deve essere quindi focalizzata su come la sicurezza delle informazioni è in grado di supportare le priorità aziendali di business, ad esempio acquisire e mantenere la clientela, costruire un vantaggio competitivo o favorire l’innovazione.

Le attività aziendali di risk management – siano esse in forma di programma aziendale o coordinate a livello funzionale – devono includere opportune analisi sui rischi che incombono sulle informazioni aziendali e che possono compromettere il successo dell’azienda. La domanda giusta da porsi è:

“Qualora accada il peggio, potremmo onestamente dire ai nostri clienti, ai partner di business e alle autorità di controllo che abbiamo fatto tutto ciò che era ragionevole attendersi? Siamo adeguatamente preparati per il futuro?”

Prevenire eventi sfavorevoli
Uno degli obiettivi primari della sicurezza delle informazioni è prevenire incidenti sfavorevoli, eppure è praticamente impossibile che un’azienda riesca ad evitare tutti i possibili incidenti. Molte aziende sono oggi sufficientemente preparate a reagire agli incidenti di sicurezza, ma sono poche quelle che hanno maturato un approccio strutturato che preveda di analizzare cosa è andato storto e in che modo prevenire ulteriori ricorrenze dello stesso incidente. Il risultato è che molte aziende sono costrette a sopportare costi non necessari, accettare eccessivi rischi e commettere nuovamente gli stessi errori.

Pur con i migliori piani di sicurezza e i più ingenti sforzi di prevenzione, non tutti gli incidenti di sicurezza possono essere evitati o prevenuti. Le aziende, di qualsiasi dimensione esse siano, devono certamente raggiungere una certa maturità e sviluppare adeguate capacità di gestione degli incidenti, ma senza un’appropriata valutazione degli impatti non hanno alcun modo di misurare i costi incrementali, intangibili e a lungo termine di un incidente. Costi che vanno ad incidere più o meno pesantemente sul bilancio e, peggio ancora, sulla reputazione aziendale.

Il segreto è prepararsi in anticipo
Senza conoscere il costo previsto per i potenziali incidenti, le aziende continueranno inevitabilmente a sviare le risorse e gli investimenti dalle vere priorità, spesso risolvendo i sintomi invece che le cause, e ancor più spesso senza investire dove bisogna mitigare un importante incidente che incombe. La carenza di conoscenza del rischio, infatti, apre la porta a notevoli debolezze e vulnerabilità. Molte aziende sono oggi scarsamente predisposte all’investigazione degli incidenti, soprattutto a causa del comprensibile desiderio di ripristinare i servizi di business nel più breve tempo possibile. In un quadro come questo, è una precisa responsabilità del consiglio di amministrazione e del CISO evitare che venga trascurata un’adeguata e approfondita indagine e che l’azienda perda l’ennesima occasione di imparare la lezione. Convincere il CdA del valore che rivestono le valutazioni d’impatto e le analisi dei rischi, così come la successiva gestione dei rischi rilevati, è una funzione fondamentale, nonché una precisa responsabilità, dell’information security manager di oggi.

Le aziende in cui tutte le funzioni interessate operano di comune accordo alla costruzione di una forte difesa avranno certamente maggiori probabilità di prosperare, nonostante la tremenda pressione generata dalla riduzione di risorse, dalle minacce proliferanti e dal rapido progresso tecnologico. Nuovi pericoli nascono con la velocità e l’imprevedibilità della forza della natura, rendendo aziende e consumatori vulnerabili ai conseguenti danni. Ecco perché le aziende devono premunirsi oggi stesso per assicurarsi di essere adeguatamente mature e preparate ad affrontare le sempre più emergenti sfide alla sicurezza del proprio business.

Liberamente tratto da: “How To Talk About InfoSec To Your Board Of Directors” – Dark Reading

Ettore Guarnaccia