Transcript 022014Settembre9-13036

moderna
la security
a cura di
Alessandro Manfredini, Senior Security Manager
LA SICUREZZA LOGICA:
TRA ASSET E LEVA COMPETITIVA
La dematerializzazione degli asset aziendali, apre ampi scenari per inquadrare la sicurezza logica come leva competitiva e importante strumento di
ottimizzazione.
Nell’affrontare la gestione dei processi di security abbiamo analizzato la gestione della sicurezza fisica e della
sicurezza organizzativa lasciando per ultimo la gestione
della sicurezza logica proprio perché ha importanti legami con le altre due componenti della security aziendale.
In un’era fortemente caratterizzata dalla dematerializzazione degli asset ragionare per processi logici rappresenta una leva competitiva che i manager del III Millennio
sanno benissimo. Occorre poi pensare alle economie di
scala e, cercando non tanto di risparmiare quanto di
spendere “bene”, in tale contesto, il security manager
può nuovamente sedersi al tavolo del board per rappresentare nuove opportunità di governance e di
integrazione di processi.
settembre 2014
18
security
la security moderna
Ogni azienda infatti gestisce in via diretta od
indiretta una considerevole mole di dati, sia
che siano dei propri dipendenti, prestatori
d’opera o addirittura di clienti.
La messa in sicurezza di questi dati, oltre che
essere conseguenza di un obbligo legislativo, rappresenta un plus per quelle aziende
che desiderano vedere nella security una leva
competitiva anche di marketing.
Il suggerimento che dò è dunque quello di
continuare a fare leva sul Modello di Organizzazione, Gestione e Controllo (MOG) previsto
dal D.Lgs. 231/01 in modo che sia progettato, implementato e monitorato un insieme
di regole che garantisca il controllo della sicurezza dei dati custoditi in azienda (o come
fuori dall’azienda, come nel caso delle soluzioni cloud).
La redazione delle procedure atte a controllare che soggetti interni all’azienda non commettano illeciti – nell’interesse dell’azienda – in
materia di reati informatici, ci consente di
avere sotto controllo i dati: dove ad esempio
i dati sono custoditi e come transitano da una
applicazione ad un’altra.
In poche parole avremmo sotto controllo non
solo l’architettura del nostro sistema informatico, ma anche come all’interno di questa i
dati transitano, si modificano, si aggregano e
se tutto ciò avviene in modo sicuro (soprattutto se vi sono iterazioni con il mondo esterno,
poiché molte aziende, rimanendo sempre Titolari del Trattamento, fanno gestire parte dei
loro processi da aziende terze attraverso servizi
in outsourcing). In questo complesso teatro si
devono rispettare diverse normative (più o meno
cogenti) che vanno dalla regole in materia di
privacy, agli standard internazionali in materia di
sicurezza delle informazioni, per non parlare di
chi si avventura nel mondo delle transazioni
commerciali on line (e-commerce).
Il suggerimento ulteriore che dò in termini
pratici è quello di continuare a produrre
il Documento Programmatico della
Sicurezza che sappiamo tutti il Decreto
Monti “Semplifica Italia” ha abolito): l’abrogazione di tale documento non ha però
settembre 2014
tolto la responsabilità in capo al Titolare del
Trattamento dei Dati di custodirli e di trattarli in modo sicuro, in altre parole le misure
di sicurezza minime ed idonee non possono
e non devono venire meno. Dunque un
utile strumento potrebbe essere quello di
mantenere il DPS (sicuramnte in una veste
più snella) per dimostare la governece ed il
controllo sul trattamento dei dati.
Il passaggio successivo poi, all’interno della
vostra organizzazione, potrebbe essere quello
di progettare - ampliando il perimetro di competenza – un sistema di più alto livello che
passi dalla tutela e protezione dei dati, alla
tutela e protezione delle informazioni.
In realtà complesse non è infatti sufficiente
proteggere il cosiddetto dato puro
perché l’aggregazione di più dati costituiscono
importati informazioni che potrebbero essere
strategiche per l’azienda che ne è owner e
pertanto considerevoli di protezione ad hoc.
Tutti quei dati che non troverebbero tutela
cogente nella normativa privacy invece potrebbero essere comunque suscettibili di protezione per salvaguardare ad esempio un
piano strategico di marketing e dunque il
business stesso, ed ecco che un sistema di
gestione della sicurezza delle informazioni
potrebbe essere la risposta operativa a questa
ulteriore esigenza.
Riassumendo, penso che una ottima opportunità per il security manager, sia quella di applicare le metodologie di analisi del rischio
che vengono applicate alla gestione dei processi di sicurezza fisica per garantire la sicurezza perimetrale e di accesso anche ai sistemi
logici aziendali per preservare i dati e salvaguardare le informazioni strategiche di una
azienda nell’ottica più ampia di tutelare la
capacità competitiva delle nostre organizzazioni, passando da quello che per legge è obbligatorio fare, per arrivare ad inserire, in un
contesto più ampio di sicurezza, i modelli di
gestione ormai riconosciuti dal mercato e
dalle best practice come uno strumento
efficace per la sicurezza delle informazioni
aziendali. n
19
security