Una serie di domande per capire il livello della sicurezza azendale. Esiste in azienda il security officer? L’azienda ha un piano per la sicurezza?
I ricercatori dell’università di Richmond, Virginia, hanno distribuito a un
campione preselezionato di aziende americane un questionario articolato, il cui
fine è di stimolare la riflessione sulle potenziali falle organizzative di
sicurezza e, possibilmente, anche le soluzioni a queste ultime. Di seguito le
domande poste negli Stati Uniti che possono essere utilizzate anche da aziende
italiane, soprattutto se di medie dimensioni, mentre le piccole
possono cercare di prendere spunto per trovare risposte adatte al problema
sicurezza in rapporto alle loro dimensioni.
1) Esiste in azienda il security officer? Con questa figura
professionale si intende un profilo decisamente simile a quello dell’Information
security manager, ma con funzioni più operative.
2) A chi riporta il security officer? Per la gestione della
sicurezza è molto importante ripartire e definire le responsabilità
organizzative.
3) L’azienda ha un piano di sicurezza informatica? Il piano
di sicurezza informatica, sia questo dipendente da una legge o meno, assume
un’importanza fondamentale nella gestione delle risorse, specialmente nei casi
di respiro internazionale, ove l’azienda colpita deve garantire comunque tempi
di recupero immediati.
4) Come il piano di cui sopra è comunicato agli utenti della rete
aziendale? Solitamente, se è previsto un piano, esistono anche
politiche, che si intersecano con il fattore appena nominato. Le policy,
inoltre, sono solitamente frutto delle relative linee guida, costituenti a loro
volta l’espressione degli obiettivi qualitativi dell’Ict aziendale. Perché la
comunicazione di tutti i fattori sopra indicati sia realmente efficace (e
valevole dal punto di vista legale) è necessario che le politiche siano
assolutamente semplici da comprendere e che le persone che ne sono destinatarie
firmino per presa visione e accettazione sempre che, ovviamente, non si tratti
di documenti redatti contro la legge. Questo tipo di operazione è di solito
effettuato al momento dell’assunzione di un nuovo arrivato in azienda, e
sottintende altresì l’intervento di un legale.
5) Con che frequenza si organizzano cicli di training/informazione
sulle problematiche di information security? Il rapporto tra numero di
corsi e il loro intervallo temporale è sicuramente un dato significativo sul
livello di attenzione che l’azienda pone al problema. Solitamente si effettua
una correlazione tra la pianificazione del training e la presenza o meno di un
piano di security. Maggiore è la frequenza, per lo meno dell’informazione
sull’uscita di nuove vulnerabilità, minore è il rischio di rimanere “scoperti”.
6) È presente un piano di disaster recovery? Questa è
sicuramente un’altra domanda che può ingenerare curiosità in chi è destinatario
del questionario. Solitamente un piano di massima di disaster recovery esiste,
ma proprio questa sua sommarietà è spesso dovuta alla mancanza di testing. Da
questa domanda ne nascono altre due, spontanee, a cui non ci può essere risposta
se non entrando nelle realtà aziendali: quanto e quando si effettua un piano di
valutazione proattiva delle carenze informatiche e organizzative? E ogni quanto
si effettua un test di funzionamento delle procedure stabilite? Chi è attento
all’evoluzione del trend amministrativo della sicurezza informatica, quindi, sa
che, per forza di cose, si deve iniziare a fare sul serio. Il proliferare di
questi survey, inoltre, può dimostrarsi utile a chi lavora nelle piccole e medie
imprese, per individuare perlomeno un punto di partenza per intraprendere il
confronto tra la propria situazione aziendale e la realtà del mondo perfetto,
alla quale bisognerebbe perlomeno guardare.
