In uno dei seminari di e-Academy a Smau, Orillo Narduzzo, vicepresidente Aiea (Associazione italiana information systems auditors), traccia le linee dell’organizzazione della sicurezza in azienda
“L’information security governance? Rappresenta la chiave di volta per il successo della sicurezza in azienda”.
Ad affermarlo è Orillo Narduzzo, vicepresidente Aiea (Associazione italiana information systems auditors), che precisa: “Elemento essenziale perché un progetto di sicurezza abbia un esito positivo è che il management o la proprietà siano convinti dell’importanza di tale progetto. E perché se ne convincano basta spiegare a chiunque abbia a che fare con l’azienda, sia che si tratti di un investitore o di un cliente, che la sicurezza va tutta a suo vantaggio”.
Tutta l’azienda deve essere adeguatamente sensibilizzata circa la necessità di proteggere le proprie risorse, a partire dal top management proseguendo per tutta l’organizzazione per arrivare a ogni singolo ruolo. “Però – sottolinea Narduzzo – per raggiungere gli obiettivi che ci si è prefissati è necessario un adeguato livello di addestramento. Per operare un’efficace attività di information security occorrono persone formate e certificate, che abbiano dimostrato di avere competenze adeguate”.
È poi fondamentale che una politica di sicurezza sia sostenibile e coerente con il business e gli obiettivi aziendali, con le norme di legge e i regolamenti di categoria. Per essere vincente, una strategia di sicurezza deve inoltre essere di supporto a quella aziendale ed essere avviata con il benestare della direzione, la quale deve assicurare il suo appoggio.
È necessario definire un modello organizzativo per la sicurezza, distribuendo i compiti e le responsabilità. L’amministrazione della sicurezza è efficace solo se mantenuta ad alto livello e se fra i suoi compiti include la definizione della strategia, gli obiettivi aziendali specifici e i relativi sistemi di misurazione delle performance.
“Per progettare, realizzare e gestire un programma di sicurezza e per la messa in atto di uno schema di governance – conclude Narduzzo – risulta strategico l’assessment. Per amministrarlo si può usare un Cobit (Control and audit for information and related technology), ossia un modello che descriva il legame logico tra i rischi aziendali, la necessità di controllo e le istanze tecnologiche. Si tratta di un modello che supporta l’It governance e l’information security governance. Con tutte queste informazioni si dovrebbe costruire un progetto coerente con il business, sostenibile e convincente per il management”.
