Cosa deve fare un Ciso nei suoi primi cento giorni

Uno studio di Oracle Community for Security definisce il decalogo del Responsabile della Sicurezza delle Informazioni, dalla definizione condivisa degli obiettivi all’analisi di minacce e vulnerabilità, dalla gestione del rischio, al riesame del processo.

Al Security Summit 2013 di Milano la Oracle Community for Security, comunità dei partner Oracle focalizzata sui temi della sicurezza It in azienda, ha messo a fuoco le sfide per il Responsabile della Sicurezza delle Informazioni al suo insediamento nel ruolo, con riferimento al contesto della media impresa italiana.

La Community ha infatti presentato lo studio “I primi 100 giorni del Responsabile della Sicurezza delle Informazioni. Come affrontare il problema della Sicurezza informatica per gradi”, un vademecum che intende sostenere il Ciso nell’impostare le strategie di It security dal punto di vista metodologico e pratico.

Con lo studio la Oracle Community for Security vuole supportare il nuovo Responsabile della Sicurezza delle Informazioni nell’indirizzare le scelte nel breve periodo, definendo obiettivi concreti e proponendo azioni che portino a risultati visibili e migliorabili nel tempo.

Lo studio pone quindi in evidenza le aree su cui il Responsabile della Sicurezza delle Informazioni dovrebbe concentrare inizialmente il proprio sforzo.

In primo luogo, però, il documento propone l’adesione al modello noto come Pdca o “modello di Deming”, cioè una metodologia che, partendo da un’idea di fondo, la sviluppa in maniera circolare fino a verificarne i presupposti stessi in un’ottica di miglioramento continuo.

Lo studio suggerisce dunque al Responsabile della Sicurezza delle Informazioni di determinare l’iniziale contesto aziendale in cui dovrà operare, non dimenticando di ricercare all’interno dell’azienda, prima che fuori (fornitori, prodotti e servizi di sicurezza) le risorse e gli aiuti necessari.

Il Responsabile della Sicurezza delle Informazioni dovrà poi cercare di comprendere il proprio ruolo e le proprie responsabilità, anche in relazione a quelle dei soggetti aziendali con cui più facilmente sarà necessario un confronto, stabilendo con essi dei forti legami di collaborazione.

Il Responsabile della Sicurezza delle Informazioni dovrà quindi arrivare a impostare una strategia a lungo termine e il cosiddetto Sistema di Gestione della Sicurezza delle Informazioni (Sgsi) secondo la norma ISO 27001.

I decalogo del Sgsi
Lo studio suggerisce in particolare dieci passi per delineare al meglio il Sgsi:
- definire con la direzione gli obiettivi di sicurezza allineandoli alle strategie aziendali e dal rispetto dei vincoli di compliance;
- comprendere quali informazioni si devono proteggere;
- definire le minacce, le vulnerabilità, gli impatti;
- analizzare e ponderare i rischi;
- informare, creare consapevolezza e formare;
- rendersi conto della situazione;
- gestire il rischio;

- misurare;

- tenere traccia degli eventi relativi alla sicurezza e dimostrarsi capaci di reagire agli incidenti;
- fare il riesame.

Nel realizzare il Sgsi, il Responsabile della Sicurezza delle Informazioni dovrà impegnarsi ad avere sempre sotto controllo il contesto legislativo e regolamentare del settore industriale in cui opera la sua azienda.
Ciò dovrà essere fatto sia per gli aspetti più legati al suo nuovo ruolo (come Statuto dei Lavoratori, la cosiddetta Responsabilità Amministrativa delle imprese) sia per quelli più ampi che impattano sulle informazioni aziendali (protezione dei dati personali, proprietà intellettuale).

CONDIVIDI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here