Protezione dati: 5 consigli da Websense a Ciso attenti alla sicurezza

Alla base un unico assunto, ossia che è importante definire i rischi e le soluzioni di sicurezza implementate e condivise, trovando il giusto equilibrio tra i due.

Esistono e, se sì, quali sono le iniziative che possono essere implementate per proteggere aziende ed enti governativi contro gli attacchi avanzati dei cyber criminali?

Prova a rispondere Websense suggerendo ai Chief information security officer, o Ciso, 5 consigli utili per fronteggiare una protezione dei dati aziendali e della proprietà intellettuale messa a rischio dall’incedere di innovazioni quali Byod, cloud, accessi globali e social network.

Se la sicurezza diventa differenziante, anche in termini finanziari
Si comincia, allora, invocando un po’ di buon senso da parte di funzioni aziendali, come le vendite e il marketing che, pur generando profitto, tendono a considerare la sicurezza come l’ultima risorsa o a non considerarla affatto.
Al contrario, il primo suggerimento mosso da Websense è proprio quello di capire il proprio business coinvolgendo attivamente i Ciso nel ciclo di sviluppo di prodotti e servizi integrando la sicurezza in modo da valorizzarne la conversione in denaro.

Niente sicurezza It se non si integrano governance e processi
Per opporsi al cyber crime organizzato e all’hacktivism aumentando la sicurezza in azienda, e con essa i profitti, occorre anche e soprattutto, capire il ruolo di quest’ultima.

La tecnologia fine a se stessa, infatti, può ben poco, senza le persone e i processi. Inoltre, la formazione dei dipendenti, dal consiglio di amministrazione al servizio clienti, è fondamentale e ognuno dovrebbe conoscere reciprocamente la mission e le strategie delle singole divisioni presenti nella propria realtà.

Per capire quanto i dipendenti conoscono le minacce e come reagiscono, è l’ulteriore suggerimento in proposito, è possibile simulare un attacco contro la propria azienda. Allo stesso modo sarebbe possibile sfidare il proprio helpdesk a capire come sarebbe possibile rubare una password durante il processo di reset, identificando potenziali casi di uso improprio o di abuso.


Da solo il possesso delle informazioni non basta
Comprendere il valore delle informazioni è, altresì, molto importante, al fine di passare dall’essere un gruppo di sicurezza operativa a un team di intelligence di sicurezza.
Per riuscirvi occorre consentire all’It di attuare un programma di sicurezza che protegga l’azienda contro la perdita e il furto dei dati.

Decidere chi, cosa e perché
Di pari passo va, poi, stabilita la governance, ossia la capacità di delineare le aspettative, assegnare il potere e confermare le performance.
Il tutto, sempre secondo Websense, può essere ottenuto attraverso la creazione di una dichiarazione d’intenti legata alle iniziative di sicurezza all’interno della propria azienda al fine di garantire un allineamento operativo tra tutti i reparti, così da coinvolgere maggiormente le persone in azienda, rendendole più consapevoli dell’architettura di sicurezza implementata.

Trasformare i progetti in obiettivi supportati dal board
Infine, il quinto e ultimo suggerimento, è convertire il rischio in iniziative di capitalizzazione.
Obiettivo: sfruttare il proprio modello di governance per trasformare le iniziative di Information security in sforzi di capitalizzazione.
In questo modo, collaborando con il senior management per determinare mission, priorità e iniziative, i progetti saranno trasformati in obiettivi supportati dal board, mentre l’aggiornamento del senior management in merito a rischi, informazioni e notizie che lo riguardano non potrà che fornire maggiore adesione alle iniziative consentendo di costruire solide basi per la strategia di sicurezza in azienda.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome