La sicurezza delle informazioni è l’insieme delle misure, di natura tecnologica, organizzativa e legale, tese a impedire o ridurre al minimo i danni causati da eventi, siano questi intenzionali, come accade per crimini o frodi, o non intenzionali, lega …
La sicurezza delle informazioni è l’insieme delle misure, di natura tecnologica, organizzativa e legale, tese a impedire o ridurre al minimo i danni causati da eventi, siano questi intenzionali, come accade per crimini o frodi, o non intenzionali, legati a errori umani o fenomeni naturali, che violano la confidenzialità, l’integrità e la disponibilità del patrimonio dei dati aziendali.
L’Ict security è una componente della sicurezza delle informazioni, focalizzata sulla protezione di tutti i record gestiti dai sistemi It e trasmessi attraverso le reti aziendali o Internet. «Le principali attività della sicurezza Ict – esordisce Luca Marzegalli, responsabile scientifico dell’Osservatorio Information Security Management, della School of Management del Politecnico di Milano e Cefriel – sono relative alla definizione delle policy e delle procedure operative, alla pianificazione e controllo delle attività, alla progettazione e identificazione delle tecnologie e dei sistemi, alla loro implementazione e gestione operativa, oltre che al monitoraggio di tutti i singoli componenti». Si tratta di un complesso insieme di procedure, che necessita di competenze ad hoc e trasversali oltre che di una conoscenza approfondita delle reti, dei processi interni all’azienda e delle interazioni tra l’organizzazione e gli attori esterni, come clienti, fornitori e partner. «Esistono, schematizzando, quattro configurazioni di complessità crescente – sostiene Marzegalli -, che mettono in luce i riflessi organizzativi nella scelta dei team legati alla sicurezza Ict». Il modello all in one si caratterizza per la concentrazione di tutte le attività legate alla protezione dei sistemi informativi in un’unica organizzazione, tipicamente l’unità operativa della funzione Ict. «Una scelta fondamentale, in questo caso – chiarisce -, è capire dove collocare la parte di governo, se internamente o esternamente alla struttura informatica». La configurazione Ict Centric prevede, invece, il posizionamento dell’unità di governo della sicurezza in staff alla direzione sistemi informativi. Questo team si occupa tipicamente delle attività di governo e progettazione delle soluzioni, demandando lo sviluppo applicativo e la gestione operativa alle diverse aree tecnologiche.
Un’alternativa percorribile è quella della Segregation, nella quale l’unità di presidio della sicurezza informatica è collocata al di fuori della direzione Ict, generalmente all’interno della direzione “corporate” della sicurezza, nata in molte realtà con la responsabilità di gestire la protezione degli asset tangibili, quindi la cosiddetta sicurezza fisica. In questo caso, le attività di governo, e spesso anche la selezione delle soluzioni, sono affidate a chi ha in carico la sicurezza fisica mentre all’Ict rimangono sviluppo ed esercizio. «Eventuali conflitti – sottolinea -, tra le priorità dell’Ict security e quelle dell’Ict dovranno essere gestiti tra il Cio e il responsabile a livello corporate della tutela dei dati». Il quarto profilo, denominato Multiplayer, introduce un ulteriore livello di separazione, assegnando la responsabilità dell’attività di progettazione e identificazione delle soluzioni a un’apposita struttura organizzativa in staff all’It, che avrà il compito di costituire l’interfaccia privilegiata per le materie della tutela. Questo modello prevede che le attività di governo siano attribuite a una o più unità organizzative della funzione sicurezza corporate (ovvero quella che si occupa della sicurezza fisica), mentre la progettazione delle soluzioni è assegnata a un’apposita unità di protezione It, collocata all’interno della divisione Ict. Sviluppo e gestione delle attività sono, invece, attribuite alla corrispondente funzione informatica. A determinare la scelta dei diversi modelli organizzativi, sono soprattutto le dimensioni della direzione Ict. Ecco che, ovviamente, la configurazione all in one risulta la più adottata nelle strutture con dimensioni dell’organizzazione Ict limitate, mentre la Multiplayer è presente laddove le dimensioni della struttura informatica siano particolarmente significative.
