I CSO interpellati da RSA indicano come combattere le nuove minacce

EnterpriseFisco e FinanzaSicurezza

RSA: la sicurezza deve essere considerata come una responsabilità condivisa per gestire i rischi inerenti al business all’interno di uno scenario di minacce che è in costante evoluzione

RSA propone un’analisi realizzata da un gruppo di noti Chief security officer per aiutare le aziende e le istituzioni a migliorare la conoscenza delle minacce avanzate che vanno dallo spionaggio industriale all’interruzione delle operazioni di business e finanziarie, fino al sabotaggio delle infrastrutture aziendali. “Transforming Information Security: Designing a State-of-the Art Extended Team” è il decimo report della serie di ricerche condotte dal Security for Business Innovation Council , un gruppo di leader di sicurezza appartenenti alle aziende Global 1000 impegnati a migliorare l’information technology in tutto il mondo. Gli sviluppi delle minacce alla sicurezza IT degli ultimi diciotto mesi hanno visto enormi cambiamenti nei requisiti richiesti ai team di sicurezza, con uno scenario, in termini di minacce, in costante evoluzione, di ambienti di business iperconnessi, di ingresso di nuove tecnologie e di controlli normativi sempre più in aumento. I team aziendali che si occupano di sicurezza devono evolversi acquisendo competenze e know how non tradizionalmente associati al tema della sicurezza, come ad esempio la gestione del rischio di business o conoscenze legali, matematiche, di marketing e di processi di acquisto. La disciplina della sicurezza informatica dovrebbe, inoltre, adottare un modello di responsabilità congiunta che unisca i manager line-of-business con gli executive, i quali iniziano a capire come il rischio informatico sia a tutti gli effetti parte integrante del rischio di business.

Per aiutare le aziende a creare team di sicurezza estesi, il report delinea sette passaggi fondamentali:
1. Ridefinire e rafforzare le competenze base – Le competenze dei team devono essere focalizzate su quattro aree strategiche: intelligence sui rischi informatici e analisi e gestione dei dati di sicurezza, consulenza sul rischio, progettazione e applicazione di controlli.
2. Delegare le operazioni di routine – Delegare quei processi di sicurezza “di routine” alle funzioni IT, alle diverse business unit e/o a service provider esterni.
3. Affidarsi a esperti – Per particolari specializzazioni, il team di lavoro deve poter essere supportato da esperti che possono essere interni o esterni all’azienda.
4. Gestione del rischio da parte di chi ne è responsabile – Bisogna collaborare con le funzioni di business per gestire i rischi informativi e coordinare un approccio oltre che una strategia omogenei. Inoltre è fondamentale che le procedure siano semplici così da poter essere seguite dalle funzioni di business alle quali va delegata la responsabilità.
5. Assunzione di specialisti nell’ottimizzazione dei processi – Il team deve poter fare affidamento su persone dotate di notevole esperienza nella gestione di progetto, di programma o di qualità, nell’ottimizzazione dei processi e nel delivery di servizi.
6. Costruire relazioni di spessore– E’ determinante rafforzare e creare rapporti di fiducia con gli interlocutori più importanti come i responsabili dei sistemi principali, i middle manager e i service provider esterni.
7. Formazione dei futuri talenti – In considerazione di una presenza abbastanza scarsa di esperti, per la maggior parte delle aziende l’unica vera soluzione a lungo termine è quella di formare le risorse al proprio interno. Il background di queste persone può comprendere nozioni di sviluppo software, analisi di business, gestione finanziaria, intelligence militare, giurisprudenza, privacy dei dati, scienze dell’informazione e analisi statistica complessa.

Read also :
Autore: Silicon
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore