INFORMATION SECURITY GOVERNANCE
Ecco perché l'Information Security Governance e l'analisi critica di un modello di Risk Management deve essere considerata parte integrante delle strategie di business di un’azienda!
01
La difesa delle informazioni strategiche e il loro corretto collocamento nel programma di gestione del rischio informatico rappresenta, per il business, un obiettivo di Enterprise Governance prioritario.
02
Creare un processo integrato attraverso il quale si individuano, valutano e gestiscono i rischi derivanti da eventi potenziali che potrebbero influire negativamente sul raggiungimento degli obiettivi.
03
Creare una struttura che consenta di armonizzare gli standard internazionali di Information Security Governance agli obiettivi di Business aziendali.
04
Processo che garantisce una corretta ed efficace definizione e gestione del budget, del rischio, delle architetture tecnologiche ed i servizi di difesa.
05
Servizio di Advisoring che permette l’indirizzo di una prima macro valutazione sul grado di maturità del sistema di gestione della sicurezza informatica.
06
L’approccio olistico sull’Information Security permette di comprendere che le informazioni strategiche aziendali sono processate, mediante risorse IT all’interno di un Framework di Risk Management.
Nei sistemi informativi moderni la diffusione di linee guida, standard e Best Practice volte a garantire le migliori iniziative di controllo, di monitoraggio e mitigazione delle minacce e contenimento degli incidenti è un elemento che negli ultimi anni ha focalizzato l’attenzione delle organizzazioni più mature.
La difesa delle informazioni strategiche e il loro corretto collocamento nel programma di gestione del rischio informatico rappresenta, per il business, un obiettivo di Enterprise Governance prioritario.
L’agenzia per la gestione dell’Agenda Digitale Italiana si è “impegnata, tramite il CERT-AgID di mantenere e sviluppare servizi di sicurezza preventivi e funzioni utili per la crescita e la diffusione della cultura della sicurezza informatica, in linea con gli obiettivi del Piano triennale per la sicurezza nella pubblica amministrazione”.
La pandemia attuale, dovuta alla diffusione del COVID-19, rende urgente la tematica in ogni organizzazione, dove nel periodo precedente venivano trascurate o perlopiù destituite in secondo piano e non afferenti alle iniziative di salvaguardia del business e degli Assets critici aziendali.
Scenari comuni sono rappresentati, in relazione a predicibili attacchi cyber, dalla quasi totalità di mancanza di approccio strutturato e a largo spettro, utile a definire e ad applicare le corrette contromisure tecnologiche e organizzative a mitigazione e contenimento dei rischi informatici.
Le organizzazioni che godono di un buon livello di maturità, misurabile attraverso Best Practices (cfr. CMM - Capabilities Maturity Model), ben comprendono sulla necessità di intervenire con strumenti di governo che corrispondano ad una visione olistica in grado di indirizzare con cognizione di causa gli investimenti in Information Security e puntuali iniziative di progetto inseriti in un contesto coordinato ed in armonia con i principi e obiettivi di Business.
Obiettivi del
Framework
Indirizzare gli investimenti sull’Information Security secondo criteri derivati dagli obiettivi di business, che integrino metodi e Framework riconosciuti dal mercato per la gestione del rischio IT, la comprensione ed il miglioramento del modello di maturità dell’organizzazione (Cd. CMM - Capabilities Maturity Model), le metriche di misura in grado di evidenziare e comunicare verso gli stakeholders i benefici del Piano Permanente sulla Sicurezza.
Un framework per la gestione dei processi ed investimenti in Information Security, permette di definire e attuare un piano permanente sulla sicurezza, strutturato e sostenibile da tutta l’organizzazione; è strumento di Awareness utile per comprendere e attuare, per mezzo di piani strutturati di formazione, le buone pratiche e gli standard di Information Security, Cyber Security.
Approccio
Un indirizzo strategico/operativo - ambiti tra loro strettamente correlati -, permette di presentare e proporre al Board of Mangement un approccio alla Information Security Governance che consenta al Business di comprendere, approvare e sponsorizzare le iniziative atte a gestire il rischio IT in modo tale da condurlo ad un livello accettabile o definendone il trasferimento.
In questo contesto e con queste premesse, si presenta un approccio strutturato che possa armonizzare le migliori pratiche e standard internazionali di Information Security Governance mantenendo un continuo focus sulla natura e gli obiettivi del Business.
Il Framework di riferimento, sviluppato nel corso dell’esperienza sul mercato, riverisce agli elementi portanti del Business che conosce, comprende e studia - nelle strategie, negli obiettivi e nella loro misurazione di performance - per promuovere strategie e iniziative operative di IT Risk Management, Information Security Awareness, alla prevenzione e risposta agli incidenti di sicurezza.
Gli elementi che compongono il framework, strettamente correlati tra loro, comprendono:
- Business Requirements: costituiscono le attività di Advisoring di acquisizione dei driver di business: la Strategia, I goals, le metriche;
- Awareness & Communication: promuove le iniziative di comunicazione biunivoca da e verso il business e condivide le iniziative di gestione e mitigazione del rischio informatico, comunica i driver strategici verso l’Information Security Governance;
- Information Security Governance: con iniziative di Information Risk Management, strategia e direzione, sviluppo attuativo del piano, gestione degli incidenti, procedure operative.
Information
Security
Posture
L’attività di valutazione del grado di maturità dell’organizzazione inerenti alle tematiche di information Security e la gestione del rischio nel continuo, rappresenta il nucleo fondamentale e ricorsivo di un programma di governo a lungo termine.
E’ quindi un processo ciclico e qualitativo che trova nella sua applicazione quotidiana, i principi di innovazione tecnologica e maturità dell’organizzazione rispetto agli attacchi cyber sempre più sofisticati.
Questo processo garantisce, tra i suoi deliverables, una corretta ed efficace definizione e gestione del budget, la gestione del rischio, le architetture tecnologiche ed i servizi di difesa e contenimento, la misurazione del ritorno degli investimenti.
Tra i modelli - Framework - di riferimento utilizzati nel corso delle attività di Information Security Posture, troviamo la ISO 27002, le direttive NIST, il CobIT, il COSO, per citarne alcuni.
Gli outcomes del programma e l’ausilio di applicazioni GRC garantiscono, la gestione strategica ed operativa delle iniziative permanenti e degli investimenti in Information Security.
Pre-Audit
E’ un servizio di Advisoring che permette l’indirizzo di una prima macro valutazione sul grado di maturità e sulle caratteristiche di resilienza del sistema di gestione della sicurezza informatica.
Un investimento minimo e limitato, in grado di redigere sui principali indirizzi strategici utili all’evoluzione e alla direzione dei programmi ed investimenti di Information Security.
Conclusioni
L’approccio olistico sull’Information Security e in modo particolare sulla gestione del rischio permette all’organizzazione di comprendere che le informazioni strategiche aziendali sono processate, memorizzate o trasmessa mediante risorse IT all’interno di un Framework di Risk Management il quale è volutamente agnostico, riguardo alla tecnologia impiegata, in modo da poter essere applicato ovunque.
