Top news
-
Resource Center
Sicurezza
- 22 novembre 2007
- Stampa
- Invia a un amico
0
Dentro l’Information Security Governance
Per lungo tempo, la sicurezza delle informazioni è stata percepita e gestita come un problema puramente tecnologico. Il tema della sicurezza si è perciò sviluppato divenendo una disciplina dalle connotazioni fortemente tecniche, accessibile solamente agli specialisti ed agli addetti ai lavori: in pratica, la sicurezza delle informazioni è stata vista come una specializzazione all’interno del mondo, già di per sé specialistico come quello dell’Information Technology.
Escludendo i casi in cui un incidente di sicurezza ha causato danni tangibili d’immagine e soprattutto di tipo economico, business e tecnologia hanno avuto raramente modo di confrontarsi su questi temi, scoprendo proprio in questi momenti che spesso visioni ed obiettivi divergevano profondamente.
Lo scenario negli ultimi anni si è modificato notevolmente: la sicurezza delle informazioni si è affermata non più come un’attività per poche aziende di nicchia, ma come una vera e propria necessità sia per competere con successo in mercati sempre più complessi, sia per gestire correttamente i rischi di sicurezza che aumentano ad una velocità sempre maggiore.
Dopo una prima fase iniziale in cui le aziende si sono focalizzate sulla scelta delle singole soluzioni di sicurezza da adottare senza mai giungere a definire una vera e propria strategia globale di sicurezza, attualmente si avverte con una sempre maggiore forza la necessità di allineare strategie di business e strategie di security, realizzando di fatto quelle attività incluse all’interno dei cosiddetti modelli di Information Security Governance.
Cercando di sintetizzare in un’unica definizione un concetto articolato, si potrebbe descrivere l’Information Security Governance come un processo volto a stabilire e supportare una cultura della sicurezza che assicuri costantemente il pieno raggiungimento sia degli obiettivi di business sia dei requisiti di protezione delle informazioni richiesti da tutti gli stakeholder, nel rispetto di quanto previsto dalle normative e dai regolamenti di settore.
Le attività principali
Passando dalla teoria alla pratica, vediamo alcune delle principali attività che devono essere svolte all’interno di un processo strutturato di Information Security Governance:
Pianificazione strategica della sicurezza: sono tutte quelle attività periodiche che mirano a definire l’insieme dei requisiti di sicurezza sulla base delle necessità di business dell’azienda; in tal modo è possibile garantire un allineamento costante tra strategie di business e strategie di sicurezza, pianificando investimenti e soluzioni secondo una logica di stretta integrazione con l’evoluzione dei processi di business e dei sistemi informativi di supporto. Il piano strategico della sicurezza definisce in maniera chiara vision e obbiettivi di sicurezza, supportati da una pianificazione di alto livello che indica come raggiungere tali obiettivi nel breve e medio/lungo termine, e quali indicatori di performance sia necessario misurare per verificarne il raggiungimento.
Modello organizzativo: rappresenta tutte quelle attività di definizione di ruoli, responsabilità, allocazione delle risorse e delle competenze necessarie per la gestione ed il controllo della sicurezza delle informazioni. Policy, standard e linee guida di sicurezza: definiscono l’insieme dei principi e delle regole ai quali devono ispirarsi ed attenersi tutti gli attori coinvolti.
