Security e Business n.42

La security deve diventare strategica per le imprese. Le minacce, infatti, estendono la loro ombra su tutta l’azienda. Il ruolo del Ciso

La pressione degli attacchi, in particolare verso le grandi imprese, ha raggiunto livelli tali per cui non è più possibile adottare, per la cyber security, la strategia dello “struzzo”, come troppi manager e imprenditori fanno da anni.

Le cronache fungono da campanello d’allarme, ma in molte aziende questo suona a vuoto. È invece imprescindibile attivare una strategia di gestione del rischio legato alla security informatica come per qualsiasi altra tipologia di rischio.

Non a caso crescono le esperienze “assicurative”, che potrebbero costituire un ombrello importante per chi subisce un attacco. Il problema è che questo non sempre porta a conseguenze prevedibili. La mancanza di casistiche consolidate rende difficile per le compagnie assicurative valutare i parametri di una polizza che preveda anche danni immateriali e, soprattutto, danni digitali dovuti alla security.

Basti per tutte una considerazione: il furto di un computer, in quanto bene materiale, è facilmente riconducibile a un danno appunto materiale, ma i dati che su esso risiedono che valore hanno? Che dire poi del semplice furto dei dati da un server. Intanto è improprio parlare di furto, perché i dati continuano a risiedere sul server in questione da dove sono stati semplicemente copiati. Il valore del danno dipende dall’utilizzo che di questi dati sarà fatto.

Nello speciale su questo numero si affronta il tema dell’incident response come chiave nella gestione del rischio e la questione, negli ultimi anni affrontata da analisi e indagini, relativa al trasferimento del rischio a un soggetto terzo.

Molto interessante è la riflessione di Aipsi sul ruolo del CISO, che proprio della gestione del rischio si dovrebbe occupare.

Il ruolo e la funzione di chi si occupa della cyber security nelle strutture organizzative di enti/aziende in Italia (che generalmente è chiamato CISO, Chief Information Security Officer) e, più in generale, la struttura organizzativa per la sicurezza digitale, sono un significativo indicatore di come viene percepito, affrontato e governato questo tema, ormai fondamentale per garantire i beni informativi e la continuità operativa dell’intera azienda/ente.

Leggi della security di HPE

Leggi della security di HPE

Le competenze richieste a un moderno CISO sono multidisciplinari, da quelle tecniche a quelle manageriali in senso lato, da quelle organizzative a quelle legislative, e richiedono frequenti aggiornamenti. Una figura professionale che ben difficilmente può appartenere, per esempio come dipendente, a piccole e piccolissime aziende/enti lato domanda ICT , che in Italia sono la stragrande maggioranza. Una figura difficile da trovare anche nelle medie e medio grandi organizzazioni, sempre lato domanda ICT. Diversa ovviamente la situazione per le aziende, anche piccole, lato offerta, ossia quelle che operano direttamente nei servizi ICT o che da questi fortemente dipendono.

In chiusura l’articolo sulle soluzioni intelligenti di HPE per la security.

Sul tema della security, ricordiamo la disponibilità della monografia uscita in allegato al Sole 24 Ore..

Gaetano Di Blasio ha lavorato presso alcune delle principali riviste specializzate nell’ICT. Giornalista professionista, è iscritto all’ordine dei giornalisti della Lombardia ed è coautore di rapporti, studi e Survey nel settore dell’ICT. Laureato in Ingegneria.