Security Assessment, il valore della sicurezza

Sicurezza
0 0 Non ci sono commenti

Esiste un Roi per gli investimenti in sicurezza?

Oltre ai casi più clamorosi che formano oggetto delle cronache, quasi ogni persona coinvolta nella sicurezza It ha sentito parlare di danni provocati alle aziende da perdita o furto di dati o da eccessivi tempi di fermo del sistema informativo aziendale. Sono allarmi che però non diventano quantificabili con numeri in grado di giustificare le spese in sicurezza. Molti esperti sottolineano che anche si se comprano tutti gli strumenti possibili non si ha mai una sicurezza garantita al 100%. Ma, se non si spende in sicurezza, le conseguenze di un attacco riuscito sono potenzialmente devastanti.

Regolamenti e leggi obbligano le imprese e i professionisti a condurre un’opera di ricognizione delle proprie necessità in materia di protezione It. Ma anche al di fuori di queste circostanze tutti concordano che è buona norma compiere un’operazione di risk assessment per determinare quali asset aziendali vanno tutelati e poi stanziare la spesa in funzione di questa valutazione.

La prima valutazione non va fatta dai tecnici ma da chi è in grado di stabilire sulla base del settore di business in cui opera quali informazioni importanti stanno nei computer e cosa farne. Se ad esempio dati come gli stipendi sono in outsourcing al di fuori dell’azienda l’impatto di una loro perdita o di un blocco della loro gestione cambia in modo sostanziale.Diversi fornitori sono in grado di fornire ai possibili clienti un documento con le linee guida da seguire per un’indagine di risk assessment.
Anche la frequenza di revisione può essere variabile, ma una buona regola è di farla almeno una volta all’anno.

Ma quali sono gli strumenti essenziali per la sicurezza? Sicuramente bisogna partire da firewall e antivirus.
Ugualmente fondamentale dicono gli esperti, ma spesso sotto valutato, è un solido sistema di gestione delle patch. Questo comporta non solo la dotazione di software apposito, ma anche una serie di procedure da adottare per far sì che le vulnerabilità siano sotto un controllo continuo. Le finestre temporali lasciate a chi gestisce la sicurezza aziendale dal momento della scoperta di una vulnerabilità all’adozione di una patch si stanno riducendo drasticamente a meno di non lasciare esposto il sistema It in modo inaccettabile.
Un tema caldo resta quello delle spese per il resto della protezione. Una strategia da adottare è di procedere verso soluzioni che tengono sotto controllo più fronti di minaccia: web server, crittografia e traffico di rete. Un ?altra è quella di seguire un’attenta politica di upgrade dell’ambiente operativo e di rete. Un’altra ancora , sempre valida, è di usare una certa cautela nella spesa, considerando che molti rischi hanno una bassa possibilità di verificarsi cercando di fare una valutazione complessiva del profilo di rischio, invece di andare a ricercare analiticamente tutte le vulnerabilità di un sistema.

Un ultimo suggerimento al security manager è di tipo comportamentale all’interno della sua stessa azienda: la capacità di valorizzare il proprio lavoro e di dimostrare al top management il valore di business degli investimenti in sicurezza aiutano non solo a giustificare gli investimenti, ma anche a trovare nuovi fondi per le necessità future.

Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore