La Governance dei Processi Aziendali
Garantire la governance di un’infrastruttura IT ha un peso sempre crescente nella definizione delle strategie dell’impresa, confermandosi un elemento critico per il successo nell’ottenere un vantaggio competitivo, aumentare la produttività e diminuire il rischio di fallimenti o perdite quote di mercato.
Con il moltiplicarsi delle norme, è aumentato necessariamente il numero dei modelli organizzativi che, se da un lato ben rispondono alle esigenze dettate dalle normative, dall’altro implicano la coesistenza di una pluralità di progetti e consulenti, la duplicazione e la non coerenza delle informazioni, un impianto di controlli non ottimizzati, una governance decentralizzata e la relativa impossibilità di effettuare un monitoraggio strutturato.
A tal proposito il mercato della sicurezza IT viene pressato verso una continua ingegnerizzazione di nuove soluzioni e metodologie con lo scopo di aumentare la sicurezza dei sistemi di conseguenza dell’intera infrastruttura.
In particolare, garantire la capacità di governare tutte le informazioni di business o specifiche IT, gestendo in forma diretta gli eventi di maggiore rilevanza, ponendo anche in essere delle iniziative progettuali volte a migliorare i livelli di sicurezza dei processi aziendali e di prevenire eventi dannosi mitigandone i rischi connessi.
Al fine da assicurare un monitoraggio costante è fondamentale l’adozione di strumenti di Business Intelligence che permettano di:
- raccoglie in modo automatico le informazioni provenienti da sistemi interni ed esterni;
- predisporre specifici ambiti di analisi;
- proporre in modo efficace ed intuitivo le informazioni rilevanti;
- consentire analisi ed interrogazione in tempo reale al fine di supportare il management nelle fasi di:
- individuazione di tipologie/classi di eventi e di tipologie di correlazioni;
- prevenzione degli eventi dannosi per l’azienda;
- individuazione di strategie ed azioni atte a mitigare i rischi connessi a tali eventi.
- migliorare il servizio offerto
Un approccio che attualmente risulta essere efficace, consiste nell’implementazione di una soluzione di Security Intelligence, ovvero, una soluzione che sia in grado di analizzare e correlare tutti gli eventi scaturiti dall’infrastruttura quali ad esempio (IDS, Firewall, CMDB, Auth. Systems, Antivirus, Malware, OS, Appl DB, Sistemi di videosorveglianza, etc.)
La correlazione di diverse tipologie di eventi, permette di esaminare attraverso dei processi di analisi puntuali, le informazioni presenti su tutti i sistemi IT le quali interagendo tra loro garantiscono una governance completa dei processi organizzativi verso tutte le funzioni aziendali le quali disporranno di uno strumento determinante al fine del monitoraggio dei livelli di rischio e del livello di esposizione aziendale.
Garantire una governance con un elevato livello di sicurezza IT è fondamentale, non è quindi necessario solo in occasione di eventi eccezionali, addirittura catastrofici, quali attacchi informatici di tipo criminoso e fraudolento ma anche di problemi di ordinaria amministrazione: errori umani e procedurali in linea con le ultime normative e compliance. Una soluzione di Security Intelligence garantisce lo scambio delle informazioni tra i vari processi aziendali, riducendo la possibilità di scarse performance dei singoli processi e permettendo quindi il controllo delle performance aziendali complessive.
L’obiettivo è quello di ottenere una gestione completa che permetta di realizzare e garantire in tempo reale la misurazione delle performance, nonché supportare il ciclo di miglioramento continuo per una valutazione degli indicatori di rischi KRI rispetto all’ infrastruttura, processi e organizzazione.
Conclusioni
Partendo dal presupposto che la sicurezza di un’azienda è strettamente legata ai processi organizzativi, dove procedure e sensibilizzazione verso i dipendenti sono gli elementi “core”, le soluzioni tecnologiche finalizzate alla risoluzione di specifiche problematiche dovranno essere individuate analizzando l’ambito secondo reali esigenze e soprattutto garantire un’integrazione completa della preesistente infrastruttura tecnologica al fine di massimizzarne benefici e costi.
La sicurezza è guidata dai processi di business, i quali sono concepiti di attività nelle quali operano: persone, sistemi, infrastrutture, in genere autonomi e interdipendenti, interni ed anche esterni.
La garanzia della corretta operatività e interazione tra i processi e quindi del flusso delle informazioni è data dalla gestione della sicurezza, la quale provvede non solo alla prevenzione di: errori umani e/o procedure, infiltrazioni e attacchi, ma, soprattutto, è arbitro della corretta interazione tra i processi e scambio delle informazioni.
Una soluzione di Security Intelligence implica un approccio condiviso, è l’impiego di strumenti omogenei che siano in grado di garantire un framework completo che inizi soprattutto dall’analisi del processo di business fino ad arrivare al processo tecnologico, come ad esempio nell’ambito della protezione dei dati attraverso il processo di cifratura delle informazioni classificate “sensibili” con impiego di soluzioni preconfezionate o sviluppate ad hoc che tengano in considerazione tutto il ciclo di vita del dato (residente o in transito).
La soluzione di Security Intelligence vuol essere funzionale all’ottimizzazione dei processi aziendali nello specifico all’ottenimento dei seguenti benefici:
- miglioramento della comprensione degli incidenti, individuando pattern, correlazioni, elementi in comune non evidenziati al momento dell’incidente;
- individuazione di fenomeni anomali e/o critici,
- tramite modelli statistici o codifica di regole gestite da esperti di sicurezza;
- condivisione di strumenti ed azioni con altre funzioni aziendali,
- al fine di valutare i rischi dalle diverse prospettive;
- per velocizzare analisi e decisioni strategiche;
- monitoraggio dei livelli di rischio e del livello di esposizione aziendale,
- centralizzando il collezionamento, la storicizzazione e visualizzazione di KPI (Key Performance Indicators) e KRI (Key Risk Indicator);
- predisposizione del monitoraggio
- del Sistema di Gestione della Sicurezza;
- delle iniziative orientate alla mitigazione dei rischi di sicurezza nell’ambito del piano strategico aziendale;
In un mercato orientato alla esemplificazione tecnologica, dove usabilità e saving dei processi sono fondamentali per uno sviluppo orientato al contenimento dei costi, sempre più determinante risulta essere la scelta di soluzioni che incrementino la sicurezza dell’infrastruttura a livello di governance, nel rispetto delle normative vigenti in tutta trasparenza, soluzioni che siano la risultante di un analisi dettagliata dei processi e di uno scouting approfondito di soluzioni tecnologiche che tengano conto dei requisiti più stringenti in termini di normative piuttosto che standard di sicurezza, la costituzione di una scelta equilibrata può determinare il successo di un impresa che sempre più è tenuta ad affrontare consistenti tagli degli investimenti e razionalizzazione dei processi di business.
A cura di: Cristian Rei
Cristian Rei è business Security Manager di Mediatica Spa, società di riferimento nell’INFORMATION MANAGEMENT e nella DIGITAL TRASFORMATION di grandi aziende, pubbliche e private.