HWG
  • Servizi
    • Cyber defense
      • Security Awareness
      • File Integrity Monitoring
      • Network Security
      • Browser Isolation
      • Email Security
      • Endpoint Security
    • Machine intelligence
      • SIEM
      • EDR
      • SOAR
      • Anomaly Behavior Analysis
      • Cyber Threat Intelligence
      • Deception
      • Threat Data Feeds
      • Vulnerability Management
      • ICS Security
    • Human expertise
      • Security Assessment
      • Incident Response
      • Security Monitoring
      • Threat Hunting
  • Company
  • Blog
  • Resource Center
  • Contatti
  • Careers
  • it
    • en
HWG Incident Response
HWG
  • Servizi
    • Cyber defense
      • Security Awareness
      • File Integrity Monitoring
      • Network Security
      • Browser Isolation
      • Email Security
      • Endpoint Security
    • Machine intelligence
      • SIEM
      • EDR
      • SOAR
      • Anomaly Behavior Analysis
      • Cyber Threat Intelligence
      • Deception
      • Threat Data Feeds
      • Vulnerability Management
      • ICS Security
    • Human expertise
      • Security Assessment
      • Incident Response
      • Security Monitoring
      • Threat Hunting
  • Company
  • Blog
  • Resource Center
  • Contatti
  • Careers
  • it
    • en
HWG
HWG Incident Response
  • Servizi
  • Company
  • Blog
  • Resource Center
  • Contatti
  • it
    • en

L’importanza dell’IT Governance per la crescita delle aziende

Pubblicato da Paola Gilberti il 28 dicembre 2021

Clicca qui e scarica il White Paper: IT Security Governance

Partire dalle definizioni è il passo più sensato (e allo stesso tempo semplice) per inquadrare un elemento e capirlo a fondo. Ecco allora la definizione di IT Governance: un sistema attraverso cui le organizzazioni dirigono e controllano tutto quel che riguarda la security. Ciò porta subito a un’importante distinzione: quella con l’IT Security Management, che si occupa di controllare l’implementazione di soluzioni e procedure per mitigare il rischio informatico. La Governance agisce su un piano diverso, poiché determina chi è autorizzato o chi decide come viene controllata la suddetta implementazione. In altre parole, è l’insieme di procedure e meccanismi che determinano le decisioni e i processi per le strategie di cybersecurity. 

Gli obiettivi di una IT Governance efficace possono essere distinti in tre grandi aree: stabilire un framework di responsabilità; instaurare meccanismi di supervisione e mitigazione del rischio; instaurare processi per cui ci si assicuri che la security strategy aziendale sia allineata con gli obiettivi di business. Insieme, queste tre aree puntano a un risultato: stabilire e modellare il cybersecurity framework dell 'azienda.

 

Evitare le frizioni

Nella terza grande area vista poc’anzi convivono due elementi: la strategia di sicurezza e gli obiettivi di business. Affinché l’IT Governance sia efficace, è indispensabile che tra i due non esistano frizioni. «Il business è legato a obiettivi di performance, e ciò porta i vertici aziendali a vedere quasi sempre l’IT come un costo e non come opportunità di risparmio - racconta Federico Banterla, Cybersecurity Consultant per HWG -. La percezione del costo è sempre troppo alta e non permette di comprendere la portata del risparmio in caso di potenziale attacco. Ma la mitigazione del rischio da parte della cybersecurity è infinitamente minore, come prezzo da pagare, rispetto a una compromissione reale e grave».

Con le parole della saggezza popolare, si potrebbe dire che “più spendi, meno spendi”. Più approfonditamente, il cambio di percezione porta a un ribaltamento delle stesse dinamiche aziendali. «L’approccio tradizionale è top down: i board stabiliscono la strategia e le operations la attuano con quanto hanno a disposizione - spiega Banterla -. Ora assistiamo a un cambio culturale sull’IT governance, in base al quale sono le operations ad alimentare le strategie di sicurezza. Si è compreso che il rischio informatico riguarda l’intera azienda, e che quindi non ha senso distinguere ancora tra CIO e CISO, ma che ci deve essere una sola figura di riferimento». 

Un cambio culturale c’è quando la consapevolezza di un nuovo contesto è molto diffusa. Dei vertici abbiamo detto; ma com’è la situazione a un livello inferiore? «La nostra esperienza, per esempio quando identifichiamo le vulnerabilità delle mail, ci dice che le persone più attaccate sono anche quelle con meno educazione alla sicurezza, e coincidono con chi ha ruoli direttivi e rilevanti - rivela Banterla -. In ogni caso, la consapevolezza dell’importanza della cybersecurity va alimentata a tutti i livelli, con programma preciso. Il primo passo è valutare lo stato dell’arte e colmare i gap sulle procedure e i processi; il secondo è creare un programma di formazione continua». 

 

La necessità di un’unica figura

Poc’anzi Banterla ha sottolineato come la distinzione tra CIO e CISO non abbia più senso nell’ottica di una IT Governance produttiva di effetti positivi. Eppure, la distinzione permane. «Questo è un altro esempio di frizione tra strategia di sicurezza e obiettivi di business - dice -. In alcune aziende il CISO non c’è, o comunque coincide con l’IT manager di riferimento, che fornisce report ad hoc per il CIO. Ma l’informazione si basa su confidenzialità, integrità e accessibilità dei dati. Il compito della cybersecurity è proteggere quei tre elementin al 100 per cento, ma questo è anche il compito del CIO. Ecco perché non ha senso che se ne occupi qualcun altro». 

 

Come disegnare il framework delle responsabilità

Riunire in un’unica figura CIO e CISO può indurre nell’errore di considerare una sola persona responsabile finale di tutti i controlli che attuano l’IT Governance. Al contrario, è più corretto assegnare quote di responsabilità a figure di riporto, in primis perché ciò consente di supplire a eventuali assenze (può capitare di non essere a lavoro tutti i giorni), e poi perché aumenta la consapevolezza dell’importanza della sicurezza e mitiga il rischio. 

«Il framework deve essere adattato a contesto e ambiente. Durante la stesura di piani di business continuity e disaster recovery devono essere identificate figure, attività e processi, assegnando compiti precisi alle persone e dicendo loro a chi far capo. Così aumenta il grado di awareness e si evitano problemi che andrebbero a impattare in maniera rilevante sulla continuità aziendale», spiega Banterla, che poi sottolinea - in tema di consapevolezza - un’importante distinzione tra grandi organizzazioni e PMI.

«Nelle prime c’è sicuramente più coscienza dell’importanza dell’IT, ma spesso viene tradotta in più tecnologia e non in maggiore Governance. Quindi non sempre grande è sinonimo di efficace. Sulle PMI, tuttavia, bisogna lavorare molto. Con amarezza ammetto che spesso guardano solo alla compliance normativa, o perché sono in ritardo o perché devono tappare dei buchi. Ma notiamo che questa situazione sta cambiando, e ci fa piacere che soprattutto le aziende medie, dove magari in organico è presente un CISO, si approcciano a noi e chiedono di iniziare un vero percorso di crescita».

Tags: Corporate, Security Assessment, Cyber risk, IT Governance
Torna al Blog

Iscriviti alla Newsletter

Popular post

  • 27 mag 2020
    CEO Fraud: che cos’è la truffa del CEO e come dife...
  • 01 mar 2022
    Investcorp completa l’acquisizione di HWG
  • 26 feb 2020
    Cosa si trova nel dark web, e come difendersi?
  • 25 feb 2022
    Russia e Ucraina: la guerra che devi temere è quel...
  • 26 ago 2020
    SOAR Cyber Security: il futuro della sicurezza inf...

Topics

  • AI (1)
  • automotive (1)
  • aziende (1)
  • Brand Reputation (11)
  • browser isolation (1)
  • Business Continuity (1)
  • CEO Fraud (2)
  • cifratura dati (1)
  • compromise assessment (1)
  • Corporate (7)
  • criptazione (1)
  • criptovalute (1)
  • Cyber Agent (7)
  • cyber resilience (2)
  • Cyber risk (11)
  • Cyber Threat Intelligence (10)
  • cybercrime (1)
  • cybersecurity (2)
  • cyberwar (3)
  • Dark Web (7)
  • Data exfiltration (3)
  • Disaster Recovery (1)
  • Dubai (1)
  • Endpoint Protection (9)
  • Fabio Aletto (1)
  • ferrovie (1)
  • fintech (1)
  • Golfo Persico (1)
  • guerra (1)
  • Incident Response (3)
  • Industry 4.0 (6)
  • Intervista (9)
  • IoT (6)
  • IT Governance (1)
  • Lavoro (1)
  • Lituania (1)
  • Malware (7)
  • MFA (1)
  • Penetration Test (4)
  • Phishing (2)
  • pirateria (2)
  • politica (1)
  • ransomware (6)
  • risk assessment (1)
  • Russia (2)
  • Security Assessment (3)
  • Security Awareness (25)
  • SIEM (3)
  • SOAR (1)
  • SOC (24)
  • Sovranità digitale (1)
  • Spear Phishing (7)
  • sport (2)
  • telefono rosso (1)
  • trenitalia (1)
  • Ucraina (1)
  • Università (5)
  • USA (1)
  • Verona (7)
  • Vilnius (3)
  • Vulnerability Management (16)
  • Zero Trust (2)
see all topics

Articoli Correlati

SOC: il miglior monitoraggio evoluto della sicurezza informatica con HWG

Nel concetto moderno di cyber security, il SOC riveste un ruolo fondamentale per eseguire un...
Leggi di più

SOAR Cyber Security: il futuro della sicurezza informatica

Le tecnologie SOAR sono destinate a cambiare una volta per tutte il modo in cui le aziende si...
Leggi di più

HWG nomina dei veterani dell'industria informatica nel board per favorire la crescita internazionale

Verona, 11 Aprile, 2022 -HWG, azienda italiana leader nella cybersecurity, è lieta di annunciare la...
Leggi di più
HWG
  • ISO certified company
  • ISO
  • clusit
  • Servizi
  • Company
  • Blog
  • Resource Center
  • Contatti
HWG Incident Response
2021 © HWG Srl

HWG Srl | Via Enrico Fermi, 15/E - 37135 Verona | P.IVA 03820790230

  • Privacy Policy
  • Politica aziendale
  • Modello 231/2001