Partire dalle definizioni è il passo più sensato (e allo stesso tempo semplice) per inquadrare un elemento e capirlo a fondo. Ecco allora la definizione di IT Governance: un sistema attraverso cui le organizzazioni dirigono e controllano tutto quel che riguarda la security. Ciò porta subito a un’importante distinzione: quella con l’IT Security Management, che si occupa di controllare l’implementazione di soluzioni e procedure per mitigare il rischio informatico. La Governance agisce su un piano diverso, poiché determina chi è autorizzato o chi decide come viene controllata la suddetta implementazione. In altre parole, è l’insieme di procedure e meccanismi che determinano le decisioni e i processi per le strategie di cybersecurity.
Gli obiettivi di una IT Governance efficace possono essere distinti in tre grandi aree: stabilire un framework di responsabilità; instaurare meccanismi di supervisione e mitigazione del rischio; instaurare processi per cui ci si assicuri che la security strategy aziendale sia allineata con gli obiettivi di business. Insieme, queste tre aree puntano a un risultato: stabilire e modellare il cybersecurity framework dell 'azienda.
Evitare le frizioni
Nella terza grande area vista poc’anzi convivono due elementi: la strategia di sicurezza e gli obiettivi di business. Affinché l’IT Governance sia efficace, è indispensabile che tra i due non esistano frizioni. «Il business è legato a obiettivi di performance, e ciò porta i vertici aziendali a vedere quasi sempre l’IT come un costo e non come opportunità di risparmio - racconta Federico Banterla, Cybersecurity Consultant per HWG -. La percezione del costo è sempre troppo alta e non permette di comprendere la portata del risparmio in caso di potenziale attacco. Ma la mitigazione del rischio da parte della cybersecurity è infinitamente minore, come prezzo da pagare, rispetto a una compromissione reale e grave».
Con le parole della saggezza popolare, si potrebbe dire che “più spendi, meno spendi”. Più approfonditamente, il cambio di percezione porta a un ribaltamento delle stesse dinamiche aziendali. «L’approccio tradizionale è top down: i board stabiliscono la strategia e le operations la attuano con quanto hanno a disposizione - spiega Banterla -. Ora assistiamo a un cambio culturale sull’IT governance, in base al quale sono le operations ad alimentare le strategie di sicurezza. Si è compreso che il rischio informatico riguarda l’intera azienda, e che quindi non ha senso distinguere ancora tra CIO e CISO, ma che ci deve essere una sola figura di riferimento».
Un cambio culturale c’è quando la consapevolezza di un nuovo contesto è molto diffusa. Dei vertici abbiamo detto; ma com’è la situazione a un livello inferiore? «La nostra esperienza, per esempio quando identifichiamo le vulnerabilità delle mail, ci dice che le persone più attaccate sono anche quelle con meno educazione alla sicurezza, e coincidono con chi ha ruoli direttivi e rilevanti - rivela Banterla -. In ogni caso, la consapevolezza dell’importanza della cybersecurity va alimentata a tutti i livelli, con programma preciso. Il primo passo è valutare lo stato dell’arte e colmare i gap sulle procedure e i processi; il secondo è creare un programma di formazione continua».
La necessità di un’unica figura
Poc’anzi Banterla ha sottolineato come la distinzione tra CIO e CISO non abbia più senso nell’ottica di una IT Governance produttiva di effetti positivi. Eppure, la distinzione permane. «Questo è un altro esempio di frizione tra strategia di sicurezza e obiettivi di business - dice -. In alcune aziende il CISO non c’è, o comunque coincide con l’IT manager di riferimento, che fornisce report ad hoc per il CIO. Ma l’informazione si basa su confidenzialità, integrità e accessibilità dei dati. Il compito della cybersecurity è proteggere quei tre elementin al 100 per cento, ma questo è anche il compito del CIO. Ecco perché non ha senso che se ne occupi qualcun altro».
Come disegnare il framework delle responsabilità
Riunire in un’unica figura CIO e CISO può indurre nell’errore di considerare una sola persona responsabile finale di tutti i controlli che attuano l’IT Governance. Al contrario, è più corretto assegnare quote di responsabilità a figure di riporto, in primis perché ciò consente di supplire a eventuali assenze (può capitare di non essere a lavoro tutti i giorni), e poi perché aumenta la consapevolezza dell’importanza della sicurezza e mitiga il rischio.
«Il framework deve essere adattato a contesto e ambiente. Durante la stesura di piani di business continuity e disaster recovery devono essere identificate figure, attività e processi, assegnando compiti precisi alle persone e dicendo loro a chi far capo. Così aumenta il grado di awareness e si evitano problemi che andrebbero a impattare in maniera rilevante sulla continuità aziendale», spiega Banterla, che poi sottolinea - in tema di consapevolezza - un’importante distinzione tra grandi organizzazioni e PMI.
«Nelle prime c’è sicuramente più coscienza dell’importanza dell’IT, ma spesso viene tradotta in più tecnologia e non in maggiore Governance. Quindi non sempre grande è sinonimo di efficace. Sulle PMI, tuttavia, bisogna lavorare molto. Con amarezza ammetto che spesso guardano solo alla compliance normativa, o perché sono in ritardo o perché devono tappare dei buchi. Ma notiamo che questa situazione sta cambiando, e ci fa piacere che soprattutto le aziende medie, dove magari in organico è presente un CISO, si approcciano a noi e chiedono di iniziare un vero percorso di crescita».