Maurizio Tondi (nella foto), Director Security Strategy di Axitea, riflette su un possibile conflitto di interessi che riguarda tutte le aziende

Molto spesso le organizzazioni, soprattutto quelle di piccole e medie dimensioni, tendono ad affidare la cybersecurity a chi già gestisce l’IT dell’azienda, che sia una figura interna o un consulente esterno. È una scelta che può nascere da considerazioni economiche, dalla comodità di avere un unico interlocutore, ma anche da una scarsa consapevolezza dei responsabili aziendali rispetto ai temi della security.

La cybersecurity non è solo tecnologia

Per molti, la sicurezza cyber viene considerata un aspetto puramente tecnologico, e quindi demandata a chi già si occupa della tecnologia in azienda. Ma è un errore, perché la sicurezza informatica va ben oltre la pura e semplice tecnologia e rappresenta un elemento di potenziale integrazione da un lato, ma certamente una pratica a se stante dal punto di vista della responsabilità e della gestione del rischio, che richiede competenze specifiche ed “separation of duty”.

Riteniamo la sicurezza è un aspetto strategico ma anche molto pragmatico che riguarda il business di ogni organizzazione e per le sue caratteristiche specifiche deve essere gestita da chi ha competenze in questo ambito. Per le PMI, esattamente come per tutte le altre organizzazioni, è fondamentale definire un piano di sicurezza IT e protezione dati per la difesa dai rischi provenienti dall’esterno e sempre più dall’interno.

L’importanza della specializzazione

È fondamentale che la responsabilità della cybersecurity in azienda ricada su chi ha competenze specifiche. Se le dimensioni dell’organizzazione lo consentono, può essere presente un responsabile interno della sicurezza informatica, il cosiddetto CISO (Chief Information Security Officer). Quando la presenza di questa figura non è giustificata a livello organizzativo o di business, è consigliabile affidarla in outsourcing a una realtà specializzata in sicurezza, che potrà mettere a disposizione dell’azienda cliente competenze avanzate e il giusto grado di indipendenza ed una più evidente «neutralità» e «terziarietà» nell’interesse dell’imprenditore o del management aziendale.

Si tratta di una tesi supportata anche dai più elevati standard di settore che indicano tra le best practice questo approccio di separazione (iso27001:2013 e NIST CSF). È anche una questione di competenze: soprattutto nelle realtà più piccole chi gestisce l’IT ha una conoscenza trasversale dei molti sistemi che consentono a un’azienda di operare. Ma la cybersecurity sotto questo aspetto è un mondo a sé, che richiede competenze specifiche, un continuo aggiornamento e una focalizzazione sulle “cyber minacce” che un IT Manager difficilmente potrà raggiungere.

Conflitto di interesse

Se la gestione dell’IT e cybersecurity risiedono in un’unica funzione oppure sono affidati alla stesso soggetto o fornitore, può insorgere un evidente e pericoloso conflitto di interessi che determina una aumento complessivo del rischio e nel caso di una cattiva gestione, anche nel danno.. Non deve per forza esserci malizia o malafede, semplicemente le priorità dell’IT che supporta il business possono e sono spesso essere differenti rispetto a quelle di chi deve garantire protezione ai dati, ai sistemi e ai dipendenti e continuità di esercizio.

Però IT e sicurezza possono, anzi devono collaborare, proprio perché legati strettamente ai processi di business aziendali, che tipicamente considerano da punti di vista differenti. Una strategia di sicurezza efficace parte sicuramente da una corretta gestione dell’infrastruttura IT, ma è molto di più, perché prende in esame anche le componenti relative alla connettività, ai sistemi individuali e soprattutto alle persone ed ai loro comportamenti.

Un esempio di collaborazione tra IT e cybersecurity: il patch management

Ogni giorno i cybercriminali si producono in nuovi tentativi di attacco, basati sulla tecnologia o sullo sfruttamento di comportamenti inadeguati da parte degli utenti, come ad esempio nel caso del phishing. E ogni giorno, tutte le organizzazioni sono bersagliate da attacchi di varia tipologia, che sfruttano debolezze strettamente informatiche o umane. È compito di chi si occupa di infrastrutture IT procedere con un aggiornamento dei sistemi informatici con le patch di sicurezza in modo da correggere le vulnerabilità di sistemi o di programmi. È fondamentale che chi si focalizza sulla cybersecurity (e ne è responsabile) verifichi che questo lavoro sia svolto in modo continuo e puntuale: solo separando i ruoli si riesce a distinguere la figura del controllore da quella del controllato e si evita un pericoloso conflitto di interessi che, se presente, potrebbe mettere in pericolo l’azienda.