La continua evoluzione tecnologica conia sempre più frequentemente nuovi termini riferiti alla sicurezza dell’informazione e anche i framework di controllo si lasciano trascinare in questa tendenza alla ricerca di nuovi concetti distintivi, come se fosse una gara a chi ha la buzz word più recente. È veramente utile?
Indice degli argomenti
I neologismi della cyber security in azienda
Alcuni acronimi, tipici del mondo della cyber security, privacy e risk management, sono entrati nell’uso quotidiano. Oramai, da alcuni anni, quando nelle aziende parliamo di protezione dei dati personali siamo abituati a vedere l’acronimo DPO (Data Protection Officer), derivato dal regolamento europeo sulla protezione dei dati personali (EU/GDPR 2016/679). Analogamente, è diffusa anche la versione italiana RPD, responsabile della protezione dei dati.
Da un periodo più lungo abbiamo confidenza anche con l’acronimo CISO (Chief Information Security Officer), ossia il responsabile della sicurezza delle informazioni aziendali e con tutta un’ampia serie di altre sigle o titoli che si rifanno alle più disparate tecniche di protezione delle informazioni aziendali.
In genere, questi termini riflettono sul proprio nome qualche specifica abilità, contesto o tecnologia. All’acronimo IT (Information Technology) riservato alla funzione aziendale che governa i sistemi gestionali, le reti e l’informatica individuale, si contrappone il mondo OT (Operational Technology) che gestisce i dati e i dispositivi dell’ambiente di controllo industriale.
Eravamo abituati ad utilizzare l’acronimo ICT, per enfatizzare il crescente ruolo della connettività nel mondo dell’IT, ed ecco che compare I&T, la congiunzione and divide l’informazione dalla tecnologia che la gestisce. Sulla spinta di una prospettiva di governance aziendale, sembra quasi si voglia giustificare la separazione della parte nobile dell’informazione, propriamente detta, dai metodi plebei delle tecnologie che manipolano tali dati. Attenzione alle rivoluzioni, generalmente sono vinte da chi ha la massa maggiore e non dai valori che si assegnano.
Nuovi attori, standard e framework
Lo scenario dei cambiamenti incorpora anche altri attori. Se osserviamo gli standard e i framework a supporto della governance dell’azienda, abbiamo il grande conforto di poter trovare pratiche e regole che coprono qualunque aspetto ci possa interessare.
Lo sconforto per l’azienda deriva dai loro approcci differenti e, alle volte, su stesse aree devono convivere assieme più d’uno. Si potrebbe parlare di un extra costo per il raggiungimento della conformità, dovuto solo alle differenze dei metodi di controllo. Non inteso solo come puro costo monetario, ma come dispendio di risorse in generale, come competenze, tempo, revisione processi o formazione, o detto con altro termine, inefficienza.
Per avere un’idea della varietà dell’offerta di strumenti regolatori, ad esempio nella cyber security, ne citiamo alcuni senza assolutamente pretese di esaustività.
Abbiamo innanzitutto lo standard ISO/IEC 27001:2013 che definisce le buone regole per creare un sistema generale di gestione della sicurezza delle informazioni e che ha una valida estensione nell’ISO/IEC 27701:2019 per affrontare la privacy.
Il NIST Cybersecurity Framework ha il pregio di includere la gestione dei rischi connessi alla supply chain informatica in contrapposizione al termine supplier utilizzato da altri.
La Direttiva EU 2016/1148 (Network and Information Security directive nota come NIS) focalizza l’attenzione sulla maturità delle misure adottate per le infrastrutture critiche, VDA ISA pone l’enfasi sulla protezione dei prototipi e l’ISA/IEC 62443 si dedica al mondo dell’OT.
Come scegliere il framework giusto
Questi citati sono veramente pochi ma sufficienti a capire che ci sono tantissime sfumature da considerare nella gestione della sicurezza delle informazioni.
In parallelo ai framework legati in generale alla tematica della cyber security, ci sono quelli ispirati a tematiche specifiche, quali la gestione dei rischi, della privacy, del cloud, del data management, dello sviluppo, della continuità operativa, e tanti altri ancora.
Da questa veloce e parziale panoramica, già emerge con nitidezza il livello dello sforzo e della preoccupazione per un’azienda a dover rincorrere tutte le esigenze della protezione informazioni. È un controsenso richiedere ad un’azienda, in dipendenza della complessità del suo business, di aderire a vari framework e pagare il costo delle diverse implementazioni, quando lo scopo primario dei framework è di aiutare le aziende.
Fortunatamente possiamo captare anche dei segnali positivi. Intanto, quasi tutti i framework sostengono l’approccio olistico con decisioni risk-based. Questo, indica una certa consapevolezza della difficoltà delle aziende a seguire approcci discordanti.
La convergenza verso un comune approccio risk-based è un primo passo in direzione di una vera interoperabilità dei framework, mentre il secondo è la presenza delle informative references nei principali framework.
Queste indicazioni, inserite come note su ogni pratica o controllo di sicurezza, forniscono il riferimento a quella equivalente di un altro framework. Il vantaggio di questa interscambiabilità è di consentire la creazione di un modello di funzionamento più aderente alla propria realtà aziendale.
Il metodo da seguire è quello della scelta del framework con il modello di funzionamento più aderente all’organizzazione del proprio business, da usare poi come guida per le attività di implementazione di pratiche od attuazione di controlli.
Seguendo le regole della metodologia definita dal framework prescelto, si sostituiscono eventuali pratiche o controlli troppo generici, con quelli equivalenti di altri framework adottati, con l’avvertenza che devono essere più facili da gestire, o servire per completare parti scoperte del nostro business.
Quello ottenuto sarà un framework più ampio, così esauriente da coprire le esigenze di tutti i framework. Con opportune euristiche, si convertono automaticamente i risultati di un framework all’altro, ottenendo la compliance su tutti al solo costo di uno.
I consigli per migliorare in efficienza e efficacia
Un’ulteriore dicotomia per i framework è la loro predisposizione a seguire la governance piuttosto che la tecnologia. Se utilizzati in modo sinergico, come citato in precedenza, viene naturale prediligere un framework orientato alla governance per guidare il processo di consolidamento dei risultati ed assistere l’analisi del rischio a livello Enterprise.
I framework più orientati alla tecnologia, si prestano all’implementazione delle misure protettive e alla produzione di evidenze (fatti) nel processo di audit. In tal modo, operando solo sulle parti dei framework di maggior impatto per il nostro business e valutando in automatico le altre, miglioriamo in efficienza ed efficacia.
È comprensibile una certa “concorrenza” tra i framework per emergere come riferimento di mercato, ma ciò non deve andare a scapito degli utilizzatori. I framework sono delle guide per le aziende e come tali devono soddisfare dei basilari requisiti di semplicità, flessibilità e completezza. Con richiamo al processo di miglioramento continuo oramai presente in tutti i framework, se fosse applicato alle revisioni dei framework stessi, nella direzione di una convergenza verso le pratiche od i controlli più efficaci, allora si percepirebbe un reale aumento della loro qualità nelle aziende.
Un concreto aiuto può arrivare anche da una rigorosa tassonomia comune per agevolare la comprensione nell’adozione di framework sovrapposti. Nelle pratiche e nei controlli, enfatizzare un nome piuttosto di un altro quando il concetto è lo stesso, non pone a favore dell’applicabilità di un framework. Piuttosto, sono apprezzabili tutti gli sforzi che portano a ricercare concetti da armonizzare, con sano pragmatismo tra i framework, come è avvenuto per il rischio. Non è un’identica frase l’obiettivo a cui si deve tendere, neppure il rischio si affronta sempre allo stesso modo, è in funzione delle particolarità del contesto. L’aspettativa è per una differenza che si basi solo sulla modalità di adattabilità ai possibili contesti di applicazione, non una differenza riconducibile esclusivamente all’eleganza delle parole usate. Il significato è molto importante.
Conclusioni
Prendiamo delle parole oramai d’uso corrente e riflettiamo su come possiamo modellarle per ampliare il significato e migliorare la qualità del lavoro correlato.
Supponiamo che al CISO attribuiamo anche la privacy ed al DPO aggiungiamo la cybersecurity. In entrambi i casi, otteniamo la stessa figura, un nuovo responsabile della protezione delle informazioni, siano aziendali che afferenti alla sfera personale. Ha sicuramente l’opportunità di gestire le risorse in un’ottica più ampia ed efficiente per le maggiori sinergie possibili.
Se ora questa responsabilità la fondiamo con quelle del CIO, otteniamo una nuova figura con un nome vecchio. Il nuovo significato da associare al CIO sarà di responsabile della gestione di tutte le informazioni, aziendali o personali, e delle tecnologie e servizi che le trattano.
Questa evoluzione rafforza l’opportunità di una visione olistica del trattamento delle informazioni per migliorare l’efficacia, identificando sinergie ed aumentando le garanzie di compliance.
Ovviamente per essere questo nuovo CIO servono le giuste competenze. Ridurre la varietà dei nomi attorno ad uno stesso tema è un sinonimo di semplificazione e qualità.
