Negli attuali contesti produttivi sempre più data driven, l’adozione di una strategia basata sull’Enterprise Security Architecture offre numerose opportunità alle organizzazioni in fatto di gestione del rischio.
Un’organizzazione, infatti, è un insieme di risorse che interagiscono per raggiungere un determinato fine o scopo. Si parla di organizzazioni complesse quando il grado di numerosità, estensione e sofisticatezza di queste risorse risulta altamente dinamico, mutevole e di non semplice controllo e gestione.
In tali scenari, la quantità di informazioni critiche cresce a ritmi molto sostenuti, con difficoltà nel riuscire a proteggere tutto il perimetro grazie all’uso esclusivo di meccanismi e misure di sicurezza convenzionali.
La sicurezza delle informazioni necessita, dunque, di una visione olistica dove si consolida la necessità di adottare un approccio “data-centrico” che tenga in considerazione la tipologia dei dati, chi li possiede e quali politiche aziendali e normative dovrebbero essere applicate. Fallire in tale approccio vuol dire perdere l’opportunità di considerare la dimensione strategica, con il risultato di investire su insiemi di soluzioni tecniche ad hoc, ciascuna progettata in modo indipendente, senza alcuna garanzia di compatibilità e interoperabilità.
Dunque, un approccio efficace e consolidato all’interno di tali scenari può concretizzarsi con l’utilizzo di una strategia quale l’Enterprise Security Architecture (per brevità “ESA”), abilitante nel fornire agli addetti ai lavori contezza riguardo alle misure da implementare o già implementate sul perimetro, sulla loro interoperabilità, e sui gap tecnologici ed organizzativi da colmare attraverso un opportuno approccio risk based.
Tutto questo, insieme ai numerosi vantaggi che derivano dall’utilizzo di tale strategia, supporta significativamente i CISO (Chief Information Security Officer) nelle attività di governance e nel prioritizzare opportuni investimenti in merito ai controlli da implementare, fornendo il progetto concettuale dell’infrastruttura di sicurezza dell’organizzazione.
Indice degli argomenti
Enterprise Security Architecture: i rischi gestiti
I rischi gestiti dall’Enterprise Security Architecture sono di vario tipo. Due tra i più importanti sono:
- il rischio di business;
- il rischio operativo.
L’ESA deve necessariamente mantenere una visione equilibrata del rischio dove le conseguenze negative devono essere mantenute a un livello accettabile e le opportunità in termini positivi essere sfruttate al massimo.
L’approccio business-driven è fondamentale, in quanto offre il contesto per le valutazioni del rischio, definisce l’eventuale esigenza di conformità ad uno specifico quadro normativo e giustifica la necessità di implementare le opportune misure di sicurezza.
L’ESA cerca di allineare le misure di sicurezza agli obiettivi aziendali avendo come due driver principali le componenti di rischio e business. I vantaggi derivanti dall’utilizzo di una tale strategia sono vari, molti dei quali fortemente connessi alla tipologia di organizzazione e mercato. Di seguito vengono riportati i principali.
Enterprise Security Architecture: visione strategica del rischio
Per implementare il corretto approccio alla gestione dei rischi relativi al perimetro aziendale, è necessaria una visione strategica dell’organizzazione insieme a una visione coerente e aggiornata del panorama attuale di prodotti, processi, applicazioni e infrastrutture e di tutti gli aspetti di rischio e sicurezza a questi correlati e delle relazioni che sussistono tra gli stessi.
Questo approccio diventa un importante driver soprattutto nella valutazione degli effetti che possono originare dalle diverse decisioni aziendali, fornendo così una chiara visione dei rischi aziendali legati, ad esempio, all’introduzione di nuovi prodotti e iniziative, all’esternalizzazione di processi aziendali o sistemi IT o all’acquisizione di un’altra organizzazione.
L’ESA aiuta a comprendere queste relazioni e dipendenze e quindi a evitare o mitigare potenziali disastri che possono derivarne.
Sicurezza e gestione del rischio orientate al business
Un’ulteriore area in cui l’Enterprise Security Architecture fornisce un valore aziendale tangibile è quella relativa all’allineamento della sicurezza e della gestione del rischio con gli obiettivi aziendali. Sono molte le organizzazioni che riscontrano importanti difficoltà nel comprendere e stabilire il giusto livello di misure di sicurezza da implementare.
Spesso il top management considera questo aspetto come un problema tecnico da far assolvere ad uso quasi esclusivo del personale IT, che vedendosi investito di tale responsabilità, per non correre rischi che da questa ne derivano, sviluppa o propone di investire su soluzioni particolarmente costose.
Un migliore allineamento tra gli obiettivi aziendali, le decisioni architetturali e l’implementazione tecnica fornito da strategie come l’ESA aiuta l’organizzazione ad utilizzare il budget destinato agli obiettivi di sicurezza in modo molto più saggio ed oculato, concentrandosi sugli aspetti più “rischio-centrici” per l’azienda.
Questo comporta sia un risparmio economico che una riduzione dei rischi poiché non si investe in misure di sicurezza particolarmente costose per proteggere asset non importanti, e lasciando più budget a disposizione per proteggere ciò a cui l’azienda tiene davvero e considera rilevante.
Come sottolineato, la sicurezza infatti non è qualcosa che si può “aggiungere” in un secondo momento. Le architetture e i sistemi intrinsecamente insicuri sono molto difficili da correggere in seguito.
La sicurezza e la gestione del rischio devono essere due componenti progettate “by design”, così da renderle elementi efficienti ed efficaci nel lungo termine, vere pietre miliari di un perimetro resiliente nel tempo e nelle capacità.
Conformità alle normative e audit
Un altro importante vantaggio offerto da una strategia quale l’Enterprise Security Architecture, soprattutto in settori fortemente regolamentati, è rappresentato dalla compliance normativa.
Le banche centrali e altri organismi di regolamentazione e vigilanza impongono o raccomandano vivamente a Istituzioni ed organizzazioni di dotarsi di una prassi ESA consolidata per garantire il pieno controllo delle proprie operazioni.
Conclusioni
Un contesto dinamico richiede azioni altrettanto dinamiche che siano frutto di proattività ed efficacia.
La visione strategica, all’interno delle organizzazioni, deve rappresentare una componente abilitante che possa ramificarsi nella componente tecnica e mai viceversa. “Se conosci il nemico e te stesso, la tua vittoria è sicura”, ed oggi, più di ieri, questa famosa frase del notissimo filoso cinese Sun Tzu, trova riscontro nelle innumerevoli declinazioni della sicurezza.
Magari la vittoria non sarà sempre “sicura”, ma si potrà esser certi di aver incanalato le giuste misure, mezzi e risorse nel modo più efficiente considerando le variabili importanti che compongono questo complesso-semplice mondo.
