Fattori critici di successo per i programmi di sicurezza delle informazioni

Üegli ultimi due o tre anni, le minacce informatiche in rapido aumento hanno messo in allarme intere funzioni aziendali, settori economici e persino paesi:

• Quattro anni fa, quasi nessun CFO/responsabile finanziario parlava di rischi informatici; oggi, i CFO/responsabili finanziari li citano regolarmente come una delle minacce più preoccupanti1 .
• Due anni fa, la cybersecurity non era nemmeno una delle prime 10 sfide per le aziende energetiche negli Stati Uniti. Oggi, gli esperti del settore classificano la sicurezza informatica come una delle loro quattro sfide più pressanti2 .
• Dal 2010, il Regno Unito ha classificato la sicurezza informatica come una minaccia prioritaria per la sicurezza nazionale, al pari del terrorismo, dei conflitti militari e dei disastri naturali3 . In Svizzera, gli attacchi informatici sono inclusi nella pianificazione militare4 .

La domanda arretrata è riconosciuta

Le organizzazioni la cui consapevolezza della minaccia cibernetica è stata aumentata spesso riconoscono che hanno un significativo recupero da fare e che il rimedio selettivo non è sufficiente a compensare i fallimenti del passato. In questi casi, vengono quindi lanciati elaborati programmi di sicurezza dell'informazione, che hanno lo scopo di eliminare le lacune di sicurezza in modo sostenibile e su un ampio fronte con un portafoglio di progetti per un periodo di anni. Anche se tali programmi sono spesso il passo giusto, il loro successo dipende molto dall'esperienza della gestione del programma nell'affrontarli.

Condizioni per il successo

Questo articolo non può sostituire metodi di gestione consolidati come PRINCE2, MSP (Managing Successful Programs), MoP (Management of Portfolios) o gli standard PMI, ma ha solo lo scopo di completarli per quanto riguarda le caratteristiche speciali dei programmi di sicurezza delle informazioni. Per tali programmi, l'esperienza mostra che, oltre all'uso efficace dei metodi di gestione stabiliti, cinque caratteristiche della gestione del programma in particolare sono essenziali per il successo del programma:

1. Pensiero strategico
2. Competenza tecnica in materia di sicurezza e rischio
3. Processo e pensiero organizzativo
4. Forte governance e capacità di comunicazione
5. Integrità assoluta

Queste capacità di leadership sono essenziali perché la "sicurezza delle informazioni" e il "rischio" interessano un numero molto ampio di persone, ma allo stesso tempo i concetti sono abbastanza astratti e "intangibili" per molte persone. Il team di leadership di un programma di sicurezza deve quindi essere tecnologicamente esperto e possedere capacità di gestione e comunicazione per coinvolgere e guidare efficacemente tutte le parti interessate.

I cinque fattori di successo

Il pensiero strategico è importante perché i programmi di sicurezza spesso iniziano con una consapevolezza generale del problema o una visione. Questa visione deve essere tradotta in una strategia che dichiari chiaramente quali sono le vulnerabilità della sicurezza e i rischi associati, quale soluzione è richiesta, quali sono i criteri di successo e quali sono i costi previsti. Tale strategia è un prerequisito per ricevere un budget. La strategia deve anche essere continuamente aggiornata per assicurare la continuità del programma. La continuità è una sfida importante, poiché i programmi di sicurezza spesso durano diversi anni e devono essere regolarmente giustificati contro i tagli di bilancio nell'attuale ambiente dei costi.

Competenza tecnica Il successo di un programma di sicurezza non consiste nell'installazione di singoli strumenti o tecnologie. Piuttosto, il successo sta nel ridurre in modo sostenibile i rischi per la sicurezza. Per fare questo, è necessario fare una scelta intelligente del rischio tra tecnologie alternative. Le tecnologie devono essere configurate correttamente e devono essere incorporate in processi che garantiscano la loro efficacia a lungo termine. Siccome in pratica non esiste la certezza del 100%, la gestione del programma deve continuamente soppesare le alternative e raggiungere decisioni ottimali con le varie parti interessate - tenendo sempre conto della riduzione del rischio ottenibile, dei rischi residui rimanenti e dei costi e tempi coinvolti. Questo richiede una notevole competenza tecnica.

Processo e pensiero organizzativo sono essenziali perché le misure di sicurezza devono essere continuamente mantenute per ridurre efficacemente il rischio. Per esempio, un sistema di rilevamento delle intrusioni è poco utile se i suoi allarmi non sono monitorati e le regole utilizzate per rilevare gli attacchi non sono mantenute. Il pensiero organizzativo è importante perché le tecnologie di sicurezza sono spesso implementate a livello globale e una soluzione efficace deve prendere in considerazione i requisiti delle singole geografie o divisioni, come la legge nazionale o l'autonomia delle singole divisioni o le incompatibilità con i sistemi stabiliti.

Forte governance e sono necessarie forti capacità di comunicazione perché la sicurezza coinvolge molti stakeholder all'interno di un'organizzazione. Questo include vari dipartimenti IT, responsabili della sicurezza e del rischio, audit, divisioni aziendali (i cui dati sono interessati e che possono anche agire come sponsor), indagini sulle frodi, il dipartimento legale e i responsabili della protezione dei dati. Per fare i compromessi descritti sopra con queste parti interessate riguardo a tecnologie, configurazioni o connessioni di processo alternative, ci devono essere strutture di governance efficaci e una leadership di programma che possa presentare le questioni tecniche in modo completo e comprensibile per guidare le decisioni. In assenza di tale governance, i programmi rimangono vulnerabili quando i singoli stakeholder non sono d'accordo con le decisioni. Anche se questo problema non è specifico dei programmi di sicurezza, è particolarmente pronunciato lì a causa dei molti attori.

Integrità assoluta è un requisito obbligatorio per la leadership del programma, in quanto possono influenzare una grande quantità di decisioni attraverso il loro lavoro strategico, la competenza tecnica e la comunicazione con diversi stakeholder. La leadership del programma deve quindi essere apolitica e mirare sempre a fare ciò che è nel migliore interesse dell'organizzazione.

Conclusione: uso di metodi di gestione collaudati

I programmi di sicurezza dell'informazione sono sempre più lanciati per stare al passo con l'escalation delle minacce informatiche. Come per tutti i programmi, è importante usare metodi di gestione provati come PRINCE2, MSP o MoP. I programmi di sicurezza sono unici in qualche modo, tuttavia, in quanto la "sicurezza delle informazioni" e il "rischio" riguardano quasi tutti in un'organizzazione, ma sono astratti e sfuggenti. Questo è particolarmente impegnativo per i program manager, specialmente per quanto riguarda i cinque fattori di successo menzionati sopra.