IT e cybersecurity in azienda: serve separazione dei ruoli

Molto spesso le organizzazioni, soprattutto quelle di piccole e medie dimensioni, tendono ad affidare la cybersecurity a chi già gestisce l’IT dell’azienda, che sia una figura interna o un consulente esterno. È una scelta che può nascere da considerazioni economiche, dalla comodità di avere un unico interlocutore, ma anche da una scarsa consapevolezza dei responsabili aziendali rispetto ai temi della security.

La cybersecurity non è solo tecnologia

Per molti, la sicurezza cyber viene considerata un aspetto puramente tecnologico, e quindi demandata a chi già si occupa della tecnologia in azienda. Ma è un errore, perché la sicurezza informatica va ben oltre la pura e semplice tecnologia.

Per Axitea, come anche per tutti gli esperti di settore, la sicurezza è un aspetto strategico che riguarda il business di ogni organizzazione e per le sue caratteristiche specifiche deve essere gestita da chi ha competenze in questo ambito. Per le PMI, esattamente come per tutte le altre organizzazioni, è fondamentale definire un piano di sicurezza IT e protezione dati per la difesa dai rischi provenienti dall’esterno.

L’importanza della specializzazione

È fondamentale che la responsabilità della cybersecurity in azienda ricada su chi ha competenze specifiche. Se le dimensioni dell’organizzazione lo consentono, può essere presente un responsabile interno della sicurezza informatica, il cosiddetto CISO (Chief Information Security Officer). Quando la presenza di questa figura non è giustificata a livello organizzativo o di business, è consigliabile affidarla in outsourcing a una realtà specializzata in sicurezza, che potrà mettere a disposizione dell’azienda cliente competenze avanzate e il giusto grado di indipendenza.

Si tratta di una tesi supportata anche dai più elevati standard di settore che indicano tra le best practice questo approccio di separazione (iso27001 e NIST CSF). È anche una questione di competenze: soprattutto nelle realtà più piccole chi gestisce l’IT ha una conoscenza trasversale dei molti sistemi che consentono a un’azienda di operare. Ma la cybersecurity sotto questo aspetto è un mondo a sé, che richiede competenze specifiche, un continuo aggiornamento e una focalizzazione sulle “cyber minacce” che un IT Manager difficilmente potrà raggiungere.

Evitare i conflitti di interesse

Se IT e cybersecurity ricadono nelle stesse mani, il rischio di conflitto di interessi è grande. Non deve per forza esserci malizia, semplicemente le priorità dell’IT che supporta il business possono essere differenti rispetto a quelle di chi deve garantire protezione ai dati, ai sistemi e ai dipendenti.

Però IT e sicurezza possono, anzi devono collaborare, proprio perché legati strettamente ai processi di business aziendali, che tipicamente considerano da punti di vista differenti. Una strategia di sicurezza efficace parte sicuramente da una corretta gestione dell’infrastruttura IT, ma è molto di più, perché prende in esame anche la parte di connettività, i sistemi individuali e soprattutto le persone e i loro comportamenti.

Le patch come esempio di collaborazione tra IT Manager e chi si occupa della Security

Ogni giorno i cybercriminali si producono in nuovi tentativi di attacco, basati sulla tecnologia o sullo sfruttamento di comportamenti inadeguati, ad esempio con il phishing. E ogni giorno, tutte le organizzazioni sono bersagliate da attacchi di varia tipologia, che sfruttano debolezze strettamente informatiche o umane. È compito di chi si occupa di infrastrutture IT procedere con un aggiornamento dei sistemi informatici con le patch di sicurezza in modo da correggere le vulnerabilità di sistemi o di programmi. È fondamentale che chi si focalizza sulla cybersecurity (e ne è responsabile) verifichi che questo lavoro sia svolto in modo continuo e puntuale: solo separando i ruoli si riesce a distinguere la figura del controllore da quella del controllato e si evita un pericoloso conflitto di interessi che, se presente, potrebbe mettere in pericolo l’azienda.