Cyber Tips - III° Uscita
Assolombarda rilascia la terza scheda di buone pratiche dedicate alla cyber security.
Nell'ambito del progetto dedicato alla cyber security, Assolombarda mette a disposizione delle aziende associate dei sintetici approfondimenti che si occupano del tema a 360° gradi.
Le "TIPS" saranno diffuse ogni terzo venerdì del mese e andranno a integrarsi nella prima pubblicazione Assolombarda dedicata alla sicurezza informatica, che sarà rilasciata alla fine del 2022.
III° TIPS - Le professionalità
Il mercato della cybersecurity in Italia nel 2021 ha raggiunto il valore di 1,55 miliardi di euro, riscontrando un +13% rispetto al 2020[1] .
Dall’Osservatorio del Politecnico viene rilevato un ritmo di crescita mai così elevato, con un 60% di grandi organizzazioni che hanno previsto un aumento del budget destinato al mondo cyber.
Ma perché è importante investire sulla sicurezza informatica ed avere “esperti” all’interno delle nostre organizzazioni?
Per una gestione efficace del rischio cyber all’interno delle aziende una buona regola è affidare la gestione del tema “cyber security” ad esperti di sicurezza informatica, siano essi risorse interne o esterne
La cybersecurity non è solo tecnologia
Per molti, la sicurezza cyber viene considerata un aspetto puramente tecnologico, e quindi demandata a chi già si occupa della tecnologia in azienda. Ma è un errore, perché la sicurezza informatica va ben oltre la pura e semplice tecnologia. Per tutti gli esperti di settore, la sicurezza è un aspetto strategico che riguarda il business di ogni organizzazione e per le sue caratteristiche specifiche deve essere gestita da chi ha competenze specifiche in questo ambito. Per le PMI, esattamente come per tutte le altre organizzazioni, è fondamentale definire un piano di sicurezza IT e protezione dati per la difesa da rischi provenienti dall’esterno.
L’importanza della specializzazione
È fondamentale che la responsabilità della cybersecurity in azienda ricada su chi ha competenze specifiche. Se le dimensioni dell’organizzazione lo consentono, può essere presente un responsabile interno della sicurezza informatica, il cosiddetto CISO (Chief Information Security Officer).
Quando la presenza di questa figura non è giustificata a livello organizzativo o di business, è consigliabile affidarla in outsourcing a una realtà specializzata in sicurezza, che potrà mettere a disposizione dell’azienda cliente competenze avanzate e il giusto grado di indipendenza.
Si tratta di una tesi supportata anche dai più elevati standard di settore che indicano tra le best practice questo approccio di separazione (iso27001:2013 e NIST CSF).
Evitare i conflitti di interesse
Se IT e cybersecurity ricadono nelle stesse mani, è possibile che vi sia il rischio di conflitto di interessi. Non si tratta di rivalità, semplicemente le priorità dell’IT che supporta il business possono essere differenti rispetto a quelle di chi deve garantire protezione a dati, sistemi e dipendenti.
Le due figure però dovranno collaborare, proprio perché legati strettamente ai processi di business aziendali.
Le patch come esempio di collaborazione tra IT Manager e chi gestisce la Security
Ogni giorno i cybercriminali si producono in nuovi tentativi di attacco, basati sulla tecnologia o sullo sfruttamento di comportamenti inadeguati, ad esempio con il phishing.
È compito di chi si occupa di infrastrutture IT procedere con un aggiornamento dei sistemi informatici con le patch di sicurezza in modo da correggere le vulnerabilità di sistemi o di programmi.
È fondamentale che chi si focalizza sulla cybersecurity (e ne è responsabile) verifichi che questo lavoro sia svolto in modo continuo e puntuale: solo separando i ruoli si riesce a distinguere la figura del controllore da quella del controllato e si evita un conflitto di interessi che, se presente, potrebbe mettere a rischio l’azienda
Contatti
Per ulteriori informazioni è possibile contattare Miriam Ieraci, tel 02 58370634, e-mail miriam.ieraci@assolombarda.it.
[1] Dati Osservatorio Cyber Security& Data Protection su rielaborazione Assolombarda
Non sei associato e ti servono informazioni?
ContattaciAzioni sul documento