Come proteggere in modo efficace i dati aziendali e la proprietà intellettuale? Questo si chiedono i Ciso, che devono misurarsi con innovazioni quali Byod, cloud, accessi globali e social network.
La risposta arriva da Websense, che analizza le misure di sicurezza attualmente utilizzate e suggerisce quali iniziative possono essere implementate per aumentare il valore della propria azienda e proteggersi contro gli attacchi avanzati dei cyber criminali.
Innanzitutto occorre capire il proprio business. Spesso le funzioni che generano profitto, come le vendite e il marketing, tendono a considerare la sicurezza come l’ultima risorsa o a non considerarla affatto. Nel tentativo di cambiare questa situazione, i Ciso devono essere coinvolti attivamente nel ciclo di sviluppo di prodotti/servizi ed integrare la sicurezza in modo da valorizzarne la conversione in denaro.
Il secondo passo è capire il ruolo della sicurezza. Oggi la tecnologia cattura tutta l’attenzione e spesso ci dimentichiamo delle persone e dei processi, che garantiscono realmente il successo della nostra azienda. Per ottenere una sicurezza It completa, bisogna integrare governance e processi. Inoltre, la formazione dei dipendenti, dal consiglio di amministrazione al servizio clienti, è fondamentale ed ognuno dovrebbe conoscere reciprocamente la mission e le strategie della divisione.
Anche capire le “informazioni” è fondamentale. L’obiettivo aziendale dovrebbe essere quello di conoscere la funzione della sicurezza It e come si relaziona con l’impresa al fine di passare dall’essere un gruppo di sicurezza operativa a un team di intelligence di sicurezza. Non bisogna solo essere in possesso di dati e informazioni, ma occorre analizzarli e sfruttare i risultati ottenuti per raccontare una storia. Nel fare questo, è necessario permettere all’It di attuare un programma di sicurezza che protegga l’azienda contro la perdita e il furto dei dati.
E ora? Il prossimo passo è stabilire una governance. Per definizione, la governance è la capacità di delineare le aspettative, assegnare il potere e confermare le performance. Questo può essere ottenuto attraverso la creazione di una dichiarazione d’intenti legata alle iniziative di sicurezza all’interno dell’azienda.
Ultimo, ma non per importanza, convertire il rischio in iniziative di capitalizzazione. Occorre sfruttare il proprio modello di governance per trasformare le iniziative di information security in sforzi di capitalizzazione. Quando si collabora con il senior management per determinare mission, priorità e iniziative, i progetti saranno trasformati in obiettivi supportati dal board. E’ inoltre indispensabile aggiornare il senior management per quanto riguarda rischi, informazioni e notizie che lo riguardano.
In definitiva, è importante definire i rischi e le soluzioni di sicurezza, trovando un equilibrio tra i due. Mantenendo una mentalità proattiva sarà possibile essere in una posizione migliore per contrastare gli attacchi avanzati e salvaguardare i dati aziendali.
