Nella giornata di apertura dell’evento, la Community ha presentato lo studio ‘I primi 100 giorni del Responsabile della Sicurezza delle Informazioni. Come affrontare il problema della Sicurezza informatica per gradi’, che si pone come obbiettivo principale quello di sostenere passo passo il nuovo Responsabile nell’impostare correttamente le strategie di IT security dal punto di vista metodologico e pratico. Con il suo studio, Oracle Community for Security vuole supportare il ‘nuovo’ Responsabile della Sicurezza delle Informazioni nell’indirizzare opportunamente le scelte nel breve periodo (primi 100 giorni di lavoro), definendo obiettivi concreti e proponendo azioni che portino a risultati visibili e migliorabili nel tempo.
Il ruolo dei sistemi ICT e dei loro processi di gestione nella piccola e media impresa italiana è stato caratterizzato negli ultimi anni dal consolidamento di alcuni orientamenti di lungo periodo e dall’affermazione di nuovi paradigmi. L’evoluzione a cui sono sottoposti i sistemi informativi espone i dati e le informazioni aziendali a nuovi rischi di sicurezza che per essere affrontati nei migliori dei modi è necessario adottare approcci innovativi. In questo scenario, uno degli elementi di discontinuità in ambito aziendale è sicuramente costituito dalla creazione del ruolo di Responsabile della Sicurezza delle Informazioni o dalla designazione di un nuovo Responsabile.
Se da un lato le problematiche da affrontare sono tante, lo studio della Oracle Community for Security pone in evidenza quelle aree su cui il Responsabile della Sicurezza delle Informazioni dovrebbe concentrare inizialmente il proprio sforzo. In primo luogo, però, il documento propone l’adesione al modello noto come PDCA o ‘modello di Deming’; una metodologia che, partendo da un’idea di fondo, la sviluppa in maniera circolare fino a verificarne i presupposti stessi in un’ottica di miglioramento continuo. Lo studio suggerisce dunque al Responsabile della Sicurezza delle Informazioni di determinare l’iniziale contesto aziendale in cui dovrà operare, non dimenticando di ricercare all’interno dell’azienda, prima che fuori le risorse e gli aiuti necessari, successivamente dovrà poi cercare di comprendere pienamente il proprio ruolo e le proprie responsabilità, anche in relazione a quelle dei soggetti aziendali con cui più facilmente sarà necessario un confronto, stabilendo con essi dei forti legami di collaborazione.
Il Responsabile della Sicurezza delle Informazioni dovrà quindi arrivare a impostare una strategia a lungo termine e il cosiddetto Sistema di Gestione della Sicurezza delle Informazioni (SGSI) secondo la norma ISO 27001. Lo studio suggerisce in particolare 10 passi per delineare al meglio il SGSI: definire con la Direzione gli obiettivi di sicurezza allineandoli alle strategie aziendali e dal rispetto dei vincoli di compliance; comprendere quali informazioni si devono proteggere; definire le minacce, le vulnerabilità, gli impatti; analizzare e ponderare i rischi; informare, creare consapevolezza e formare; rendersi conto di come si è messi; gestire il rischio; misurare; tenere traccia degli eventi relativi alla sicurezza e dimostrarsi capaci di reagire agli incidenti; riesame.
Nel realizzare il SGSI, il Responsabile della Sicurezza delle Informazioni dovrà infine impegnarsi ad avere sempre sotto controllo il contesto legislativo e regolamentare del settore industriale in cui opera la sua azienda.
