ICT Security: quale Governance? Rapporto 2008 Osservatorio Information Security Management

Transcript

1 ICT Security: quale Governance? Rapporto 2008 Osservatorio Information Security Management Febbraio 2008

2 Indice pagina Introduzione di Umberto Bertelè e Andrea Rangone 7 Executive Summary di Paolo Maccarrone e Luca Marzegalli 9 1. La governance dell ICT Security: un framework di riferimento 13 La definizione del raggio d azione dell ICT Security 13 La governance dell ICT Security Gli assetti organizzativi macro dell ICT Security 17 Le attività 17 Le configurazioni organizzative emergenti 19 I driver che influenzano la scelta dell assetto organizzativo 22 L evoluzione dei modelli 25 I benefici e i rischi insiti nelle scelte dei diversi modelli 26 La strutturazione interna dell unità ICT Security Il processo di pianificazione e controllo 33 La definizione del piano strategico 33 L elaborazione del budget 37 L analisi costi/benefici 39 Il controllo strategico: i sistemi di misurazione delle prestazioni 40 I fattori critici di successo Le esperienze a confronto 43 Appendice: I risultati della Survey 53 La struttura organizzativa dell ICT Security 53 Il processo di pianificazione e controllo 57 La gestione dei progetti di ICT Security 61 Nota metodologica 63 Il Gruppo di Lavoro 65 La School of Management 67 La School of Management del Politecnico di Milano 67 Gli Osservatori ICT & Management 67 Il MIP 69 Il CEFRIEL 71 Il CEFRIEL 71 Il centro di competenza in Information Security 73 I sostenitori della Ricerca 75 ICT SECURITY: QUALE GOVERNANCE? 1

3

4 Indice Figure pagina Figura 1.1 Information Security, Business Security e ICT Security 14 Figura 1.2 Le interrelazioni tra l ICT Security e gli altri ambiti di sicurezza 14 Figura 1.3 I progetti di ICT Security e la sicurezza nei progetti ICT 15 Figura 1.4 La governance dell ICT Security 16 Figura 2.1 Le principali attività dell ICT Security 17 Figura 2.2 Il modello All in One 19 Figura 2.3 Il modello ICT Centric 20 Figura 2.4 Il modello Segregation 21 Figura 2.5 Il modello Multiplayer 22 Figura 2.6 L analisi del driver Dimensione del Dipartimento ICT 22 Figura 2.7 L analisi del driver Settore 23 Figura 2.8 I fattori che influenzano la correlazione settore modello organizzativo 24 Figura 2.9 L analisi del driver Modello di Sourcing 25 Figura 2.10 Le dimensioni dell unità ICT Security nei casi analizzati 27 Figura 2.11 L organizzazione interna dell ICT Security basata sulla separazione 27 IT/Rete Figura 2.12 L organizzazione interna dell ICT Security basata sulla separazione 28 per Business Unit Figura 2.13 L organizzazione interna ICT Security basata sull area tematica di 28 competenza Figura 2.14 L organizzazione interna dell unità organizzativa Corporate Security 28 Figura 2.15 Le relazioni tra l ICT Security e le altre unità organizzative 29 Figura 3.1 I rischi legati all utilizzo di metodologie di risk analysis inappropriate 36 Figura 3.2 I diversi approcci alla risk analysis in ambito ICT Security 37 Figura A.1 Esiste una struttura che si occupa di ICT Security all interno della 53 Figura A.2 Direzione Corporate Security? 54 Figura A.3 Esiste una struttura che si occupa di ICT Security all interno della 54 Direzione ICT? Figura A.4 Se esiste una struttura ICT Security all interno della direzione ICT 55 questa è composta da quante persone? Figura A.5 I modelli organizzativi 55 Figura A.6 L analisi del driver Dimensione del Dipartimento ICT 56 Figura A.7 L analisi del driver Modello di Sourcing 56 Figura A.8 Il modello organizzativo inerente all ICT Security 57 Figura A.9 È previsto un processo formale di pianificazione strategica delle 57 iniziative in ambito ICT Security (Master Plan ICT/Information Security)? Figura A.10 Qual è la periodicità con cui viene elaborato il piano delle iniziative 58 in ambito ICT Security, se previsto? Figura A.11 Qual è l unità formalmente responsabile per l elaborazione del piano 58 di Information Security (progetti/attività correnti)? Figura A.12 Quali sono i principali stimoli nell identificazione di nuovi progetti 58 di ICT Security? Figura A.13 Quali sono le direzioni/divisioni aziendali che forniscono il maggior 59 numero di input per la messa a punto degli interventi di ICT Security? ICT SECURITY: QUALE GOVERNANCE? 3

5 Figura A.14 Per la definizione delle iniziative si fa ricorso ad approcci strutturati di risk 59 Figura A.15 analysis/risk management? I progetti di investimento in ICT/Information Security di natura 60 Figura A.16 discrezionale (non mandatory per adeguamento a normativa) sono soggetti a un processo formale di approvazione che include una valutazione economico-finanziaria (ritorno dell investimento)? È prevista la definizione di un budget (esplicito) per l ICT Security 60 Figura A.17 nell ambito del processo di budgeting annuale? Qual è la percentuale del budget ICT Security rispetto al budget ICT 60 Figura A.18 complessivo? Qual è il trend del budget ICT Security? 61 Figura A.19 Esistono sistemi di misurazione delle prestazioni (KPI) specificamente 61 Figura A.20 sviluppati per quest area? Quali sono a suo avviso i principali fattori critici di successo nella gestione dei progetti di ICT security? I progetti in corso 62 Figura A.21 I progetti futuri 62 4 ICT SECURITY: QUALE GOVERNANCE?

6 Indice Box pagina Box 2.1 Le altre unità organizzative coinvolte nell ICT Security 29 Box 3.1 Le principali aree di investimento 41 Box Italia 43 Box 4.2 Auchan 43 Box 4.3 Banca Popolare di Sondrio 44 Box 4.4 Cariparma 45 Box 4.5 Eni 45 Box 4.6 Fastweb 46 Box 4.7 Heineken Italia 47 Box 4.8 Logista 47 Box 4.9 Mediaset 48 Box 4.10 SEAT Pagine Gialle 49 Box 4.11 TNT Post 49 Box 4.12 Vodafone Italia 50 Box 4.13 We@service 51 Box 4.14 UniCredit Global Information Services (UGIS) 52 ICT SECURITY: QUALE GOVERNANCE? 5

7

8 Introduzione È questo il primo Rapporto di un nuovo Osservatorio permanente della School of Management del Politecnico di Milano, creato e gestito insieme al CEFRIEL e in collaborazione con Reed Exhibitions Italia, che pone l attenzione su uno dei temi più discussi negli ultimi anni: quello sull Information Security. Nonostante siano anni che questo tema è al centro di un ampio dibattito a livello sia internazionale sia italiano, abbiamo sentito comunque l esigenza di far nascere questo nuovo Osservatorio perché, a nostro avviso, serve una prospettiva diversa, che sappia affrontare con un taglio veramente integrato, sia gestionale sia tecnologico, un tema troppo spesso vissuto come un problema esclusivamente tecnico. Oggi si sta diffondendo una maggiore consapevolezza che l Information Security debba essere concepita come un insieme di soluzioni strettamente correlate di natura tecnologica, organizzativa e gestionale, per la cui individuazione non si può prescindere dall esame del contesto specifico dell impresa (in termini di strategia, assetto organizzativo, sistemi di gestione, business processes, prodotti/servizi, ecc.). L Osservatorio nasce da questa consapevolezza con due missioni principali: creare e diffondere la cultura dell Information Security Management in Italia, contribuendo ad una maggiore sensibilizzazione della rilevanza strategica che può assumere questo tema, anche a livello di top management aziendale; costituire il punto di riferimento per la community di attori (manager, professional, consulenti, technology e solution provider, ecc.) che operano con diversi ruoli in questo ambito. Nel suo primo anno di attività, l Osservatorio ha voluto adottare una prospettiva particolarmente ampia e sistemica, cercando in primis di investigare la governante strategica dell Information Security, a livello sia di scelte (macro) organizzative (creazione di strutture ad hoc, attribuzione di ruoli e responsabilità, scelte di sourcing, ecc.) sia di configurazione dei processi decisionali chiave (in primis il processo di pianificazione e controllo). Lo ha fatto con una consistente analisi empirica, basata su interviste approfondite ad oltre una trentina di CISO (Chief Information Security Officer) o CSO (Chief Security Officer) di alcune tra le principali imprese italiane e una survey che ha coinvolto oltre 60 CIO (Chief Information Officer). Umberto Bertelè Andrea Rangone ICT SECURITY: QUALE GOVERNANCE? 7

9

10 Executive Summary Gli obiettivi della Ricerca I sistemi informativi, e, in generale, le tecnologie ICT costituiscono oramai il sistema nervoso di tutte le imprese. La sicurezza del patrimonio informativo (e delle infrastrutture ICT) è fondamentale per la sopravvivenza stessa di qualsiasi organizzazione, così come alcuni eventi del recente passato hanno dimostrato. Il tema è di per sé molto complesso, come dimostra già la proliferazione di termini e di definizioni che è possibile reperire sia in letteratura sia nella prassi: information security, ICT security, business security, corporate security, ecc. In questo Report concentreremo la nostra attenzione sull ICT Security, intesa come l insieme delle misure atte a garantire la sicurezza delle informazioni immagazzinate e veicolate utilizzando le tecnologie ICT ( security of digitalised information ), ma anche a garantire la disponibilità e il regolare funzionamento dei sistemi e delle applicazioni ICT ( security of ICT ). La complessità è incrementata dal crescente overlapping tra i vari domini di sicurezza con i problemi organizzativi e gestionali che ne conseguono. Si pensi per esempio alla sicurezza di prodotti e servizi erogati tramite piattaforme ICT, alla prevenzione e gestione delle frodi finanziarie, alle tecnologie ICT a supporto della sicurezza fisica, oppure ancora alla sicurezza dei sistemi di controllo dei processi industriali. È chiaro che un area così strategicamente rilevante e così complessa necessita di sistemi di governance appropriati, tali da garantire un adeguata visibilità e standing all interno dell organizzazione, l integrazione tra il piano strategico dell ICT Security e i programmi strategici complessivi dell impresa (per mezzo di opportune soluzioni organizzative), l allocazione di budget congruenti con gli obiettivi prefissati, nonché il monitoraggio dello stato di implementazione delle iniziative e la verifica dei risultati ottenuti. Si tratta delle scelte fondamentali di quella che abbiamo denominato governance strategica dell ICT Security, per distinguerla dalla governance più operativa (o gestionale ), che si occupa di definire policy e procedure operative (per lo sviluppo dei progetti e per la gestione delle operations), di mettere a punto standard e meccanismi di coordinamento per garantire efficacia ed efficienza delle attività di ICT Security. A nostro avviso, le variabili di progettazione della governance strategica sono riconducibili a tre famiglie fondamentali, concernenti rispettivamente: le scelte (macro) organizzative (creazione di strutture ad hoc, attribuzione ruoli e responsabilità, scelte di sourcing strategico), la configurazione dei processi strategici (in primis il processo di pianificazione e controllo), e le risorse umane (profili di competenze più appropriati per presidiare i diversi ambiti di responsabilità). In particolare, in questa fase sono stati analizzate le prime due dimensioni, mentre la terza classe di variabili sarà oggetto di uno dei prossimi step della Ricerca. Le configurazioni organizzative emergenti L analisi macro-organizzativa ha messo in luce l esistenza di quattro configurazioni organizzative, caratterizzate da complessità crescente: il modello All in One, caratterizzato dalla concentrazione di tutte le attività legate all ICT Security (governo, progettazione, sviluppo, gestione opera- ICT SECURITY: QUALE GOVERNANCE? 9

11 Executive Summary tiva e monitoraggio) in un unica organizzativa, tipicamente l unità operations della funzione ICT; il modello ICT Centric, caratterizzato dall introduzione di un unità specifica di ICT Security (sempre all interno dell ICT), che tipicamente si occupa delle attività di governo e di progettazione delle soluzioni, mentre le attività di sviluppo delle applicazioni e di gestione delle operations sono sempre responsabilità delle rispettive aree tecnologiche; il modello Segregation, in cui le attività di governo (e spesso anche di identificazione delle soluzioni) sono assegnate alla funzione Corporate Security (o Sicurezza Aziendale ), mentre all ICT rimangono le attività di sviluppo e di esercizio. Infine, il quarto modello, denominato Multiplayer, che presenta la massima articolazione organizzativa. In questo caso, infatti, le attività di governo sono attribuite a una (o più) unità organizzative della funzione Corporate Security, la progettazione delle soluzioni è assegnata ad un apposita unità di ICT Security collocata all interno dell unità ICT, mentre lo sviluppo e la gestione delle attività correnti sono sempre attribuite alle corrispondenti unità ICT. La Ricerca ha cercato quindi di comprendere quali siano i fattori di contesto che spiegano l adozione di una di queste quattro configurazioni organizzative. In particolare, il primo driver analizzato è stata la dimensione dell unità ICT, che appare positivamente correlata con la complessità delle soluzioni adottate, anche se non sembra spiegare del tutto le scelte organizzative delle imprese. Ancor più interessante è risultato il settore di attività: in particolare, il modello ICT Centric risulta quello adottato praticamente dalla totalità delle imprese del settore banking analizzate, mentre le telco sembrano preferire il modello Multiplayer, e quelle del settore energy optano prevalentemente per il modello Segregation. Questo fenomeno si spiega se si pensa al ruolo che il settore esercita nel determinare la complessità (e la rilevanza relativa) dei diversi ambiti dell ICT Security (sviluppo prodotti e servizi ICT based, rischio frodi informatiche, sicurezza fisica/ industriale, tutela proprietà intellettuale, ecc.). Al contrario, il profilo di Sourcing scelto per l ICT non sembra avere particolare influenza sulle scelte organizzative dell ICT Security, almeno a livello macro. Il governo dei processi decisionali strategici La seconda parte della Ricerca ha riguardato l analisi dei processi di pianificazione e controllo, di fondamentale importanza per un corretto indirizzo strategico delle attività di ICT Security, per la misurazione delle performance ottenute, nonché per il miglioramento continuo dei sistemi di gestione. Si è innanzitutto analizzato il processo che porta all elaborazione del piano strategico dell ICT Security. In particolare, con riferimento al grado di formalizzazione del processo, i risultati hanno evidenziato come solo in alcune delle realtà analizzate esista un processo ben strutturato e integrato con il più generale processo di pianificazione e controllo dell impresa (processo che prevede tipicamente il coinvolgimento sistematico di appositi comitati di sicurezza). A riprova di ciò, solo una minoranza delle imprese analizzate ha dichiarato di elaborare un piano con orizzonte pluriennale. Più frequentemente ci si limita alla formulazione di un piano annuale (in occasione del processo di budgeting dell impresa), eccezion fatta per le grandi decisioni di investimento, che vengono normalmente gestite ricorrendo a task force o comitati ad hoc. Il livello di formalizzazione del processo di elaborazione del piano strategico ha un impatto anche sul grado di coinvolgimento delle varie unità aziendali. I comitati di sicurezza, infatti, prevedono la presenza dei responsabili di diverse unità aziendali (ICT, Corporate Security, Internal Audit, HR, ecc.), e talvolta anche del CEO (o figura equivalente). Di converso, nei casi meno strutturati, l ICT Security appare ancora confinata nell ambito dell ICT, il che comporta inevitabilmente il rischio di una limitata vision strategica. Considerazioni simili valgono per quanto concerne le metodologie di analisi utilizzate: in particolare, il ricorso alla risk analysis in molti casi non è ancora siste- 10 ICT SECURITY: QUALE GOVERNANCE?

12 Executive Summary matico, e spesso non rappresenta il punto di partenza per l individuazione delle iniziative da inserire nel piano. In molti casi si nota, inoltre, ancora un certo scollamento tra le analisi svolte in quest ambito e quelle condotte per valutare il profilo di rischio complessivo dell impresa (tipiche dell unità risk management), scollamento che, oltre a confermare la scarsa integrazione tra l ICT Security e la strategia complessiva dell impresa, appare ancor più critico alla luce dei recenti accordi di Basilea2. Inoltre, gli approcci utilizzati non sempre sono caratterizzati da un livello di formalizzazione e accuratezza adeguati. Non di rado, poi, vengono utilizzati diversi approcci all interno della stessa impresa (con diverse finalità: regulatory compliance, protezione degli asset, business continuity), col rischio conseguente di inefficienze e incongruenze tra i risultati delle diverse analisi. Sempre con riferimento alle metodologie, va segnalato che il ricorso a criteri di valutazione di tipo economico-finanziario per la valutazione ex ante dei progetti di investimento non è molto frequente. Le motivazioni vanno ricercate nella difficoltà di quantificare i benefici in termini economici (che porta a effettuare valutazioni di tipo qualitativo) e nell obbligatorietà (de jure o de facto) dell investimento, che rende non necessaria (almeno apparentemente) tale analisi. A nostro avviso questo rappresenta uno dei problemi fondamentali che ostacola lo sviluppo dell ICT Security, soprattutto nelle imprese che adottano approcci strategici fortemente improntati al value based management, in cui l approvazione dei progetti (soprattutto se di notevole dimensione) è possibile solo a patto che il Chief Information Security Officer riesca a far comprendere (e a misurare) il contributo che l ICT Security può fornire alla creazione di valore. Ancor più arretrato risulta lo scenario per quanto riguarda la diffusione degli strumenti di controllo strategico. La diffusione di sistemi di misurazione delle prestazioni (cruscotti direzionali, tableau de bord, ecc.) finalizzati al monitoraggio dell ICT strategy execution e alla verifica dei risultati ottenuti appare ancora estremamente limitato. Più frequente l inserimento di qualche indicatore di prestazione (KPI) all interno dei sistemi di misurazione delle prestazioni di altre funzioni (ICT, risk management), anche se spesso tali indicatori appaiono poco integrati e di natura un po troppo operativa (orientati al breve termine), o, al contrario, troppo generici e di alto livello. È chiaro che l assenza di una misurazione sistematica delle performance rappresenta un elemento di debolezza dei sistemi di gestione dell ICT Security, anche alla luce degli standard di riferimento (si pensi all ISO27001). L analisi settoriale Il quadro di sintesi che emerge dall analisi condotta vede quindi le (grandi) imprese dei settori finance e telco, da sempre attente ai rischi potenziali insiti nell utilizzo delle tecnologie, ancora in una posizione di leadership, sia per ciò che concerne il dimensionamento delle risorse dedicate all ICT Security, che per qualità dei sistemi di gestione, anche se, come si è visto, in alcuni aree sussistono ancora ampi margini di miglioramento. Interessanti segnali positivi giungono da imprese di alcuni altri settori che, per diversi motivi (crescente rilevanza strategica delle tecnologie ICT, tutela proprietà intellettuale, ecc.), stanno investendo significativamente anche sui sistemi di governance, anche se va detto che in generale, al di fuori dei due settori sopra citati, l importanza strategica dell ICT Security, e i rischi connessi all adozione di sistemi di gestione non adeguati, non sembrano essere stati ancora pienamente compresi. A questo riguardo, forse un catalizzatore del cambiamento potrà essere rappresentato dal crescente peso della normativa di carattere generale (cross industry), che sempre più spesso impone alle imprese l adozione di soluzioni organizzative e strumenti di auditability, nonché dalle sfide imposte dalle nuove tecnologie e dai nuovi modelli organizzativi aziendali (si pensi alla secure mobility o alla virtualizzazione). Le aree di investimento Nell ambito dell analisi abbiamo anche chiesto alle aziende quali fossero le priorità ICT SECURITY: QUALE GOVERNANCE? 11

13 Executive Summary strategiche e le aree di investimento previste per il prossimo futuro. Anche in questo caso i risultati risentono, almeno parzialmente, di fattori industry specific, che a loro volta sono legati al diverso livello di maturità raggiunto dai sistemi di gestione dell ICT Security. Tuttavia, si possono individuare alcune risposte ricorrenti, anche se non si può parlare di veri e propri trend. In particolare, l attenzione delle imprese sembra concentrarsi sulle problematiche di Identity Access Management, di Business Continuity e al Disaster Recovery, nonché sulle soluzioni tecnico-organizzative finalizzate a più efficace monitoraggio degli eventi di security (SOC e simili). Paolo Maccarrone Luca Marzegalli 12 ICT SECURITY: QUALE GOVERNANCE?

14 1. La governance dell ICT Security: un framework di riferimento La definizione del raggio d azione dell ICT Security Le informazioni rappresentano sicuramente una delle risorse vitali di qualsiasi azienda: la distruzione, la compromissione o l accesso non autorizzato al patrimonio informativo aziendale può causare danni elevatissimi a un business, fino a comprometterne la sopravvivenza stessa, come dimostrano alcuni degli eventi e degli scandali più eclatanti degli ultimi anni. In particolare si è assistito a: frodi finanziarie; spionaggio industriale (incursioni nei sistemi informativi, mirate al furto di informazioni mission critical, quali piani strategici, brevetti, ecc.); utilizzo per fini illeciti di informazioni personali custodite negli archivi informatici delle aziende; falsificazioni dei dati di bilancio; intercettazioni non autorizzate; estorsioni. I fatti di cui sopra sono quasi sempre riconducibili al tema della sicurezza delle informazioni. L Information Security può essere quindi definita come l insieme delle misure, di natura tecnologica, organizzativa e legale, volte a impedire o comunque ridurre al minimo i danni causati da eventi intenzionali (crimini, frodi) o non intenzionali (errori umani, fenomeni naturali) che violano la confidenzialità, l integrità e la disponibilità del patrimonio informativo aziendale, indipendentemente dal modo in cui tali informazioni siano comunicate, e dal supporto fisico sul quale siano custodite. L ICT Security è generalmente considerata una componente dell Information Security, focalizzata sulla protezione di tutte le informazioni gestite dai sistemi informativi e trasmesse attraverso le reti aziendali/internet. In realtà questa definizione o, meglio, questa concezione dell ICT Security per essere completa deve tenere conto non solo della protezione (confidenzialità, integrità, disponibilità) del dato elementare/delle informazioni proprietarie dell organizzazione, ma anche della protezione delle infrastrutture e delle applicazioni ICT da attacchi o manomissioni che ne possano compromettere il regolare funzionamento. La compromissione dell infrastruttura può infatti portare al blocco temporaneo dei processi aziendali (per esempio, nel caso di attacchi che causano spamming e conseguente saturazione della capacità di banda), causando quindi un danno economico all azienda (si pensi per esempio al blocco di un sito di web banking o di e-commerce). Si comprende pertanto che il tema dell ICT Security è una componente fondamentale sia dell Information Security sia di quella che potremmo chiamare Business Security (Figura 1.1). ICT SECURITY: QUALE GOVERNANCE? 13

15 Capitolo 1 La governance dell ICT Security: un framework di riferimento Figura 1.1 Information Security, Business Security e ICT Security Information Security Business Security Dato Servizio Processo ICT ICT Security Si può notare inoltre il ruolo sempre maggiore dell ICT anche in altre tipologie di sicurezza quali ad esempio la sicurezza fisica, la sicurezza negli ambienti di lavoro, la gestione delle frodi (Figura 1.2). Alcuni esempi significativi sono: molti impianti di video sorveglianza sono oramai basati su sistemi digitali e le informazioni sono trasferite attraverso le reti dati IP. La protezione di questi apparati da attacchi e manomissioni è quindi fondamentale per garantire la corretta operatività degli addetti alla sicurezza fisica, e, quindi, adeguata protezione degli asset fisici e delle persone; la gestione dell allarmistica è tipicamente affidata a centrali di controllo totalmente basate su applicazioni ICT: il corretto funzionamento di tali applicazioni, che ovviamente dipende anche dal loro livello di sicurezza ICT, costituisce quindi prerequisito fondamentale per garantire adeguati standard di sicurezza sul lavoro; le frodi finanziarie vengono quasi sempre attuate sfruttando le infrastrutture e le applicazioni ICT. Ne è un esempio l alterazione dei sistemi di tariffazione (billing) nell ambito delle imprese telco, o di applicazioni che si occupano delle transazioni finanziarie nel banking, agendo per esempio sull alterazione del workflow autorizzativo, o tramite furto di identità digitale. Sempre più spesso, quindi, chi si occupa di prevenzione e gestione frodi deve ricorrere agli esperti di ICT Security. Figura 1.2 Le interrelazioni tra l ICT Security e gli altri ambiti di sicurezza Sicurezza processi business Sicurezza industriale ICT Security Sicurezza fisica Sicurezza sul lavoro Fraud Management Quest ultimo punto può essere ricondotto a un tema più generale: il design sicuro delle applicazioni ICT. Questo vale: per le applicazioni gestionali (ERP, CRM e simili); per le applicazioni business oriented basate su tecnologie ICT: si tratta di un aspetto particolarmente critico per tutte le imprese la cui offerta di prodotti/servizi è erogata 14 ICT SECURITY: QUALE GOVERNANCE?

16 La governance dell ICT Security: un framework di riferimento Capitolo 1 principalmente (se non esclusivamente) utilizzando le tecnologie ICT. Si fa riferimento ovviamente alle telco, ma anche alle banche (si pensi per esempio al web o al mobile banking), nonché alle media company; per tutti i sistemi di controllo dei processi industriali (cosiddetti sistemi SCADA e simili). Oltre a dover gestire i progetti e i servizi specifici di ICT Security, i responsabili dell ICT Security devono quindi garantire la giusta componente di security in ogni progetto in cui si faccia uso di soluzioni ICT e quindi, considerata la sempre maggiore pervasività dell ICT, praticamente in tutte le attività aziendali. Si può quindi affermare che esistono due macro-aree distinte di attività (si veda la Figura 1.3): la prima include le attività e i progetti specifici di ICT Security (sicurezza infrastrutturale delle reti, patching dei sistemi informativi, profilazione e autenticazione utenti, ecc.); la seconda comprende tutte le attività volte a garantire il rispetto dei requisiti di sicurezza all interno di tutte le soluzioni ICT. Figura 1.3 I progetti di ICT Security e la sicurezza nei progetti ICT ICT Projects ICT Security ICT Security Projects Progetto A Identity Management Progetto B Progetto C Progetto D SICUREZZA Network Access Control Inoltre, la gestione delle attività legate all ICT Security è piuttosto complessa, per diversi motivi: la costante evoluzione tecnologica, che offre nuove opportunità alle imprese da un lato, ma dall altro le espone continuamente a nuovi rischi, legati a nuove vulnerabilità e a nuove minacce che vengono continuamente messe a punto dagli attacker ; qualsiasi iniziativa ha un effetto pervasivo sull organizzazione, nonché spesso invasivo sul modo di lavorare delle persone (con i conseguenti rischi di resistenza o, comunque, di inerzia al cambiamento). La governance dell ICT Security Risulta quindi evidente l importanza di dotarsi di un appropriata governance dell ICT Security, che assicuri la giusta rilevanza strategica al tema, fattore chiave per ottenere adeguati livelli di efficacia ed efficienza delle iniziative. Nella letteratura, così come nella prassi, non vi è piena convergenza sulla definizione di ICT Security Governance (come peraltro accade anche per l ICT Governance nel suo complesso), né sul relativo spettro di attività (e quindi sull output). Cercando di mettere insieme i principali approcci e contributi, ne emerge che obiettivo dell ICT Security Governance è quello di dotare l impresa di: una strategia di ICT Security ben definita, e collegata agli obiettivi di business (nonché a quelli dell ICT); una struttura organizzativa congruente con gli obiettivi, la tipologia di attività e il carico di lavoro previsto; meccanismi di pianificazione e controllo; ICT SECURITY: QUALE GOVERNANCE? 15

17 Capitolo 1 La governance dell ICT Security: un framework di riferimento metodologie di risk analysis/management appropriate; adeguate policy che comprendano tutti gli aspetti legati alla strategia, al controllo e alla regolamentazione inerente l ICT Security; standard di riferimento che assicurino procedure adeguate e rispetto delle policy; processi di monitoraggio e controllo adeguati, che assicurino feed-back tempestivi sullo stato di implementazione dei programmi, sulla loro efficacia, nonché sulla compliance alle policy e alle normative di riferimento; meccanismi organizzativi che consentano un aggiornamento e un miglioramento continuo delle policy e delle procedure (e, quindi, una costante riduzione del livello di rischio complessivo). Da questo elenco risulta abbastanza chiaramente come vi siano alcuni elementi di natura più strategica affiancati da aspetti di carattere più gestionale. In particolare i primi tre punti fanno riferimento a quella che possiamo identificare come la governance strategica dell ICT Security. La governance strategica dell ICT Security deve essere vista come un elemento della governance complessiva dell impresa (Figura 1.4). Ne è la riprova il fatto che alcuni elementi legati all ICT, o, più in generale, all Information Security, facciano parte di documenti di governance di più alto livello, quale ad esempio il codice etico aziendale. Questo però comporta che sia coinvolto il Top Management aziendale, il che avviene tipicamente attraverso la costituzione di Task Force o Comitati. Le leve che possono essere utilizzate per la progettazione della governance dell ICT Security sono fondamentalmente tre: l organizzazione, intesa qui nell accezione di configurazione macro-organizzativa che consenta di mettere in atto i programmi strategici e di gestire l operatività, nonchè modalità di definizione e aggiornamento delle politiche, modalità di gestione dei progetti, definizione del processo di miglioramento continuo; i processi di pianificazione e controllo (si fa riferimento ai processi di pianificazione e controllo, alle policy, agli standard); le risorse, le competenze e la cultura: si tratta della leva progettuale che agisce sugli input, e in particolare sulle risorse umane, sulle loro competenze, sul loro sistema di valori, nonché sulla cultura organizzativa in generale. Figura 1.4 La governance dell ICT Security Corporate Governance ICT Governance ICT Security Governance Organizzazione Processi di pianificazione e controllo Risorse, Competenze e Cultura In questa fase della Ricerca l attenzione si è concentrata sulle prime due leve, ovvero le scelte macro-organizzative e processo di pianificazione e controllo, che saranno oggetto dei seguenti due capitoli. 16 ICT SECURITY: QUALE GOVERNANCE?

18 2. Gli assetti organizzativi macro dell ICT Security Nel presente capitolo si affronterà uno dei tre aspetti del governo strategico dell ICT Security, e cioè l impostazione organizzativa. Per affrontare in modo strutturato il tema dell organizzazione delle funzioni connesse all ICT Security occorre partire dall identificazione delle attività specifiche e di quelle correlate al tema specifico della sicurezza. Questo risulta fondamentale in quanto, normalmente, quando si affronta il tema dell organizzazione degli aspetti di ICT Security la domanda usuale che ci si pone riguarda il posizionamento o meno dell ICT Security all interno della direzione ICT. Come si vedrà in seguito, la questione è, in realtà, più complessa in quanto più unità organizzative sono coinvolte nelle attività di ICT Security. Le attività La classificazione e soprattutto la nomenclatura delle attività non è ancora patrimonio comune tra i professionisti che agiscono nel settore. Nel corso delle interviste le attività più frequentemente menzionate sono riconducibili alle seguenti tipologie (Figura 2.1): Definizione delle policy e delle procedure operative; Pianificazione e Controllo; Progettazione e/o Identificazione dei sistemi e delle soluzioni; Implementazione dei sistemi e delle soluzioni; Gestione Operativa dei sistemi e delle soluzioni; Monitoraggio. Figura 2.1 Definizione delle policy e delle procedure operative Pianificazione e controllo Progettazione e/o Identificazione dei sistemi e delle soluzioni Le principali attività dell ICT Security Implementazione dei sistemi e delle soluzioni Gestione operativa dei sistemi e delle soluzioni Monitoraggio Definizione delle policy e delle procedure operative Le politiche e le procedure operative possono essere indirizzate a diversi soggetti (utenti dei sistemi informativi o amministratori/gestori dei sistemi) e spesso sono specifiche per un particolare ambito (sistema o servizio). Tali politiche e procedure sono sviluppate a partire dalla visione aziendale del tema della ICT SECURITY: QUALE GOVERNANCE? 17

19 Capitolo 2 Gli assetti organizzativi macro dell ICT Security sicurezza, e si caratterizzano per il fatto di avere un livello di dettaglio tale da permetterne la verifica di applicazione in modo oggettivo e non opinabile. In alcune aziende è stata riscontrata l esistenza di un unità organizzativa dedicata a quest attività la cui nomenclatura è tipicamente Policy o Politiche e Procedure. Pianificazione e Controllo Quest attività permette la redazione del piano di progetti da intraprendere e garantisce il controllo del raggiungimento degli obiettivi. L attività di Pianificazione e Controllo qui citata verrà approfondita nel capitolo successivo. Progettazione e/o Identificazione dei sistemi e delle soluzioni Il risultato di questa attività è il piano dettagliato dell intervento da effettuare, comprensivo dell identificazione degli strumenti da utilizzare ed eventualmente da sviluppare. In questa fase si definiscono anche i processi di supporto per l implementazione degli interventi identificati. Inoltre in questo ambito rientra anche la verifica degli aspetti di sicurezza dei nuovi servizi e delle nuove applicazioni ICT. È oramai evidente che tali aspetti debbano essere considerati fin dalla progettazione delle nuove applicazioni. Le competenze per valutare la sicurezza delle applicazioni spesso non sono disponibili direttamente nel team di progetto e per questo serve una struttura centrale in grado di fornire supporto di tipo consulenziale sull ICT Security ai singoli team di progetto. Tra l altro il fatto che la valutazione della sicurezza ICT e delle contromisure da implementare avvenga da parte di persone non direttamente coinvolte nel progetto permette una corretta gestione delle priorità e garantisce una uniformità all interno dell azienda. In alcune realtà è stata riscontrata l esistenza di un unità organizzativa volta a questo scopo e denominata Ingegneria della Sicurezza. Implementazione dei sistemi e delle soluzioni Questa fase comprende la realizzazione di quanto definito nella fase precedente e inoltre provvede a quanto necessario per porre il tutto in esercizio affinché il sistema o la soluzione possano diventare operativi. Questa attività nella maggior parte dei casi non è affidata, neanche per i sistemi e le soluzioni di ICT Security, ad unità che si occupano esclusivamente di Security, ma è demandata alle strutture di sviluppo di ICT. Gestione Operativa dei sistemi e delle soluzioni Nella gestione operativa dei sistemi e delle soluzioni ricadono tutte le operazioni ordinarie di gestione dei sistemi e di applicazione delle procedure operative definite. Esempi che ricadono in questa tipologia sono l aggiornamento delle configurazioni e la gestione dei guasti degli apparati specifici di Security, come possono essere ad esempio i Firewall. In alcuni casi vi è in azienda un unità organizzativa denominata Security Operation Center che può avere, tra le altre, anche questa responsabilità. 18 ICT SECURITY: QUALE GOVERNANCE?

20 Gli assetti organizzativi macro dell ICT Security Capitolo 2 Monitoraggio Il monitoraggio comprende attività che spaziano dall analisi della compliance a normative e policy all analisi delle informazioni di sicurezza, al fine di evidenziare anomalie. In talune realtà vi è una specifica unità organizzativa denominata Compliance che si occupa della verifica dell attuazione delle policy. L analisi delle informazioni di sicurezza, in determinati casi, è parte dei compiti di un unità specifica denominata Security Operation Center. Queste attività sono allocate in unità organizzative diverse a seconda della specifica realtà. Nel paragrafo successivo verranno delineate le scelte più ricorrenti, nonché i fattori che hanno maggiore influenza in tale scelta. Le configurazioni organizzative emergenti Vi è una prima scelta che contraddistingue l impostazione data al modello organizzativo, che consiste nel collocare competenze di ICT Security in unità organizzative distinte o nella centralizzazione del tutto in un unica unità organizzativa. Il modello All in One Il primo modello, che denomineremo modello All in One, è contraddistinto dall assegnazione ad un unica unità organizzativa delle responsabilità sulle attività elencate nel seguito: Definizione delle policy e delle procedure operative; Pianificazione e Controllo; Progettazione e/o identificazione dei sistemi e delle soluzioni; Implementazione dei sistemi e delle soluzioni; Gestione Operativa dei sistemi e delle soluzioni; Monitoraggio. Questa struttura di solito è collocata all interno della Direzione ICT nell unità che si occupa delle infrastrutture e della rete, secondo quanto illustrato nella Figura 2.2. ICT Figura 2.2 Il modello All in One Operations Solutions Definizione delle policy e delle procedure operative Pianificazione e controllo Progettazione e/o Identificazione dei sistemi e delle soluzioni Implementazione dei sistemi e delle soluzioni Gestione operativa dei sistemi e delle soluzioni Monitoraggio Il modello ICT Centric Qualora l azienda decida di operare un primo livello di separazione delle responsabilità, la prima distinzione operata è tra le attività di governo e le attività operative. ICT SECURITY: QUALE GOVERNANCE? 19