Oggi, i Chief Information Security Officer (CISO) devono trovare una risposta a domande molto difficili: Come faccio a far si che il mio team di sicurezza sia il primo punto di contatto per l’azienda quando si presentano potenziali problemi alla sicurezza? Come posso far si che il mio team abbia i giusti strumenti e la visibilità per determinare quali sono i problemi di sicurezza più importanti e che richiedono un’azione? E come posso proteggere i miei utenti sempre e non solo quando sono in ufficio?
Secondo gli esperti di sicurezza di Cisco i CISO possono dare risposta a queste domande adottando e seguendo alcuni principi di sicurezza conosciuti come Cisco Security Manifesto.
Ciò permette a team di sicurezza, e agli utenti di un’azienda, di comprendere e rispondere alle sfide alla sicurezza informatica di oggi. Tali principi possono servire come base per le organizzazioni che vogliono diventare più dinamiche nell’approcciare la sicurezza e più innovative dei loro avversari:
1) La sicurezza deve essere considerata il “motore di crescita” del business.
La sicurezza non deve mai essere un ostacolo o un fastidio che può compromettere la produttività dell’utente e frenare l’innovazione del business. Eppure, i team di sicurezza impongono soluzioni tecnologiche che fanno proprio ciò. La principale ragione è che non vengono coinvolti da subito o in tempo nelle discussioni dei progetti di business che richiedono l’adozione di nuove tecnologie. D’altronde, i professionisti della sicurezza sono “colpevoli” di aspettare l’innovazione invece che essere proattivi e far si di essere coinvolti nelle conversazioni tecnologiche e capire come i processi di sicurezza possano permettere all’azienda di essere più agile e competitiva, proteggendone i dati, le risorse e l’immagine.
2) La sicurezza deve lavorare insieme all’architettura esistente e deve essere fruibile.
I team di sicurezza non devono creare un’ architettura per ospitare nuove soluzioni tecnologiche che hanno lo scopo di migliorare la sicurezza.. Le organizzazioni non devono cambiare il modo in cui fanno business per implementare nuove tecnologie di sicurezza o non poter modificare il modo di lavorare a causa delle tecnologie già in uso. Se sovraccaricata, gli utenti potranno aggirare l’architettura di sicurezza, lasciando l’azienda meno protetta. Inoltre, se una tecnologia di sicurezza risulta difficile da capire, utilizzarla e mantenerla non è di certo utile per l’azienda.
3) La sicurezza deve essere trasparente e informativa.
Gli utenti devono avere le informazioni che gli consentano di capire perché la sicurezza gli impedisce di intraprendere una determinata azione. Devono anche sapere come fare in modo sicuro ciò che vogliono, invece che aggirare la sicurezza per fare il loro lavoro. Ad esempio, quando un utente tenta di accedere a una pagina web e si imbatte nel messaggio “l’accesso a questo sito è stato negato dall’amministratore” non c’è spiegazione del perché non possa. Ma se il messaggio dicesse “l’accesso a questo sito è stato negato perché è stato infetto da un malware nelle ultime 48 ore”, l’utente avrebbe un’informazione utile e saprebbe qual è il potenziale rischio per l’azienda e per se stesso. Le tecnologie di sicurezza dovrebbero inoltre aiutare l’utente a raggiungere i propri obiettivi in modo sicuro attraverso raccomandazioni chiare o indirizzarli verso le risorse appropriate per un’assistenza tempestiva.
4) La sicurezza deve dare visibilità e permettere l’azione appropriata.
Le soluzioni di sicurezza con un’architettura aperta permettono ai team di sicurezza di determinare se tali soluzioni sono davvero efficaci. I professionisti della sicurezza hanno inoltre bisogno di strumenti per automatizzare la visibilità nella rete in modo che possano vedere non solo il traffico ma anche le risorse che la compongono. Capendo come operano le tecnologie di sicurezza e ciò che è normale (e anormale) nell’ambiente IT, i team di sicurezza possono ridurre il proprio workload amministrativo e diventare più dinamici e precisi nell’identificare e nel rispondere alle minacce. Nell’adottare tale approccio, i team di sicurezza possono beneficiare appieno dei controlli più rilevanti e pertinenti a supporto della risoluzione del problema.
5) La sicurezza deve essere vista come un “problema delle persone”.
Un approccio incentrato sulla tecnologia non migliora la sicurezza. Le tecnologie sono solo strumenti in grado di migliorare la capacità delle persone di proteggere i propri ambienti. I team di sicurezza devono educare gli utenti in merito ai comportamenti sicuri che dovrebbero avere indipendentemente da dove stanno lavorando – in ufficio, a casa o in strada – in modo che possano prendere le giuste decisioni e si sentano autorizzati a richiedere assistenza tempestiva quando pensano che ci sia qualcosa che non va. Un miglior dialogo tra i professionisti della sicurezza e gli utenti permetterà inoltre di capire che la sola tecnologia non è in grado di assicurare totale sicurezza. Le persone, i processi e la tecnologia, insieme, devono costituire la difesa contro le minacce. L’impegno e la vigilanza da parte degli utenti di un’organizzazione, a tutti i livelli, non fa altro che rafforzare la sicurezza.
