L’IT non è sicurezza IT

sicurezza it

Molte piccole e medie imprese stanno perdendo il treno in termini di sicurezza IT. In un settore che esige una conoscenza tecnica specifica sono impiegati molti generalisti dell’IT, un approccio tutto da rivedere. Sebbene si registri un iniziale cambiamento, sono molti i reparti IT che si trovano di fronte ad una dura battaglia

Cercasi prodigio dell’IT

Osservando la composizione generale dello staff, in effetti tutti fanno un buon lavoro.  A fronte di un organico e di un budget notoriamente ridotti, il reparto IT cerca di svolgere le operazioni quotidiane e contemporaneamente di porre rimedio ad occasionali disservizi dei sistemi. Qual è l’ambito specifico in cui ci si aspettano performance ottimali? In pratica tutti! Dalla creazione di un account utente, alla gestione, installazione e manutenzione del software, dalla pianificazione di reti e sottoreti, alla configurazione dei router e alla manutenzione dell’hardware. Chi lavora nel reparto IT di un’azienda sa che è spesso necessario fare acrobazie per tenere in piedi il business.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

IT = sicurezza?

Guardando alla sicurezza IT in modo specifico il quadro si fa più confuso. Chi lavora nell’IT sa che sarebbe necessario cifrare le comunicazioni ove possibile, sa dell’importanza di predisporre diversi diritti di accesso per gli utenti e sa che la sicurezza implica ben più che proteggere dati e risorse con una password. Tuttavia spesso la conoscenza non si spinge al di là di quanto appreso nel corso di laurea.

Il problema è proprio questo: un grande numero di addetti all’IT non sono esperti di sicurezza. Questo non per colpa loro in realtà: nei primi giorni della digitalizzazione dell’ambiente lavorativo, la sicurezza non era una preoccupazione. Ciò che si richiedeva e si richiede ancora sono persone in grado di realizzare e implementare progetti sostenibili e di provvedere alla loro manutenzione. Hanno fatto un ottimo lavoro e lo fanno ancora, tuttavia tutelare una rete in modo efficace richiede maggior impegno. Qualsiasi piano dovrebbe essere concepito in previsione del manifestarsi di un’emergenza. In un mondo ideale, ogni rete è ideata tenendo ben presente la sicurezza. Sfortunatamente la realtà consta prevalentemente di reti cresciute nel tempo che ora vanno protette. Pianificare una rete ex-novo è l’eccezione piuttosto che la regola.

Leggi anche:  Nuovi dati rilasciati da Netskope rivelano una crescente minaccia di malware nell'industria dei servizi finanziari

Responsabilità

Se si chiede ad un manager di cos’è responsabile il reparto IT, la risposta più usuale è che il reparto è ovviamente responsabile dei sistemi informatici. Ma che cosa significa esattamente? Di che cosa si ritengono responsabili i tecnici nel reparto IT? Un’altra risposta più esaustiva ma sulla falsa riga della precedente è che il reparto IT si assicura che tutti i PC e i server così come i processi aziendali che ne richiedono l’utilizzo funzionino correttamente. Così l’incarico primario dei tecnici IT risulta essere evidentemente quello di garantire la continuità operativa e di aggiungere e/o sostituire i componenti di quando in quando. Prima che si verificassero problemi di sicurezza a cadenza settimanale, questo era perfettamente appropriato. Ma quando i problemi di sicurezza hanno iniziato ad essere al centro dell’attenzione, è stato chiaro che tali problemi riguardavano componenti IT, di competenza del reparto IT.

La sicurezza IT quale dominio regolato da proprie leggi ha spesso condotto una vita nell’ombra. Nel migliore dei casi tale pratica si traduce in un alto livello di stress per i reparti IT. Nel peggiore dei casi ciò può rappresentare l’origine di incidenti di sicurezza di ingenti dimensioni. In ogni caso, non è più appropriato pensare che il reparto IT debba essere responsabile anche della sicurezza IT.  Gradualmente si sta affermando la consapevolezza del ruolo sempre più importante della sicurezza nel campo del business moderno e connesso. Tutti sanno che un blackout nell’IT causato da un malfunzionamento dell’hardware o un’infezione da malware è un problema- quando non si genera fatturato o non è possibile assemblare i beni richiesti, la società perde denaro. Lo stesso dicasi quando informazioni confidenziali o segreti industriali vengono sottratti o resi di pubblico dominio. Ma le vecchie abitudini sono dure a morire.

Leggi anche:  Presentare le soluzioni Zero Trust all'amministratore delegato e al CdA: una guida completa per i CISO

Lavoro di squadra

Ecco il nocciolo del problema. La sicurezza necessita di collaborazione e soprattutto di tempo. Nelle organizzazioni tuttavia, in cui il reparto IT è prossimo al punto di rottura a causa delle mansioni accettate, non sorprende che i primi provvedimenti attuati siano quelli dediti a ridurre le attività che necessitano di più tempo e che meno influenzano la manutenzione delle operazioni quotidiane. In tale ambiente, misure di sicurezza approfondite e efficaci non hanno possibilità di ottenere la dovuta attenzione, in particolar modo se gli impiegati o gli alti dirigenti le percepiscono come un intralcio al loro lavoro.

È un dato di fatto che le responsabilità del reparto IT atte al mantenimento delle attività aziendali quotidiane rimarranno le stesse, mentre la richiesta di sicurezza è in costante aumento. La sicurezza IT è diventata molto più di un semplice aspetto secondario dell’IT, perciò non può più essere trattata come tale.  Questo settore richiede una profonda conoscenza e competenza, la sfida per la corretta gestione è rappresentata dal fatto che il management deve saper rendere disponibili tali conoscenze alla propria azienda. Ciò può avvenire attraverso nuove assunzioni, formando lo staff IT esistente o facendo affidamento su fornitori di servizi esterni. Quest’ultimo aspetto può rivelarsi molto sensato per le società che non hanno la capacità di creare una posizione dedicata per un esperto di sicurezza.

Quando tutto ciò che riguarda la sicurezza viene promosso e sostenuto dal management, ottiene una valenza superiore rispetto a quella che avrebbe se un amministratore IT tentasse di proporre o promuovere lo stesso progetto.

La sicurezza IT non è fine a se stessa

Da un lato, si tratta di un argomento che non si dovrebbe sottovalutare in nessuna circostanza. Dall’altra parte, dobbiamo ammettere che il focus della maggior parte delle aziende non è la sicurezza IT, ed è proprio per queste organizzazioni che vale la pena riflettere sulla possibilità di esternalizzare l’aspetto sicurezza dell’IT ad un fornitore dedicato. A lungo termine, non esiste altra soluzione se non questa: le aziende e i fornitori di servizi IT dovranno considerare l’assunzione di specialisti di sicurezza IT oltre ai loro dipendenti IT generalisti. Questo sarà l’unico modo di ottenere un progetto di sicurezza economicamente sostenibile e conveniente.

Leggi anche:  Ansaldo Energia si affida a HWG Sababa per implementare la propria strategia di OT cybersecurity