Websense: cinque consigli di sicurezza per i Savvy CISO

redazione

Gli imprenditori sono sempre più preoccupati dall’aumento delle tecnologie utilizzate in ufficio. Le innovazioni come BYOD, cloud, accessi globali e social network hanno spinto i CISO a chiedersi come proteggere in modo efficace i dati aziendali e la proprietà intellettuale.

All’interno del panorama delle minacce in costante cambiamento, le aziende e gli enti governativi stanno lottando contro il cyber crime organizzato e l’hacktivism. Con malware come Flame, Stuxnet e Shamoon all’interno dell’arsenale dei cyber criminali, i CISO devono essere sempre un passo avanti e pronti a fronteggiare nuovi attacchi.

Websense analizza le misure di sicurezza attualmente utilizzate e suggerisce quali iniziative possono essere implementate per aumentare il valore della vostra azienda e proteggersi contro gli attacchi avanzati dei cyber criminali.

1.    Capire il vostro business. Spesso le funzioni che generano profitto, come le vendite e il marketing, tendono a considerare la sicurezza come l’ultima risorsa o a non considerarla affatto. Nel tentativo di cambiare questa situazione, i CISO devono essere coinvolti attivamente nel ciclo di sviluppo di prodotti/servizi ed integrare la sicurezza in modo da valorizzarne la conversione in denaro.

 

I rischi e le minacce che la vostra azienda sta affrontando sono reali e posso causare un potenziale fallout se scegliete un approccio alla sicurezza reattivo. E’ invece importante essere reattivi informando il consiglio di amministrazione che la sicurezza può essere uno dei principali differenziatori anche in termini finanziari. Dovete integrarlo in ogni processo, strategia e comunicazione. Aumentare la sicurezza equivale ad aumentare i profitti e a preservare i dati aziendali.

 

2.    Capire il ruolo della sicurezza. Oggi la tecnologia cattura tutta l’attenzione e spesso ci dimentichiamo delle persone e dei processi, che garantiscono realmente il successo della nostra azienda. Per ottenere una sicurezza IT completa, bisogna integrare governance e processi. Inoltre, la formazione dei dipendenti, dal consiglio di amministrazione al servizio clienti, è fondamentale ed ognuno dovrebbe conoscere reciprocamente la mission e le strategie della vostra divisione.

 

Per capire quanto i dipendenti conoscono le minacce e come reagiscono, è possibile simulare un attacco contro la vostra azienda. Allo stesso modo potreste sfidare il vostro helpdesk a capire come potrebbero rubare una password durante il processo di reset, identificando potenziali casi di uso improprio o di abuso.

 

3.    Capire le “informazioni”. Comprendere il valore delle informazioni è uno molto importante. Il vostro obiettivo dovrebbe essere quello di conoscere la funzione della sicurezza IT e come si relaziona con la vostra azienda al fine di passare dall’essere un gruppo di sicurezza operativa a un team di intelligence di sicurezza. Non solo dovete essere in possesso di dati e informazioni, ma dovete analizzarli e sfruttare i risultati ottenuti per raccontare una storia. Nel fare questo, permettete all’IT di attuare un programma di sicurezza che protegga la vostra azienda contro la perdita e il furto dei dati.

 

4.    Stabilire una governance. Per definizione, la governance è la capacità di delineare le aspettative, assegnare il potere e confermare le performance. Questo può essere ottenuto attraverso la creazione di una dichiarazione d’intenti legata alle iniziative di sicurezza all’interno della vostra azienda. In questo modo, avrete definito chiaramente a chi riporta, ruoli e responsabilità della sicurezza IT. Garantire un allineamento operativo tra tutti i reparti aiuterà a coinvolgere maggiormente la vostra azienda, rendendoli più consapevoli dell’architettura di sicurezza implementata.

 

5.    Convertire il rischio in iniziative di capitalizzazione. Ultimo ma certamente non meno importante, dovete sfruttare il vostro modello di governance per trasformare le iniziative di information security in sforzi di capitalizzazione. Quando collaborate con il senior management per determinare mission, priorità e iniziative, i vostri progetti saranno trasformati in obiettivi supportati dal board. E’ inoltre indispensabile aggiornare il senior management per quanto riguarda rischi, informazioni e notizie che lo riguardano.

 

L’adesione a queste iniziative permette di costruire solide basi per la strategia di sicurezza della vostra azienda. E’ importante definire i rischi e le soluzioni di sicurezza, trovando un equilibrio tra i due. Finché mantenete una mentalità proattiva, sarete in una posizione migliore per contrastare gli attacchi avanzati e salvaguardare i dati aziendali.