Il consiglio si riunisce in una stanza di umore pensieroso. Tutti sono pienamente consapevoli che devono proteggere la propria infrastruttura e i dati critici. Tuttavia, la questione se questi siano adeguatamente protetti sta causando notti insonni nella nostra suite C. Ecco altre domande:
- Il nostro ambiente operativo è sicuro?
- Abbiamo sicurezza "sufficiente"?
- Stiamo proteggendo i beni giusti?
- Quali soluzioni di sicurezza colmeranno al meglio le nostre lacune attuali?
- La difesa a strati ci aiuterebbe?
- Stiamo spendendo troppo, troppo poco o solo la giusta quantità?
Una strategia è il fondamento di un programma di sicurezza informatica; tuttavia, l'implementazione è la chiave. Le seguenti raccomandazioni dovrebbero migliorare i modelli di tranquillita'della nostra leadership:
- Valutare l'attuale ambiente operativo.
Mettere in dubbio se un'organizzazione è sicura raramente susciterà una risposta "sì" o "no". Ciò deve essere preso in considerazione nel contesto aziendale e nella propensione al rischio di un'organizzazione. Ciò è particolarmente vero quando si cerca di determinare se un'organizzazione ha una sicurezza "sufficiente"; è un compromesso tra la salvaguardia dei beni aziendali e la limitazione dell'impatto commerciale dei controlli di sicurezza.
- La difesa informatica non è una soluzione unica.
Emergono nuove minacce, si evolvono le minacce esistenti e aumenta la capacità degli aggressori. Una volta messi a punto set di strumenti, capacità e risorse di sicurezza, l'ambiente aziendale deve essere costantemente monitorato per garantire che lo stato corrente sia ancora efficace e che vengano implementati i miglioramenti necessari per mitigare eventuali nuove minacce.
- Per proteggere le risorse giuste, mantenere un inventario completo del patrimonio dell'organizzazione.
È abbastanza difficile proteggere le risorse sconosciute. Gli effetti avvertiti da una perdita di accesso, divulgazione non autorizzata o corruzione di attività aziendali critiche dovrebbero essere classificati in base al loro valore per l'organizzazione e dovrebbero tener conto degli obblighi legali, regolamentari e contrattuali. Avere chiarezza sullo stato attuale sarà il primo passo per determinare la maturità della sicurezza di un'organizzazione. I processi operativi avranno anche un ruolo cruciale nel far rispettare la sicurezza. Non è possibile proteggere tutto, quindi la classificazione e la definizione delle priorità degli asset in base a valore e criticità contribuiranno a mantenere la concentrazione.
- Quando sono necessari nuovi set di strumenti e risorse, questi devono tenere conto dell'ambiente operativo corrente.
La selezione delle soluzioni di sicurezza informatica non è una cosa banale; il mercato è pieno di una vasta gamma di prodotti con la stessa apparente funzionalità. Le organizzazioni disporranno di infrastrutture, sistemi, capacità operative e processi aziendali esistenti che devono essere presi in considerazione nel processo di selezione. Storicamente, l'ambiente operativo potrebbe non essere stato progettato pensando alla sicurezza, spesso senza input da parte del team dell'architettura di sicurezza. Quando un architetto della sicurezza entra in contatto per la prima volta con l'azienda, un'organizzazione potrebbe essere stata sottoposta a più cicli di fusioni e acquisizioni, spin-off o riorganizzazioni.
Se parte di un'organizzazione ha già implementato soluzioni di sicurezza che si sono dimostrate efficaci, tende a essere meno dirompente e più efficiente per l'azienda per espandere e migliorare tale soluzione in tutta l'organizzazione. Sarà comunque necessario valutare regolarmente le soluzioni di sicurezza per garantire che rimangano adatte alle esigenze aziendali.
- Implementare un approccio di difesa a più livelli, con le risorse più preziose protette da più livelli.
L'implementazione di più livelli protettivi renderà più difficile la penetrazione di un ambiente per gli aggressori e richiederà loro di bypassare più controlli prima che possano raggiungere il loro obiettivo. Nessuna difesa è infallibile, quindi anche se alcuni dei controlli falliscono, ci sono altri livelli di resistenza in atto per prevenire un attacco o fornire ai difensori il tempo sufficiente per rilevare un attacco.
- Resistere agli oggetti che attirano (non e' tutto oro uel che luccica).
È sempre allettante spendere per nuovi "giocattoli" e richiedere risorse aggiuntive, ma nessuna organizzazione ha risorse illimitate per la sicurezza informatica. Il valore del set di strumenti e delle risorse esistenti dovrebbe essere massimizzato per primo. Le risorse spese per la protezione dovrebbero essere proporzionate al valore delle risorse che stanno proteggendo. I set di strumenti e le risorse di sicurezza dovrebbero anche essere rivisti regolarmente per garantire che continuino a soddisfare i requisiti aziendali e di sicurezza. Questo approccio disciplinato fornirà struttura e visibilità, il che farà di tutto per garantire che sia disponibile la giusta quantità di risorse di sicurezza.
Per il nostro consiglio di amministrazione, purtroppo non esiste una risposta prescrittiva sulla giusta soluzione per proteggere un'organizzazione nel mondo moderno. Lungo la strada, dovranno essere prese decisioni difficili e potrebbero non esserci risposte dirette; tuttavia, i passaggi precedenti dovrebbero facilitare la tranquillita'della nostra suite C.
I progressi su tutti i fronti aiuteranno la capacità di un'organizzazione di riprendersi da un incidente. La resilienza informatica deve essere considerata parte della strategia di sicurezza di un'organizzazione. In caso di violazione, le organizzazioni devono assicurarsi di essere pronte ad affrontare le conseguenze. Recenti incidenti hanno dimostrato che una risposta preparata e ordinata aumenterà la fiducia del mercato e dei regolatori e rafforzerà la fedeltà dei clienti.
