Cybersecurity e aziende, come evitare gli errori comuni? (parte I)

Ci sono degli errori comuni che 9 organizzazioni su 10 commettono quando avviano un progetto di cybersecurity, compromettendo sin da subito l’efficacia sostanziale del sistema. Ecco qualche consiglio.

Quando m’è stato chiesto di chiarire come s’implementa un sistema di cybersecurity, la mente è andata subito alla ISO sulla Sicurezza delle Informazioni (la 27001). Perché se la si segue passo passo, si ha la possibilità di “costruire un bel motore”. Ma c’è poco da aggiungere rispetto a quanto già chiariscono la norma stessa e le altre norme della famiglia 27k. Allora ho pensato potesse essere più costruttivo non analizzare il “cosa fare” ma il “cosa non fare”.

 

Mercati e sistemi miopi

Proprio in questa rubrica s’è di recente affrontato l’argomento sul valore dell’affidabilità dei fornitori. Ed effettivamente il binomio norma internazionale e controllo indipendente da parte di enti accreditati sembra fornire le opportune rassicurazioni. Ma la certificazione è veramente sinonimo di affidabilità? Avete mai provato a domandare ad un’azienda: “ok, sei certificata e quindi sicura, ma quanto?”. Il tentennamento – che sopravviene nella quasi totalità dei casi – dovrebbe far presagire un bug non trascurabile. Non saper quantificare il livello (percentuale, ad esempio) di sicurezza di un perimetro presuppone un approccio alla risk analysis di tipo qualitativo (e quindi sbrigativo) piuttosto che quantitativo (ovvero con cifre economiche alla mano, minuzioso). E se la valutazione del rischio è debole (analisi di impatto inclusa), non credete forse che l’intero sistema sia destinato ad essere miope? Così come i mercati che ne trascurano l’importanza, chiedendo invece come sola prova di affidabilità il solito “bollino blu”. (…)

Per continuare a leggere l’articolo si prega di cliccare qui.

 

Gli articoli che possono Interessarti...