Le lacune nella titolarità del rischio di sicurezza informatica
L'aumento dei casi di attacchi informatici alle aziende attraverso i loro fornitori ha evidenziato la necessità di un'adeguata titolarità e responsabilità dei rischi di sicurezza informatica. Molte organizzazioni affrontano un divario di responsabilità tra il ruolo di IT Security Manager (ITSM) e i dirigenti di livello C, che può comportare una mancanza di consapevolezza e azione nei confronti dei rischi di sicurezza informatica. Questo divario di proprietà può lasciare le aziende vulnerabili alle violazioni della sicurezza delle informazioni, sia internamente che attraverso terze parti che possono danneggiare la reputazione dell'organizzazione e, in ultima analisi, influire sul prezzo delle azioni. Responsabilità
Al vertice della catena di responsabilità, il consiglio di amministrazione ha la responsabilità ultima di garantire che una violazione della sicurezza delle informazioni non abbia un impatto negativo sul prezzo delle azioni della società. A sua volta, il CEO è operativamente responsabile dei rischi di sicurezza informatica nell'organizzazione.
Responsabilità
Altri dirigenti di livello C sono responsabili dei rischi di sicurezza informatica nelle rispettive aree ed è fondamentale comprendere la loro esposizione al rischio.
Laddove ce n'è uno, il Chief Information Security Officer (CISO) è responsabile della comunicazione dei rischi per la sicurezza delle informazioni agli altri dirigenti di livello C e al consiglio di amministrazione. Il CIO è responsabile dei rischi per la sicurezza delle informazioni relativi ai sistemi ICT, mentre gli ITSM sono responsabili della gestione dei rischi per la sicurezza delle informazioni dei sistemi ICT.
Le prime lacune
Se non viene svolto alcun ruolo CISO, la responsabilità di fornire la sicurezza delle informazioni è predefinita al CEO. Se il CIO è responsabile della segnalazione del rischio contenuto nelle TIC, vi è una potenziale mancanza di competenze e conflitto di interessi. Le aree esterne all'ICT hanno spesso il controllo sulle informazioni sui sistemi interni ed esterni che gestiscono autonomamente senza avere le competenze per segnalare il rischio che queste informazioni stanno portando all'azienda.
È importante notare che la sicurezza delle informazioni non è limitata ai sistemi ICT aziendali. Comprende tutte le aree dei dati aziendali, ad esempio le informazioni controllate da Finance, Legal, Sales e HR e i fornitori che utilizzano. Spesso queste terze parti non sono nel mirino dei CIO o degli ITSM e non sono in grado di influenzare la sicurezza informatica applicata a loro.
Il secondo divario
Terze parti e fornitori sono spesso responsabili di alcuni dei controlli di sicurezza delle informazioni applicati ai dati aziendali, condivisi con loro come la sicurezza fisica, l'hardware, gli ambienti virtuali, i sistemi operativi, alcune applicazioni di sicurezza e parte dei controlli di accesso. L'azienda è responsabile di garantire che queste responsabilità vengano consegnate.
Tuttavia, l'azienda che utilizza il servizio è ancora responsabile di aspetti quali la configurazione delle applicazioni, i controlli di accesso, la gestione degli accessi, la risposta agli incidenti di sicurezza informatica, il monitoraggio degli eventi di sicurezza, la consapevolezza della sicurezza informatica degli utenti e i controlli dei precedenti dei dipendenti. È anche fondamentale ricordare che le aziende non possono esternalizzare la loro responsabilità, avere assicurazioni e contratti non è sufficiente.
Proprietà
Il divario di responsabilità nella responsabilità per i rischi di sicurezza informatica è una questione significativa che deve essere affrontata dalle aziende. Gli ITSM non sono responsabili della sicurezza delle informazioni per l'intera azienda e i dirigenti di livello C potrebbero non essere consapevoli del fatto che questa responsabilità ricade sulle loro spalle. In definitiva, lo scaricabarile si ferma alla porta del CEO e del consiglio di amministrazione, ed è fondamentale colmare questa lacuna per garantire una corretta titolarità e responsabilità dei rischi di sicurezza informatica. In questo modo, le aziende possono adottare le misure necessarie per proteggersi dalle violazioni della sicurezza delle informazioni e salvaguardare la propria reputazione e il prezzo delle azioni.
Affrontare le due lacune in tre fasi.
Fase 1: Assegnare formalmente le responsabilità del ruolo di CISO a singoli individui o singoli individui con linee di segnalazione diretta dei rischi al CEO. Ciò include la gestione di un programma di miglioramento continuo della sicurezza e la creazione di report sui rischi per la sicurezza delle informazioni in tutta l'organizzazione.
Passaggio 2: assicurarsi che la politica di sicurezza sia completa, approvata dal CEO e applicata in tutta l'organizzazione. Educare i dipendenti della sua esistenza e delle loro responsabilità come parte del programma di sensibilizzazione alla sicurezza.
Passaggio 3: assicurarsi che tutti gli aspetti della gestione della sicurezza informatica vengano eseguiti in modo appropriato laddove siano coinvolte terze parti, ad esempio la gestione degli accessi agli account Facebook. Gestisci i tuoi fornitori/terze parti ed esegui la due diligence sulla sicurezza informatica su tutti i tuoi fornitori con cui condividi le informazioni. Assicurati di essere pienamente al corrente di tutti i rischi che possono comportare, di essere consapevole dei rischi di terze parti e dei cambiamenti nel profilo di rischio. Aiuta i fornitori a migliorare la loro sicurezza informatica.
Trudexia
Con Trudexia, puoi gestire facilmente tutti i tuoi fornitori ed eseguire un'approfondita due diligence sulla sicurezza informatica su tutti i tuoi partner di condivisione delle informazioni. Abbandona gli approcci ad hoc e frammentari e adotta la valutazione continua di tutti i tuoi fornitori per migliorare le loro prestazioni di sicurezza informatica. Trudexia ti consente di personalizzare il tuo approccio per garantire che tutti i rischi siano gestiti in modo efficace. Migliora la sicurezza dei fornitori con piani d'azione automatici e valuta, monitora e riferisci continuamente sulle loro prestazioni.