Nel tempo, la bilancia sui cui piatti sono posti la centralizzazione e la decentralizzazione delle mansioni operative ha oscillato spesso da una parte e dall'altra.
A metà degli anni '90, nel caso delle operation di sicurezza a prevalere è stata la decentralizzazione. La gestione dei firewall si era trasformata in un lavoro specializzato e complicato. Per non parlare poi dei 15-20 altri tipi di prodotti che sono entrati a far parte dell'ecosistema di sicurezza. In quel periodo, non c'era praticamente modo di ottenere economie di scala centralizzando l'amministrazione e aumentando l'efficienza e la riduzione dei costi era l'unico motivo che poteva indurre a centralizzare qualunque cosa.
Verso la centralizzazione
Così quello a cui abbiamo assistito in questi ultimi 10 anni è stata la
centralizzazione graduale delle funzioni di sicurezza, guidata in gran parte
dalla necessità di essere responsabili secondo l'aspetto auditing/compliance.
Era diventato troppo difficile fare rispettare le policy aziendali e
centralizzare il reporting con attività sempre più di frequente, e sempre in
maggior numero, dislocate in varie zone del mondo. Questa è stata un'altra
ragione per cui la bilancia ha iniziato a pendere verso un team centralizzato di
sicurezza.
Ma ancora una volta il panorama è andato gradatamente cambiando; un certo numero di organizzazioni stanno facendo entrare le operation di sicurezza in altri gruppi operativi, come quelli che si occupano del networking, del data center o delle applicazioni. Noi però non riusciamo ancora a capire se questa necessità dell'industria sia positiva o negativa. Per verificarlo cerchiamo di esaminare assieme i pregi e difetti.
Pregi
• La sicurezza è intrinseca in tutte le operazioni, ma
non per questo riteniamo che chiunque debba sostenere che la sicurezza è un
aspetto da considerare allo stesso modo a ogni livello della tecnologia. Se gli
esperti di sicurezza sono isolati, i concetti inerenti la security tendono a
essere “un di più” o qualcosa che chi si occupa della rete ha soltanto bisogno
di “tollerare” Se tutto è all'interno dello stesso team, viene facilitata la
collaborazione e si è certi che gli obiettivi sono allineati.
• Il consolidamento dei fornitori sta guidando il processo. Dal lato tecnico, è chiaramente in atto una tendenza che porta i maggiori fornitori di tecnologia ad aggiungere funzioni di sicurezza alle loro offerte. Cisco Systems, IBM, Oracle, Microsoft e via dicendo stanno tutti integrando la sicurezza nelle loro serie di prodotti attuali. Cisco, per esempio, considera la sicurezza una parte chiave della sua strategia di tecnologia avanzata e IBM ha acquisito ISS per offrire più conoscenza e un maggior numero di prodotti di sicurezza. Tutto ciò significa che ci sarà un preciso supporto nella gestione della sicurezza di rete all'interno del team che si occupa del network, poiché col tempo i toolset convergeranno.
• Il consolidamento permette la separazione dei compiti e il controllo dei programmi. In molte organizzazioni, i top security officer riportano a una persona non-tecnologica (CFO, CEO, eccetera). Ciò assicura che la funzione di sicurezza sia completamente obiettiva e indipendente.
Difetti
• La capacità di influenzare le persone può essere una
sfida. Se delle mansioni di sicurezza si fa carico il team che si occupa delle
operation tecnologiche, il lavoro del CSO (Chief security officer) si trasforma
in un'attività completamente di influenza, poiché questa persona controlla
risorse minime. E' un lavoro differente, che richiede tattiche diverse per
gestire attraverso l'influenza sugli altri piuttosto che tramite la costruzione
di un impero.
• Il reporting può essere più difficile. Se la rete, il data center e la sicurezza dell'applicazione sono altrove, è più difficile riunire tutti i dati e ottenere una visione consistente e integrata di cosa sta accendendo in tutta l'organizzazione.
• Rispondere a un incidente è più complicato. La risposta a determinati avvenimenti può anche essere problematica nel momento in cui gli esperti di sicurezza sono sparsi per tutta l'organizzazione: quando si deve far fronte a un problema, la velocità e la risolutezza nelle decisioni sono critiche. In questo senso, il CSO deve avere un programma di contenimento ben definito e facilmente praticabile, per assicurare che l'organizzazione possa schierare le risorse necessarie al fine di fronteggiare un problema nel caso si rivelasse necessario.
In ogni caso un aftto è da sottolineare: indipendentemente da dove le operation di sicurezza risiedono e a chi devono riportare, devono essere separate dal programma di security management. La strategia generale di sicurezza di un'azienda e il programma ad essa collegato devono essere controllati da un chief security officer. Non è importante se il CSO riporta al CIO o altrove, gli investimenti per la sicurezza dovrebbero essere di pertinenza solo del CSO. Il motivo è presto detto: ci deve essere un'unica persona responsabile per l'implementazione e il successo del programma di sicurezza. Quella persona non deve avere preconcetti o pregiudizi in relazione ai singoli campi di specializzazione. Un professionista imparziale può pensare in termini più ampi piuttosto che qualcuno focalizzato soltanto sul funzionamento della rete, delle applicazioni o del data center.
Qual è la scelta giusta per voi?
La decisione deve essere basata su quale ritenete
sia la cosa migliore per la vostra organizzazione e su che cosa funzionerà
meglio in virtù della vostra cultura aziendale. In alcune organizzazioni, c'è un forte
accentramento decisionale e senza le persone, un CSO è una figura priva di significato. In altre aziende, la
collaborazione e il lavoro di squadra sono un fattore molto importante: in
questo caso la cosa migliore che potrebbe succedere a un CSO sarebbe che degli
esperti di sicurezza entrassero a far parte dei team operativi.
Indipendentemente dalla direzione che avete intrapreso oggi, probabilmente domani tornerete sui vostri passi. Questo sembra essere l'ordine naturale delle cose nel business della sicurezza. In questo campo c'è la necessità costante di ottenere il meglio e poiché i processi interni di business giocano una parte importante in tutto il cambiamento, i gruppi e i ruoli si sposteranno periodicamente.
