Indice dei contenuti
In questo articolo cercheremo di elencare in modo più o meno dettagliato i compiti principali di cui deve occuparsi l'IT Security Officer. Come certamente noto a molti si tratta di una figura estremamente importante per qualsiasi organizzazione che gestisca la propria attività per mezzo di strumenti IT, in quanto ha il ruolo di definire e attuare le policy relative alla sicurezza informatica.
Tuttavia, nonostante l'enorme quantitativo di articoli informativi pubblicato da tutte le riviste specializzate e la necessità impellente di adeguarsi a quanto previsto dalla legge, sono ancora tantissime le aziende che ignorano (e in alcuni casi "fanno finta di ignorare") l'importanza di dotarsi di una funzione del genere, responsabile - come vedremo - di numerose attività anche molto delicate.
Chi è l'IT Security Officer
Prima di passare all'elenco delle attività in carico all'IT Security Officer, noto anche come Responsabile della Sicurezza Informatica o CISO, è opportuno spendere qualche parola per comprendere a quale profilo professionale corrisponde questa figura. In estrema sintesi, si tratta della funzione responsabile dell'Information Security all'interno dell'organizzazione: in altre parole, si occupa di definire la visione strategica, nonché di implementare i software e definire processi per proteggere gli asset informativi per limitare i rischi legati all'adozione delle tecnologie digitali. Da questa definizione si può immediatamente comprendere come i compiti dell'IT Security Officer possano variare anche molto a seconda del tipo di organizzazione e del settore in cui opera: in ogni caso, comunque, si tratta di una figura a cui è richiesto uno skill set molto versatile, in quanto deve essere in grado di comprendere tutti i principali aspetti tecnici e organizzativi relativi alla sicurezza, oltre alle necessarie competenze manageriali e doti comunicative per poterle applicare con successo.
Non a caso, nonostante si tratti di un ruolo tradizionalmente svolto da tecnici informatici o comunque da persone aventi un background formativo legato al panorama IT, negli ultimi anni si è visto un notevole incremento di profili provenienti da realtà anche molto diverse, come ad esempio gli ingegneri gestionali.
Principali mansioni
Ecco dunque un elenco sommario delle attività in carico all'IT Security Officer. Per ciascuna di esse abbiamo revisto un "titolo" di una o due parole che ha il compito di riassumerne l'ambito, l'argomento ovvero il contesto di base.
- Manuale IT Security. Assicurarsi che l'azienda disponga di un Manuale IT Security aggiornato che documenti il sistema in uso, comprensivo del presente elenco di mansioni periodiche in carico al responsabile e della lista delle policy da mantenere aggiornate.
- Aggiornamento Sistemi Operativi. Assicurarsi che tutti i sistemi operativi presenti sui client e server aziendali (on-premise e in cloud) siano aggiornati alle ultime versioni.
- Aggiornamento Software. Assicurarsi che tutti i software e gli applicativi di terze parti (on-premise e in cloud) siano presenti su tutti i sistemi server e client e aggiornati alle ultime versioni, con particolare riguardo ai software di protezione (Firewall, Antivirus, SAST, DAST, VMDR, etc), logging e monitoring.
- Vulnerability Monitoring. Verificare che i vari strumenti di prevenzione installati sui client e sui server non abbiano rilevato problemi o vulnerabilità legati al mancato aggiornamento, configurazione errata o incompleta, presenza di elementi virali, attacchi effettuati dall'esterno o altre situazioni anomale.
- Vulnerability Prevention. Verificare che gli ultimi bollettini e avvisi di sicurezza pubblicati dai principali vendor (Microsoft, Apple, etc.), dalle newsletter IT Security più autorevoli (OWASP, Qualys, etc.) e dai principali siti web che si occupano di divulgare informazioni in ambito IT Security non contengano notizie di bug, exploit o vulnerabilità che potrebbero impattare l'infrastruttura IT aziendale.
- Autenticazione. Verificare che tutte le procedure di accesso ai sistemi informatici aziendali prevedano l'inserimento di credenziali sufficientemente complesse, con particolare riguardo ai criteri di complessità e scadenza periodica della password secondo quanto previsto dalle ultime normative vigenti; verificare inoltre che tutti i sistemi critici o che consentano l'accesso a informazioni, dati o funzionalità che presentino un rischio elevato prevedano un sistema di autenticazione a due o più fattori (2FA, MFA). Verificare inoltre che tutti gli accessi siano documentati da liste scritte facilmente individuabili, visualizzabili e verificabili, e che tutte le credenziali relative a utenti non più attivi alla data odierna siano state opportunamente decommissionate.
- Autorizzazione. Verificare che tutti gli operatori informatici, sviluppatori e amministratori di sistema possano accedere unicamente alle informazioni necessarie per svolgere la loro attività, secondo il principio di deny by default.
- Encryption. Verificare che tutti i dati personali o riservati presenti all'interno dell'infrastruttura aziendale siano criptati at-rest sui client, sui server, sulle macchine virtuali e all'interno dei database (mediante TDE o tecniche equivalenti), così come previsto dalla Data Encryption policy. Verificare che tutti i dati personali o riservati trasmessi da o verso l'infrastruttura aziendale siano criptati in-transit e che la trasmissione avvenga su un protocollo sicuro (TLS, HTTPS, etc).
- Backup. Assicurarsi che i sistemi di backup periodico aziendale funzionino correttamente e siano documentati all'interno della Backup Policy; verificare che sia stato effettuato almeno un Backup Recovery Test negli ultimi 12 mesi, con relativo report scritto.
- Business Continuity. Assicurarsi che i sistemi hardware e software necessari per la Business Continuity aziendale funzionino correttamente e siano documentati all'interno della Business Continuity Policy; verificare che sia stato effettuato almeno un Business Continuity Test negli ultimi 12 mesi, con relativa produzione di un report scritto che documenti i risultati, e che ogni eventuale problematica risultante dall'ultimo test sia stata opportunamente gestita.
- Disaster Recovery. Assicurarsi che i sistemi hardware e software necessari per il Disaster Recovery aziendale funzionino correttamente e siano documentati all'interno della Disaster Recovery Policy; verificare che sia stato effettuato almeno un Disaster Recovery Test negli ultimi 12 mesi, con relativa produzione di un report scritto che documenti i risultati, e che ogni eventuale problematica risultante dall'ultimo test sia stata opportunamente gestita.
- Penetration Testing. Assicurarsi che tutti i siti, servizi e applicativi aziendali esposti a internet siano stati oggetto di Penetration Test negli ultimi 12 mesi, con relativa produzione di un report scritto che documenti i risultati, e che ogni eventuale problematica risultante dall'ultimo test sia stata opportunamente gestita.
- Logging. Assicurarsi che tutti gli applicativi aziendali connessi all'erogazione dei servizi producano un log delle attività svolte, comprensivo di eventuali errori (Fatal, Error) o anomalie non bloccanti (Warning); assicurarsi che i log vengano controllati e gestiti in modo centralizzato e che il livello di log analysis previsto sia adeguato ai profili di rischio individuati per ciascuna applicazione e sufficiente a individuare accessi o comportamenti anomali.
- IT Security Assessment (interni). Assicurarsi che sia stato effettuato un Risk & Vulnerability Assessment per tutti i progetti aziendali rilevanti, e che tale analisi contenga le opportune valutazioni in ambito IT Security; assicurarsi inoltre che per tutti i progetti per i quali sia emerso un elevato profilo di rischio in sede di analisi sia stato realizzato un Gap & Remediation Plan che documenti le modalità operative per la gestione, mitigazione e minimizzazione dei rischi.
- IT Security Assessment (clienti). Predisporre le risposte, le evidence e la documentazione a corredo agli IT Security Assessment e Vulnerability Assessment richiesti all'organizzazione dai clienti e/o business partner, con particolare riguardo alle rilevazioni periodiche (Audit) ovvero ad eventuali attività di investigazione on-site (Due Diligence).
- IT Security Assessment (fornitori). Predisporre le domande e raccogliere le evidence e la documentazione a corredo per gli IT Security Assessment e Vulnerability Assessment che l'organizzazione è tenuta a richiedere periodicamente ai suoi fornitori e/o business partner, eventualmente organizzando un calendario di rilevazioni periodiche (Audit) ovvero attività on-site (Due Diligence).
- Issue Tracking. Verificare che tutte le eventuali anomalie IT Security e Data Security siano state opportunamente risolte o gestite dal personale di competenza.
- Documentazione. Assicurarsi che tutta la documentazione IT Security aziendale (policy, informative ai dipendenti, etc.) sia stata aggiornata negli ultimi 12 mesi.
- Training. Assicurarsi che tutti i dipendenti e collaboratori aziendali abbiano effettuato almeno un corso di aggiornamento IT Security negli ultimi 12 mesi e che abbiano compilato la relativa scheda di valutazione; assicurarsi che per il corso sia presente il verbale scritto delle presenze e degli argomenti trattati; assicurarsi che sia in programma un ulteriore corso di aggiornamento, da svolgersi entro i successivi 12 mesi.
Idealmente, tutte le attività di cui sopra andrebbero inoltre registrate in un apposito Time Tracker azienzale (o strumento equivalente) in modo da dare all'IT Security Officer, nonché all'azienda, la possibilità di dimostrare che il tutto venga gestito in modo periodico e continuativo.
Perché è importante
Come si può vedere si tratta di un mansionario estremamente complesso, che di certo non può essere svolto da un amministratore né tantomeno "delegato" a una funzione che svolga già altre attività. Anche l'ipotesi di affidare questo tipo di incarichi a un consulente esterno o a una società di fornitura, soluzione molto in voga presso alcune realtà aziendali di piccole e medie dimensioni (PMI), risulta alla pratica dei fatti difficile da attuare all'atto pratico, visto che si tratta di attività che richiedono non soltanto un know-how tecnico e informatico molto forte, ma una conoscenza approfondita dell'azienda e di tutti gli strumenti IT utilizzati dalle sue principali funzioni per lo svolgimento delle attività ordinarie: dalla business unit alla logistica, dall'amministrazione ai servizi generali, dalle operations al delivery, dall'ufficio del personale all'ufficio legale, per non parlare delle eventuali soluzioni hardware e software adottate con dipendenti, clienti e fornitori: system integration, remote working, file sharing, messaging & communication, e così via. Il tutto, inutile dirlo, sia on-premise che in ambiente cloud.
Alla luce di tutti questi fattori, la soluzione preferibile per la maggior parte delle aziende è quella di dotarsi di uno staff IT Security interno, composto da un IT Security Officer (tipicamente un funzionario) che si occupa del coordinamento delle attività e un numero di IT Security Specialist (dipendenti o consulenti) commisurato alle dimensioni dell'organizzazione e al quantitativo di strumenti e soluzioni hardware e software presenti ovvero adottate. Questo approccio ovviamente non esclude la possibilità che, in realtà molto piccole e dove il numero di dispositivi hardware utilizzati è molto basso, l'intero ufficio possa essere condotto da una singola persona... Ma si tratta di situazioni altamente residuali, considerando i numerosissimi obblighi di legge previsti dalle normative sulla sicurezza e protezione dei dati, nonché i rischi tipicamente connessi a una errata o non corretta gestione dell'infrastruttura IT e del sistema informatico aziendale (trojan, ransomware, virus, worm, social engineering e così via), ovvero all'esfiltrazione di dati riservati. Inutile dire che, per realtà molto grandi, può essere vero anche il contrario: una molteplicità di IT Security Officer, magari relativi a ciascuno degli stabilimenti produttivi o sedi aziendali, coordinati da un Chief IT Security Officer (CISO) avente funzioni strategiche e dirigenziali.
Conclusioni
Per il momento è tutto: ci auguriamo che questo elenco possa essere d'aiuto non soltanto agli IT Security Officer alle prime armi, ma anche e soprattutto agli amministratori delegati e ai dirigenti delle aziende che non si sono ancora dotate di questa figura fondamentale per comprendere l'importanza di compiere questo passo prima che sia troppo tardi.