La gestione del rischio è sempre stata un processo importante per le aziende. Nell’era digitale, questo sforzo continuo assume un’importanza ancora maggiore. Oggi le organizzazioni non possono gestire efficacemente il rischio senza valutare periodicamente le loro politiche di sicurezza informatica e i relativi programmi di applicazione. Quelle che non vogliono o non sono in grado di esaminare il modo in cui gestiscono le loro politiche di sicurezza non possono identificare quando qualcosa funziona. Peggio ancora, non riescono a riconoscere quando il loro programma è bloccato o quando ignora le opportunità di riduzione del rischio.

Ecco cinque errori comuni che le aziende commettono quando si tratta del loro programma di gestione dei criteri di sicurezza.

  1. Pensare alla rete e non alle applicazioni aziendali

Le organizzazioni a volte non vedono la foresta attraverso gli alberi. Creano un criterio che giustifica la configurazione della rete, come le porte o i tunnel VPN da utilizzare. Ma non pensano al motivo per cui l’accesso alla rete è necessario e a quale applicazione aziendale supporta la regola o il criterio. La stessa cosa accade anche al contrario. Di solito le aziende non rimuovono l’accesso alla rete da un’applicazione dismessa e non rivedono uno dei loro criteri perché temono che ciò possa influire negativamente sulla funzionalità di un asset. Realisticamente, dovrebbero preoccuparsi di più di come un malintenzionato potrebbe sfruttare l’accesso aperto per attaccare i loro sistemi.

  1. Mancanza di una comunicazione efficace tra i diversi team

La gestione delle politiche di sicurezza di un’organizzazione richiede un grande lavoro di squadra. C’è chi crea e applica i criteri, chi si assicura che questi garantiscano una funzionalità ottimale del sistema e chi lega i criteri alle applicazioni aziendali. Questi gruppi di persone non interagiscono sempre tra loro. Ma il loro lavoro è fondamentalmente collaborativo e interdipendente. Senza una comprensione delle applicazioni aziendali da supportare, il personale non può creare politiche di sicurezza efficaci. Inoltre, i team devono avere familiarità con tali politiche per capire come possano o meno influire sulla rete dell’organizzazione.

  1. Consenti modifiche non documentate al volo

Una parte essenziale della gestione dei criteri di sicurezza è la documentazione di ogni criterio. Se le organizzazioni non incoraggiano la documentazione, corrono il rischio che il personale crei delle policy per le quali non c’è alcuna spiegazione quando un revisore si presenta. C’è anche la possibilità che i dipendenti creino più policy che coprono lo stesso rischio di sicurezza, creando un inutile disordine. La documentazione è importante in quanto registra una policy e ne standardizza l’applicazione tra tutti i compagni di squadra. Di conseguenza, le organizzazioni non dovrebbero incoraggiare la documentazione, ma anche associarla a un processo formale per la creazione di nuove policy. In questo modo si eviterà che i dipendenti creino impulsivamente politiche di sicurezza che potrebbero meritare una riflessione e una revisione.

  1. Non tenere conto dell’errore umano

Siamo tutti umani. Questo significa che a volte commettiamo degli errori. Nimrod Reichenberg, responsabile della strategia globale di AlgoSec, spiega in un articolo  ha pubblicato su Dark Reading uno di questi scenari che ha incontrato sul lavoro:

“Un amministratore di un’azienda con cui abbiamo lavorato ha digitato per sbaglio la porta 433 invece della porta 443 durante la modifica di una regola del firewall. Diciamo che non è stata una bella giornata per lui”.

Gli errori di inserimento non fanno solo perdere tempo. Creano confusione che potrebbe indebolire la sicurezza di un’azienda. Le organizzazioni devono quindi tenere conto degli errori umani nel loro programma di gestione dei criteri di sicurezza. Uno dei modi per farlo è utilizzare uno strumento aggiuntivo o uno script in grado di individuare errori di battitura e di altro tipo.

  1. Non considerare il rischio intrinseco

Le politiche di sicurezza mal concepite non sono nell’interesse dell’azienda. A volte aggiungono rischi, violano i requisiti di conformità o sono in conflitto con altre parti della strategia IT di un’organizzazione. Visti i potenziali rischi creati dalle policy di sicurezza, le aziende dovrebbero riflettere meglio su come progettare i loro programmi di gestione delle policy di sicurezza. In particolare, dovrebbero capire quali rischi potrebbero verificarsi se creassero un nuovo criterio di sicurezza.

Per mitigare ulteriormente il rischio incorporato, le aziende dovrebbero prendere in considerazione l’automazione. IT Business Edge è un convinto sostenitore di questa decisione:

“L’automazione snellirà i tuoi processi, ti consentirà di modificare rapidamente i progetti, di identificare le regole che possono essere riutilizzate, di distribuire senza problemi le policy, di condurre rapidamente l’analisi dei rischi e l’auditing, di creare istantaneamente la documentazione e di convalidare e riconciliare, il tutto in tempo reale. Ci saranno sempre delle attività che richiederanno l’intervento umano, ma avrai un sistema più sicuro se manterrai il personale del tuo team concentrato sulle attività che richiedono analisi e indagini, piuttosto che su compiti banali che possono essere automatizzati”.

Conclusione

La gestione delle politiche di sicurezza è un aspetto importante della gestione del rischio. Ma non è naturale per tutte le aziende. Ecco perché  Metacompliance ha creato una linea di prodotti per la gestione delle policy che aiutano le aziende a progettare le policy di sicurezza e a garantire la consapevolezza del personale.

Per saperne di più su come le soluzioni di Metacompliance possono aiutare la tua azienda, clicca qui.