La gestione del rischio è sempre stato un processo importante per le imprese. Nell'era digitale, questo sforzo continuo assume ancora più importanza. Le organizzazioni oggi non possono gestire efficacemente il rischio senza valutare periodicamente le loro politiche di sicurezza IT e i loro corrispondenti programmi di applicazione. Quelli che non sono disposti o capaci di esaminare come gestiscono le loro politiche di sicurezza non possono identificare quando qualcosa sta funzionando. Peggio, non possono riconoscere quando il loro programma è bloccato in un solco o quando sta ignorando le opportunità che riducono il rischio.
Ecco cinque errori comuni che le organizzazioni fanno quando si tratta del loro programma di gestione delle politiche di sicurezza.
-
Pensare alla rete e non alle applicazioni aziendali
Le organizzazioni a volte non vedono la foresta attraverso gli alberi. Creano una politica che giustifica la loro configurazione di rete, come le porte o i tunnel VPN da usare. Ma non pensano al motivo per cui l'accesso alla rete è necessario in primo luogo e quale applicazione aziendale la regola o la politica sta supportando. È la stessa cosa anche nell'altro senso. Le aziende comunemente non rimuovono l'accesso alla rete da un'applicazione dismessa e rivedono una delle loro politiche perché temono che possa influenzare negativamente la funzionalità di una risorsa. Realisticamente, dovrebbero essere più preoccupate di come un attaccante potrebbe sfruttare l'accesso aperto per attaccare i loro sistemi.
- Mancanza di comunicazione efficace tra diversi team
Ci vuole molto lavoro di squadra per un'organizzazione per gestire le sue politiche di sicurezza. Ci sono quelli che creano e applicano le politiche, quelli che si assicurano che tali politiche assicurino la funzionalità ottimale del sistema e quelli che legano le politiche alle applicazioni aziendali. Questi gruppi di individui non sempre interagiscono tra loro. Ma i loro lavori sono fondamentalmente collaborativi e interdipendenti. Senza una comprensione di quali applicazioni aziendali hanno bisogno di supporto, il personale non può creare politiche di sicurezza efficaci. I team devono anche avere familiarità con queste politiche per capire come potrebbero o non potrebbero influenzare la rete dell'organizzazione.
- Permettere modifiche non documentate al volo
Una parte essenziale della gestione delle politiche di sicurezza è la documentazione di ogni politica. Se le organizzazioni non incoraggiano la documentazione, corrono il rischio che il personale crei politiche per le quali non c'è spiegazione quando un revisore viene a chiamare. C'è anche la possibilità che i dipendenti possano creare più politiche che coprono lo stesso rischio di sicurezza, portando a un inutile disordine. La documentazione è importante in quanto registra una politica e standardizza la sua applicazione in tutti i compagni di squadra. Di conseguenza, le organizzazioni non dovrebbero incoraggiare la documentazione, ma anche abbinarla a un processo formale per la creazione di nuove politiche. In questo modo si eviterà che i dipendenti creino impulsivamente politiche di sicurezza che potrebbero meritare una deliberazione e una revisione.
- Non tenere conto dell'errore umano
Siamo tutti umani. Questo significa che a volte facciamo degli errori. Nimrod Reichenberg, capo della strategia globale per AlgoSec, spiega in un articolo pubblicato su Dark Reading uno di questi scenari che ha incontrato sul lavoro:
"Un amministratore di un'azienda con cui abbiamo lavorato ha accidentalmente digitato la porta 433 invece della porta 443 quando ha fatto un cambio di regole del firewall. Diciamo solo che non è stata una buona giornata per lui".
Gli errori di inserimento non fanno solo perdere tempo. Creano confusione che potrebbe potenzialmente indebolire la sicurezza di un'azienda. Le organizzazioni hanno quindi bisogno di tenere conto dell'errore umano nel loro programma di gestione delle politiche di sicurezza. Uno dei modi in cui possono farlo è utilizzando uno strumento aggiuntivo o uno script che è in grado di catturare gli errori di battitura e altri errori.
- Non considerare il rischio intrinseco
Le politiche di sicurezza mal progettate non funzionano nell'interesse dell'azienda. A volte aggiungono rischi, violano i requisiti di conformità o entrano in conflitto con altre parti della strategia IT di un'organizzazione. Dati i rischi potenziali creati dalle politiche di sicurezza, le aziende dovrebbero pensare di più a come progettare i loro programmi di gestione delle politiche di sicurezza. In particolare, dovrebbero capire quali rischi potrebbero verificarsi se creano una nuova politica di sicurezza.
Per mitigare ulteriormente il rischio incorporato, le organizzazioni dovrebbero considerare l'automazione. IT Business Edge è un fermo sostenitore di questa decisione:
"L'automazione snellirà i vostri processi, vi permetterà di cambiare rapidamente i progetti, identificare le regole che possono essere riutilizzate, spingere senza soluzione di continuità le politiche, condurre rapidamente l'analisi dei rischi e l'auditing, creare istantaneamente la documentazione e convalidare e riconciliare, tutto in tempo reale. Ci saranno sempre alcuni compiti che richiedono l'intervento umano, ma avrete un sistema più sicuro se terrete le persone del vostro team concentrate sui lavori che necessitano di analisi e indagini, piuttosto che su compiti banali che possono essere automatizzati".
Conclusione
La gestione delle politiche di sicurezza è un aspetto importante della gestione dei rischi. Ma non è naturale per tutte le aziende. Ecco perché Metacompliance ha ideato una linea di prodotti per la gestione delle politiche che aiutano le aziende a progettare le politiche di sicurezza e a garantire la consapevolezza del personale.
Per saperne di più su come le soluzioni di Metacompliance possono aiutare la tua azienda, clicca qui.