Un responsabile della sicurezza informatica controlla e implementa misure tecniche. Anche la sensibilizzazione dei dipendenti è uno dei suoi compiti. Alleggerisce il livello di gestione e contribuisce alla sicurezza informatica e alla realizzazione degli obiettivi aziendali.
Al contrario di un responsabile della protezione dei dati, la nomina di un responsabile della sicurezza delle informazioni (ISB) non è generalmente prescritta dalla legge. Tuttavia, le parti interessate possono frequentare corsi di formazione basati su linee guida di sicurezza IT, come lo standard ISO 27001 o il BSI IT-Grundschutz. Tali certificazioni sono il prerequisito per essere considerato un ISB.
Perché avete bisogno di un responsabile della sicurezza delle informazioni?
Secondo la casa di sistemi Netzlink di Braunschweig, sempre più aziende scelgono di arruolare l'aiuto di un responsabile interno o esterno. Questo perché, soprattutto nelle grandi organizzazioni, la quantità di informazioni e di processi aziendali è di solito ingestibile. La direzione ha la responsabilità generale della governance IT. Soddisfare questa responsabilità in termini di contenuto e anche in termini di gestione del rischio operativo non richiede solo molto tempo da parte della direzione, ma soprattutto una certa competenza. Devono identificare i rischi, valutarli e derivare misure di sicurezza adeguate. Tuttavia, molti manager sono sopraffatti da questo. Il compito di un ISB è quello di consigliare la direzione sulla pianificazione, la gestione e il controllo della gestione efficace della sicurezza delle informazioni.
"Spesso la posizione di responsabile della sicurezza delle informazioni non è occupata affatto o viene assunta temporaneamente dai manager IT. Tuttavia, la mancanza di indipendenza dai capi dipartimento, i colli di bottiglia delle risorse e a volte anche una mancanza di formazione continua in questioni di sicurezza delle informazioni, non sempre rendono questa costellazione la scelta migliore per un organo di consulenza e controllo così importante", sa Sven-Ove Wähling, amministratore delegato di Netzlink. "Un responsabile della sicurezza delle informazioni esterno colma esattamente questa lacuna, che sta diventando sempre più grande nel corso dell'avanzata della digitalizzazione e delle sfide attuali nell'home office."
Compiti di un responsabile della sicurezza delle informazioni
Per la maggior parte delle piccole e medie imprese, la certificazione e la formazione regolare di un ISB interno non è conveniente. Tuttavia, nominare un ISB esternamente è una decisione sensata per molte aziende, e non solo per ragioni di costo: Come consulenti esperti di progetti, possono spesso valutare meglio quale concetto è più adatto allo scopo specifico del business e alla rispettiva organizzazione del processo.
Lo spettro che un ISB deve soddisfare è molto ampio e viene determinato individualmente con la direzione nel rispettivo caso di applicazione. Un ISB tipicamente assume i seguenti compiti:
- Valutazione effettiva: quali sono le informazioni critiche per la sicurezza? Come è assicurato? Dove sono i punti deboli? Le misure adottate finora hanno avuto successo? E quali misure future dovrebbero essere attuate e con quale priorità?
- L'ISB riferisce direttamente alla direzione e documenta le carenze di sicurezza, i rischi e gli incidenti rilevanti per la sicurezza.
- Scrive i concetti di sicurezza e ne verifica la fattibilità
- L'IPM allinea gli obiettivi della sicurezza delle informazioni con quelli dell'azienda e crea una linea guida per la sicurezza delle informazioni in coordinamento con i rispettivi capi dipartimento.
- Assicura anche la necessaria istruzione e sensibilizzazione dei dipendenti e degli utenti al fine di implementare e applicare le linee guida di sicurezza nell'attività quotidiana, per esempio sotto forma di formazione di consapevolezza.
Elevati requisiti nel settore sanitario e nelle autorità pubbliche
Il team di sicurezza di Netzlink ha anche esperienza e consulenti formati per le infrastrutture critiche come l'ambiente sanitario e ospedaliero. In questo settore, le strutture mediche e cliniche sono spesso soggette al regolamento BSI KRITIS, che fa parte della legge sulla sicurezza informatica. Qui devono essere seguite linee guida speciali, per esempio per quanto riguarda la sicurezza dei sistemi informatici e il rispetto degli obblighi di informazione e di segnalazione. Gli ospedali devono fornire la prova di audit regolari. La sfida particolare come ISB in questo caso è quella di rispettare le normative CRITIS da un lato e la protezione dei dati sanitari sensibili, secondo l'articolo 9 del GDPR, dall'altro.
Più che misure tecniche
Le aziende che hanno attrezzature tecniche obsolete e sistemi evoluti che sono strettamente intrecciati con l'informatica aziendale generale rappresentano una sfida particolare per l'ISB. "I sistemi legacy che servono come fornitori di dati per i sistemi a valle spesso pongono potenziali rischi per la sicurezza dell'intera rete informativa. Tuttavia, questi non possono essere facilmente sostituiti o smantellati", spiega Wähling. "In questo caso, i responsabili della sicurezza delle informazioni devono esaminare attentamente questi sistemi in dettaglio e, insieme al dipartimento IT e al management, considerare come i sistemi e i flussi di informazioni possono essere messi in sicurezza per conciliare al meglio gli obiettivi di sicurezza delle informazioni e i singoli obiettivi aziendali."
Un altro rischio che Netzlink 2020 ha identificato durante i test di penetrazione è la casella di posta elettronica come un gateway per il malware. Anche se i rischi possono essere limitati in una certa misura attraverso misure tecniche organizzative, gli utenti sono anche particolarmente tenuti ad implementarli nella loro attività quotidiana. Netzlink offre regolarmente corsi di formazione per questo scopo tramite formazione faccia a faccia o online. L'ISB non è quindi solo un organo di consulenza indipendente per la direzione che identifica i punti deboli dell'IT e le possibili soluzioni per la minimizzazione sostenibile dei rischi aziendali. È anche un'importante interfaccia con l'IT e gli utenti IT", riassume Wähling. "Colmare questo divario spesso grande tra i due con l'aiuto di un ISB è un compito importante di un management lungimirante, soprattutto in vista delle crescenti esigenze della digitalizzazione.