Il commento

AssetProtection. Sicurezza aziendale, attenzione ai progetti ‘fai da te’

di Anthony Cecil Wright, presidente Anssaif (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria) |

Quali sono gli errori da non fare per sviluppare progetti per un Sistema Gestionale per la Sicurezza delle Informazioni (SGSI)? Ecco un caso aziendale.

La rubrica AssetProtection, ovvero Riflessioni su sicurezza e terrorismo, a cura di Anthony Cecil Wright, presidente Anssaif (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria). Per consultare gli articoli precedenti clicca qui.

Un’azienda di servizi ha avviato due anni fa un progetto per sviluppare il Sistema Gestionale per la Sicurezza delle Informazioni (SGSI), in linea con quanto previsto dalla regolamentazione e dallo standard ISO/IEC 27001:2013.

Il team di progetto ha seguito tutte le indicazioni dello standard: dall’impegno del Vertice aziendale, alla nomina del manager del SGSI, dalla creazione dei dovuti comitati, al risk assessment, all’applicazione di addizionali controlli, alla redazione dei registri e manuali previsti.

Poche settimane fa, la società di revisione contabile ha segnalato al management notevoli carenze nella protezione delle informazioni e dei dati personali. E’ facile immaginare che cosa sia avvenuto in quella azienda!

Mi sono fatto raccontare quanto accaduto.

Il responsabile SGSI, in accordo con il responsabile IT e i “risk owners”, avevano introdotto policy, standard e procedure atte a limitare al massimo la possibilità di perdita di riservatezza, integrità e disponibilità dei dati. In particolare, sostenuti dal top management, avevano:

  1. Condotto il risk assessment (RA), stimato il rischio residuo, portato al Board i piani di trattamento dei rischi ipotizzati;
  2. Diffusa la crittografia su tutti i dispositivi che trattavano dati personali e informazioni riservate (servers, laptops, smartphones, chiavette USB, ecc.);
  3. Avviato corsi in aula di sensibilizzazione alla cyber security e diffuso a tutti dei corsi autodidattici.
  4. Inviate email fittizie di phishing.

Cosa è avvenuto? Ecco in estrema sintesi:

  1. Il secondo anno il SGSI manager non ha avuto il sostegno dei colleghi per ricondurre il RA, né ha ricevuto indicazioni dai responsabili dei processi di business, se non che stava per avvenire a breve una non meglio specificata modifica organizzativa importante (successivamente avvenuta, ma le procedure non sono state aggiornate, in attesa di condurre il risk assessment).
  2. Il primo a protestare per la crittografia (perché “ora non si può più lavorare!”) è stato un dirigente dell’area commerciale che ha denunciato la perdita di una importante comunicazione. A lui si sono aggiunti altri colleghi dirigenti e sono iniziate le “eccezioni”. Poi, come “ciliegina”, tutte le segreterie hanno lamentato rallentamenti insostenibili e il personale la impossibilità di scambiare le chiavi USB con altri esterni all’azienda (sic!). Ciò ha costretto a cambiare il parco macchine ed a concedere ad alcuni di poter scambiare le chiavi USB “in chiaro”.
  3. I corsi sono stati inizialmente seguiti dal 30% del personale e da nessuno dei dirigenti e process owners. Il secondo anno solo un 10% ha acceduto a tutti i corsi programmati. La scusa: “o i miei collaboratori lavorano o io non raggiungo gli obiettivi assegnatimi”, è stata la frase tipica dei responsabili operativi.
  4. Al primo invio di una email di phishing sono caduti in trappola quasi tutti (88%). Al secondo invio solo il 78%, inclusi tre dirigenti (che si sono offesi a morte!). A breve avverrà un altro invio.

Conclusione? Gli errori sono stati tanti, ma ritengo che il principale errore sia consistito nel sottovalutare l’impatto organizzativo. Nessuno, inclusi i consulenti, aveva avuto precedenti significative esperienze in aziende complesse e in cambiamenti organizzativi di questa portata.

Si trattava di tanti bravi giovani, ingegneri informatici o gestionali, e molti di loro certificati Lead Auditor 27001: tanta teoria, tanta buona volontà, tanto entusiasmo, ma tanta ingenuità e nessuna utile pregressa esperienza.

Per fortuna i revisori hanno evidenziato i problemi adesso e non troppo tardi.

Ora l’azienda ha a disposizione meno di un anno per mettersi in regola e deve pianificare un nuovo progetto; nel frattempo, deve apportare subito dei controlli compensativi.

Anthony.wright@anssaif.it