Sicurezza e compliance sono due concetti che spesso vanno di pari passo, ma contrariamente a quello che comunemente si pensa, non sono intercambiabili. È essenziale che i team interni al di fuori dei team di sicurezza, inclusi quelli di vendita, ingegneria, marketing e in particolare la C-suite, comprendano le loro nette differenze quando si tratta di proteggere le organizzazioni. Entrambi dovrebbero lavorare insieme armoniosamente e quando si tratta di obiettivi di compliance e sicurezza, spesso si riduce a un solo obiettivo: il rischio.
La gestione del rischio è la ragione per cui esistono sia la sicurezza che la compliance. Questo obiettivo condiviso dovrebbe ispirare uno sforzo congiunto per raggiungere questo scopo. Sia la sicurezza che la compliance progettano, stabiliscono e applicano controlli alle organizzazioni di progetto e avendo così tanto in comune sembra che dovrebbero essere alleati naturali.
Sicurezza vs Compliance
Esistono alcune differenze fondamentali tra sicurezza e compliance. I responsabili della sicurezza seguiranno le best practices del settore per proteggere i sistemi IT, in particolare a livello aziendale o organizzativo e saranno alla costante ricerca di come impedire agli aggressori di danneggiare l’infrastruttura IT dell’azienda e i dati aziendali e mitigare la quantità di danni che si potrebbe verificare in caso un attacco abbia successo.
Grazie all’aumento del know-how tecnico e della specializzazione, la sicurezza non si limita a una singola disciplina o campo. Invece, ci sono una miriade di aree su cui concentrarsi, come la gestione dell’infrastruttura e dell’architettura, la cyber security, i test e la sicurezza delle informazioni, che è probabilmente la politica più critica per qualsiasi organizzazione.
La compliance IT è il processo per soddisfare i requisiti di una terza parte, con l’obiettivo esplicito di consentire operazioni commerciali in un particolare mercato e garantire che avvenga l’allineamento con le leggi, o addirittura l’allineamento con un particolare cliente.
A volte si sovrappone alla sicurezza, ma i fattori alla base della conformità sono diversi. La conformità è spesso incentrata sui requisiti di una terza parte, come le politiche governative, i quadri di sicurezza, le normative del settore e il cliente/condizioni contrattuali del cliente. Ad esempio, nel Regno Unito molte organizzazioni insisteranno sul fatto che i loro fornitori siano certificati Cyber Essentials e Cyber Essentials Plus o siano in possesso di certificazioni ISO9001 e ISO27001.
Se diciamo che la sicurezza IT è una carota che esiste per motivare l’azienda a proteggersi dagli attacchi informatici, allora la compliance IT è il bastone. Il mancato rispetto delle normative di compliance può avere gravi conseguenze per le organizzazioni, ad esempio, perdita di fiducia dei clienti e danni all’organizzazione e implicazioni finanziarie e legali che potrebbero comportare il pagamento di sanzioni elevate o l’interruzione del lavoro in determinati mercati e aree geografiche. La compliance è spesso una delle principali preoccupazioni aziendali nei paesi in cui esistono leggi sulla privacy dei dati come il California Consumer Privacy Act negli Stati Uniti e il GDPR nel Regno Unito e in Europa e nei settori che hanno normative stringenti come la sanità e la finanza. Queste aree spesso richiedono sempre un livello di compliance molto più elevato.
In che modo Sicurezza e Compliance vanno di pari passo nel Mondo Digitale?
La natura dei moderni canali di sicurezza cloud spesso traduce la sicurezza e la compliance come questioni inestricabilmente collegate. Il fatto che i team di sicurezza e quelli di compliance lavorino insieme rende il business forte perché collaborare in questo modo dà visibilità e copertura reali, crea efficienze sui costi, consolida i toolsets e guida il cambiamento di trasformazione che alimenta la crescita aziendale. Avere un approccio adeguatamente unificato è più critico che mai in un momento che vede livelli di lavoro da remoto senza precedenti.
I rischi sono tutti molto reali e le minacce in gioco minacciano sia la compliance che la sicurezza che si scambiano e si manifestano insieme. Avere un’efficace strategia di sicurezza e compliance che agiscono
insieme può aiutare a consentire alle organizzazioni di implementare alcuni principi importanti:
- Garantire che i toolsets non siano in silos
Alcune organizzazioni, ad esempio, si sono procurate clienti Slack separati per i reparti HR, compliance, sicurezza e legale. Questo tipo di lavoro in silos non è consigliato, gli strumenti devono estendersi all’intera organizzazione in modo che i team possano affrontare insieme le minacce e condividere la visibilità.
- Stabilire ruoli e responsabilità specifici
Anche se le organizzazioni dispongono di una suite di compliance e sicurezza all’avanguardia, la comunicazione è fondamentale. Gli stakeholders e gli imprenditori devono comunicare come sta cambiando il loro approccio allo stack tecnologico. Ad esempio, se l’ufficio vendite si trova a fare più affidamento sui mezzi di comunicazione come WhatsApp, sia la sicurezza che la compliance devono essere informati. Se viene acquistato Microsoft Teams, devono saperlo entrambi. È l’unico modo in cui un’efficace cyber security policy e una compliance policy possono essere in sintonia. Tutto il personale deve avere una visione completa di come i vari canali vengono utilizzati dall’intera organizzazione.
- I dati devono essere consultabili e completi
Con le organizzazioni che devono affrontare un’enorme quantità di dati che vengono raccolti nel tempo, i team di sicurezza e compliance avranno esigenze diverse. La conformità richiederà una registrazione completa e ininterrotta degli eventi, mentre la sicurezza richiede solo un rapido accesso a determinati eventi dal vivo. Le organizzazioni hanno bisogno di una piattaforma che implementi la conservazione dei registri completa e comprensiva. Hanno anche bisogno di piattaforme per avere piena visibilità a livello di parole e frasi di tutte le comunicazioni e che i registri di dati siano completamente consultabili. Se una piattaforma riesce a colmare con successo questo gap, consentirà alla sicurezza e alla compliance di operare dallo stesso punto di partenza e rimuovere i silos.
- È necessaria una maggiore visibilità tra le organizzazioni
Una volta compreso uno scenario di rischio, si ha la necessità di un software in grado di tenere il passo con il volume delle comunicazioni digitali generate. Il monitoraggio manuale spesso non è affatto pratico. I rischi e i canali moderni sono spesso basati sul cloud, quindi, il tool utilizzato deve fornire una difesa del cloud-native. I team devono essere in grado di rilevare le minacce a livello di app e metterle in quarantena rapidamente prima che possano causare danni o raggiungere tramite VPN i sistemi aziendali. Le aziende più grandi richiederanno una rapida implementazione per i team multiregionali.
Unificare Sicurezza e Compliance per Maggiori Vantaggi
Gli stakeholder chiave di qualsiasi organizzazione vorranno maggiori vantaggi dalla collaborazione tra sicurezza e conformità. Ad esempio, il Chief Financial Officer o il Chief Marketing Officer vorranno garantire che i canali digitali siano rafforzati contro i rischi di compliance e sicurezza, in modo che possano aumentare la produttività senza aumentare i costi dell’organico dell’organizzazione.
Il dipartimento R&D o il Chief People Officer vorranno sapere immediatamente se si verifica una perdita di dati IT all’interno di una chat privata o un canale di collaborazione e i team di marketing e vendita vorranno garantire l’accurata rappresentazione di prodotti e servizi sul web e social media e vorranno anche essere informati di qualsiasi intento dannoso nel dark web. Queste richieste possono essere pienamente soddisfatte solo se sicurezza e compliance lavorano a stretto contatto.
Conclusioni Finali
Se le organizzazioni continuano a operare in silos, semplicemente non saranno in grado di tenere il passo. La natura del lavoro moderno è che i rischi per la compliance e la sicurezza spesso si manifestano negli stessi ambienti, di solito all’interno di un complesso e interconnesso insieme di dati, difficile da analizzare. Solo il lavoro di squadra può risolvere questa sfida e guidare un’efficace trasformazione digitale nei prossimi anni.
La sicurezza e la compliance spesso mirano entrambe allo stesso obiettivo: gestire efficacemente i rischi all’interno delle organizzazioni. Questo è il motivo per cui i due gruppi esistono e tale obiettivo condiviso dovrebbe richiedere uno sforzo combinato per raggiungerlo. Sia i team di sicurezza che quelli di compliance devono collaborare per stabilire, progettare e applicare i controlli. La sicurezza e la compliance nell’era del business digitale stanno aumentando in complessità e le organizzazioni dovrebbero lasciarsi alle spalle gli approcci statici e binari “blocca o consenti” del passato. Tenendo maggiormente conto del contesto, visibilità e intelligence per il mantenimento della sicurezza e la compliance nel processo decisionale, il rischio digitale sarà in gran parte rimosso.
Autore: Lisa Ventura
