Ridurre i rischi durante la trasformazione digitale

La trasformazione digitale e la gestione del rischio aziendale possono essere viste come due autostrade parallele. Questo perchè qualsiasi tipo di trasformazione introdurrà nuovi rischi e cambierà il livello di sicurezza generale dell’organizzazione.

Mentre le imprese continuano le loro ottimizzazioni digitali, la trasformazione della sicurezza e della gestione dei rischi deve essere parte integrante di quel viaggio. Le organizzazioni devono integrare la sicurezza e la gestione dei rischi nei processi DevOps e Continuous Delivery (CD). L’obiettivo finale è quello di avere sistemi resilienti che non solo possano resistere agli attacchi informatici, ma anche eseguire operazioni aziendali mission-critical dopo che un attacco ha avuto successo.

Continuando con quest’analogia, immagina che ognuna di queste autostrade abbia tre corsie: una per le persone, un’altra per lo sviluppo dell’intero processo e una terza per la tecnologia.

Le persone rappresentano la cultura stessa di un’impresa, e per far si che la trasformazione digitale abbia successo, molte organizzazioni dovranno trasformare proprio questo “sapere” in relazione ai possibili rischi. Ciò potrebbe includere il rispetto delle informazioni personali delle aziende che costruiscono consapevolmente i servizi digitali tenendo presente la privacy. La forza lavoro deve essere abile nell’utilizzare strumenti digitali come cloud, API, big data e machine learning per automatizzare e orchestrare la gestione di una risposta rapida e preventiva delle minacce alla sicurezza digitale.

Il processo si riferisce al modo in cui una compagnia rimodella i propri processi aziendali per essere dinamica e sicura allo stesso tempo. Ciò potrebbe comportare il passaggio dal comportamento ITIL a DevOps o altri approcci operativi proattivi. La prevenzione è importante, ma la capacità di rispondere alla gestione delle minacce digitali è molto più rilevante, poiché questo comportamento proattivo coincide con i principi DevOps.

La tecnologia può presentare nuovi rischi, ma può anche aiutare ad affrontarli nella maniera più idonea possibile. Ad esempio, molte aziende all’avanguardia utilizzano tecnologie avanzate per automatizzare i processi in modo sicuro. Alcune best practice comuni includono la costruzione di componenti liberamente accoppiati laddove possibile su un’architettura stateless / shared-nothing, utilizzando l’apprendimento automatico per individuare rapidamente le anomalie e utilizzando le API in modo pervasivo per orchestrare la gestione della sicurezza delle entità digitali in modo scalabile.

Dal punto di vista del CIO, ogni nuova entità e interazione digitale aggiunge dei rischi: chi è questo utente? Questo dispositivo è autorizzato? Quali livelli di accesso dovrebbero essere consentiti? A che tipologia di dati si può accedere?

Le imprese leader identificheranno in modo sicuro questi utenti, dispositivi e altre entità – comprese le funzioni software e gli endpoint Internet of Things (IoT) – e lo faranno end-to-end in un ambiente in cui i servizi sono ampiamente distribuiti.

Potrete trovare maggiori informazioni nel seguente position paper, Rethink risk and enterprise security in a digital world.


TM Ching è il capo tecnico della sicurezza per la tecnologia DXC in Australia e Nuova Zelanda.

Speak Your Mind

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.