![\"\"](\"https:\/\/www.m-q.ch\/wp-content\/uploads\/2021\/02\/Kritische-Erfolgsfaktoren-fuer-InformationssicherheitsProgramme.jpg\")
<\/p>\n<\/p>\n
<\/p>\n
<\/p>\n
<\/p>\n
\u00dc<\/strong><\/em>egli ultimi due o tre anni, le minacce informatiche in rapido aumento hanno messo in allarme intere funzioni aziendali, settori economici e persino paesi:<\/p>\n La domanda arretrata \u00e8 riconosciuta<\/strong><\/p>\n <\/p>\n Le organizzazioni la cui consapevolezza della minaccia cibernetica \u00e8 stata aumentata spesso riconoscono che hanno un significativo recupero da fare e che il rimedio selettivo non \u00e8 sufficiente a compensare i fallimenti del passato. In questi casi, vengono quindi lanciati elaborati programmi di sicurezza dell'informazione, che hanno lo scopo di eliminare le lacune di sicurezza in modo sostenibile e su un ampio fronte con un portafoglio di progetti per un periodo di anni. Anche se tali programmi sono spesso il passo giusto, il loro successo dipende molto dall'esperienza della gestione del programma nell'affrontarli.<\/p>\n Condizioni per il successo<\/strong><\/p>\n <\/p>\n Questo articolo non pu\u00f2 sostituire metodi di gestione consolidati come PRINCE2, MSP (Managing Successful Programs), MoP (Management of Portfolios) o gli standard PMI, ma ha solo lo scopo di completarli per quanto riguarda le caratteristiche speciali dei programmi di sicurezza delle informazioni. Per tali programmi, l'esperienza mostra che, oltre all'uso efficace dei metodi di gestione stabiliti, cinque caratteristiche della gestione del programma in particolare sono essenziali per il successo del programma:<\/p>\n <\/p>\n Queste capacit\u00e0 di leadership sono essenziali perch\u00e9 la \"sicurezza delle informazioni\" e il \"rischio\" interessano un numero molto ampio di persone, ma allo stesso tempo i concetti sono abbastanza astratti e \"intangibili\" per molte persone. Il team di leadership di un programma di sicurezza deve quindi essere tecnologicamente esperto e possedere capacit\u00e0 di gestione e comunicazione per coinvolgere e guidare efficacemente tutte le parti interessate.<\/p>\n I cinque fattori di successo<\/strong><\/p>\n <\/p>\n Il pensiero strategico \u00e8 importante perch\u00e9 i programmi di sicurezza spesso iniziano con una consapevolezza generale del problema o una visione. Questa visione deve essere tradotta in una strategia che dichiari chiaramente quali sono le vulnerabilit\u00e0 della sicurezza e i rischi associati, quale soluzione \u00e8 richiesta, quali sono i criteri di successo e quali sono i costi previsti. Tale strategia \u00e8 un prerequisito per ricevere un budget. La strategia deve anche essere continuamente aggiornata per assicurare la continuit\u00e0 del programma. La continuit\u00e0 \u00e8 una sfida importante, poich\u00e9 i programmi di sicurezza spesso durano diversi anni e devono essere regolarmente giustificati contro i tagli di bilancio nell'attuale ambiente dei costi.<\/p>\n <\/p>\n Competenza tecnica<\/strong> <\/em>Il successo di un programma di sicurezza non consiste nell'installazione di singoli strumenti o tecnologie. Piuttosto, il successo sta nel ridurre in modo sostenibile i rischi per la sicurezza. Per fare questo, \u00e8 necessario fare una scelta intelligente del rischio tra tecnologie alternative. Le tecnologie devono essere configurate correttamente e devono essere incorporate in processi che garantiscano la loro efficacia a lungo termine. Siccome in pratica non esiste la certezza del 100%, la gestione del programma deve continuamente soppesare le alternative e raggiungere decisioni ottimali con le varie parti interessate - tenendo sempre conto della riduzione del rischio ottenibile, dei rischi residui rimanenti e dei costi e tempi coinvolti. Questo richiede una notevole competenza tecnica.<\/p>\n <\/p>\n Processo e pensiero organizzativo<\/strong><\/em> sono essenziali perch\u00e9 le misure di sicurezza devono essere continuamente mantenute per ridurre efficacemente il rischio. Per esempio, un sistema di rilevamento delle intrusioni \u00e8 poco utile se i suoi allarmi non sono monitorati e le regole utilizzate per rilevare gli attacchi non sono mantenute. Il pensiero organizzativo \u00e8 importante perch\u00e9 le tecnologie di sicurezza sono spesso implementate a livello globale e una soluzione efficace deve prendere in considerazione i requisiti delle singole geografie o divisioni, come la legge nazionale o l'autonomia delle singole divisioni o le incompatibilit\u00e0 con i sistemi stabiliti.<\/p>\n <\/p>\n Forte governance<\/strong><\/em> e sono necessarie forti capacit\u00e0 di comunicazione perch\u00e9 la sicurezza coinvolge molti stakeholder all'interno di un'organizzazione. Questo include vari dipartimenti IT, responsabili della sicurezza e del rischio, audit, divisioni aziendali (i cui dati sono interessati e che possono anche agire come sponsor), indagini sulle frodi, il dipartimento legale e i responsabili della protezione dei dati. Per fare i compromessi descritti sopra con queste parti interessate riguardo a tecnologie, configurazioni o connessioni di processo alternative, ci devono essere strutture di governance efficaci e una leadership di programma che possa presentare le questioni tecniche in modo completo e comprensibile per guidare le decisioni. In assenza di tale governance, i programmi rimangono vulnerabili quando i singoli stakeholder non sono d'accordo con le decisioni. Anche se questo problema non \u00e8 specifico dei programmi di sicurezza, \u00e8 particolarmente pronunciato l\u00ec a causa dei molti attori.<\/p>\n <\/p>\n Integrit\u00e0 assoluta<\/strong><\/em> \u00e8 un requisito obbligatorio per la leadership del programma, in quanto possono influenzare una grande quantit\u00e0 di decisioni attraverso il loro lavoro strategico, la competenza tecnica e la comunicazione con diversi stakeholder. La leadership del programma deve quindi essere apolitica e mirare sempre a fare ci\u00f2 che \u00e8 nel migliore interesse dell'organizzazione.<\/p>\n Conclusione: uso di metodi di gestione collaudati<\/strong><\/p>\n <\/p>\n I programmi di sicurezza dell'informazione sono sempre pi\u00f9 lanciati per stare al passo con l'escalation delle minacce informatiche. Come per tutti i programmi, \u00e8 importante usare metodi di gestione provati come PRINCE2, MSP o MoP. I programmi di sicurezza sono unici in qualche modo, tuttavia, in quanto la \"sicurezza delle informazioni\" e il \"rischio\" riguardano quasi tutti in un'organizzazione, ma sono astratti e sfuggenti. Questo \u00e8 particolarmente impegnativo per i program manager, specialmente per quanto riguarda i cinque fattori di successo menzionati sopra.<\/p>","protected":false},"excerpt":{"rendered":" \u00dcber die vergangenen zwei bis drei Jahre haben die rasant zunehmenden Cyberbedrohungen ganze Unternehmensfunktionen, Wirtschaftssektoren und sogar L\u00e4nder in Alarmbereitschaft versetzt: Vor vier Jahren sprach kaum ein CFO\/Finanzchef von Cyberrisiken; heute werden sie von CFOs\/ Finanzchefs regelm\u00e4ssig als eine der beunruhigendsten Bedrohungen genannt1 . Vor zwei Jahren war Cybersecurity nicht einmal eine […]<\/p>\n","protected":false},"author":66,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[4],"tags":[4800],"class_list":["post-12493","post","type-post","status-publish","format-standard","hentry","category-risikomanagement","tag-11-2014"],"acf":[],"yoast_head":"\n\n
\n