1 Introduzione
La Cyber GRC consiste nel monitoraggio della compliance aziendale alle politiche di sicurezza informatica stabilite nella valutazione e gestione dei rischi.Le tre principali mansioni incentrate sugli aspetti pratici della gestione del rischio Cyber sono:
- Redazione delle politiche di sicurezza informatica
- Valutazione del rischio Cyber
- Verifica della compliance alle politiche di sicurezza informatica stabilite
- Esecuzione periodica della valutazione del rischio Cyber per l'intera organizzazione o per alcuni sistemi
- Aggiornamento della valutazione del rischio Cyber in base alla natura e alla portata delle minacce e delle CVE
1.1 Valutazione del rischio Cyber
Per condurre una valutazione del rischio Cyber è necessario:- Comprendere gli asset dell'organizzazione e il loro valore
- Conoscere le modalità di archiviazione dei dati dell'organizzazione e il loro flusso tra i sistemi
- Avere colloqui periodici con i direttori generali e con gli altri stakeholder dell'organizzazione
- Lavorare a stretto contatto con altri team di sicurezza informatica - i.e. Cyber Defense, Cyber Intelligence
2 Competenze personali
Una breve sintesi delle competenze personali per un analista GRC.- Lavorare nel rispetto delle politiche e delle procedure organizzative
- Essere in grado di tener conto di molteplici fattori complessi per giungere a conclusioni logiche
- Presentare motivazioni logiche oggettive per il processo decisionale
- Sostenere i colleghi nel raggiungimento di obiettivi condivisi
- Essere sensibili quando si mettono in discussione le idee o le decisioni altrui
3 Competenze di base
Per comprendere a pieno le procedure e per poter condurre un'analisi del rischio Cyber è preferibile avere buone conoscenze nelle seguenti discipline:- COMPUTER NETWORK
- OPERATING SYSTEM
- NETWORK SECURITY
- CLOUD SECURITY
- IDENTITY ACCESS MANAGEMENT
- GDPR
4 Competenze specialistiche
Una breve sintesi delle competenze specialistiche per un analista GRC.- Utilizzare tecniche statistiche, matematiche o finanziarie per valutare l'impatto dei possibili attacchi ai sistemi, alle infrastrutture e all'organizzazione in generale
- Applicare le metodologie di gestione del rischio Cyber
- Interpretare i requisiti legali e normativi integrandoli con i requisiti operativi dell'organizzazione
- Valutare la concordanza delle procedure agli standard europei e internazionali
4.1 Governance - Compliance
Chi si occupa di Governance e di Compliance ha l'obiettivo di dirigere, supervisionare, progettare e implementare politiche e procedure per la gestione della sicurezza delle informazioni a livello aziendale.La fase operativa deve essere conforme alla metodologia di gestione del rischio Cyber - i.e. ISO | IEC 27001 - e ai requisiti specifici del settore - i.e. PCI DSS.
4.2 Risk Management
Chi si occupa del rischio Cyber si pone come scopo quello di sviluppare strategie e controlli per la gestione del rischio Cyber e delle informazioni, tenendo conto delle esigenze dell'azienda e delle valutazioni del rischio.Una visione d'insieme: controlli da verificare
- Tecnici - i.e. CLOUD SECURITY, NETWORK SECURITY, IAM etc
- Fisici - i.e. PHYSICAL SECURITY
- Procedurali - i.e. POLICY & PROCEDURE, STANDARD etc
- Personale - i.e. HUMAN RESOURCES
5 Considerazioni personali
Per diversi mesi ho lavorato come consulente GRC per le aziende del mondo energy dislocate sul territorio nazionale. Mi sono occupato di:- Gestione del rischio Cyber
# Progettazione, sviluppo e monitoraggio dei piani di rimedio per le CVE aperte
- Compliance
Nonostante inizialmente fossi un po' dubbioso sulla parte operativa del lavoro, posso dire di essere piacevolmente sorpreso dalla Cyber GRC. Questa esperienza mi ha permesso di ampliare le mie conoscenze in materia di sicurezza, migliorando le mie competenze comunicative e tecniche.
6 Conclusioni
E voi cosa ne pensate di questo ruolo? Pensate sia una specializzazione valida?Secondo voi le aziende italiane - e non - riescono a sviluppare delle strategie di sicurezza appropriate?