Il ruolo dell’Information Security è quello di coordinare le iniziative di sicurezza rispetto ai programmi aziendali e agli obiettivi di business, assicurando che gli asset informativi e le tecnologie siano adeguatamente protetti proprio in funzione degli obiettivi di business definiti dalla Direzione Aziendale.

Quindi l’esigenza primaria dell’Information Security è quella di conoscere il business dell’azienda e di sapere come gli asset informativi e tecnologici contribuiscono ai processi di business. Sembra un tema scontato, ma nella realtà, caratterizzata da dinamiche estreme di digitalizzazione grazie anche all’avvento del Cloud, riscontriamo che uno dei più grandi problemi dei CISO è proprio quello di non avere una conoscenza oggettiva e aggiornata di quali siano gli asset informativi e tecnologici che supportano ciascun processo di Business. Si tratta dell’ABC: se non si conoscono quali asset supportano quali processi di business, come si fa a renderli sicuri in funzione degli obiettivi di Business?

Proviamo a rispondere a questo interrogativo esplorando cosa può fare la Enterprise Architecture (EA) a supporto delle Information Security.

Innanzitutto consideriamo che, come illustrato nel precedente articolo, la funzione principale della EA è proprio quella di mappare e mettere in relazione i processi di Business con le informazioni e i dati che tratta, con le applicazioni e i database che utilizza per elaborare questi ultimi e infine collegare il tutto con le infrastrutture tecnologiche necessarie a far funzionare l’intero sistema informatico. Pertanto il primo e principale contributo che l’EA fornisce alla Information Security è proprio la conoscenza di quali asset informativi e tecnologici contribuiscono a quali processi di business, quindi fornisce la conoscenza di base sulla quale impostare la strategia e i piani di Information Security dell’azienda.

Il contributo che l’EA fornisce alla Information Security riguarda inoltre l’opportunità di supportare e facilitare la realizzazione di una serie di Servizi di Sicurezza delle Informazioni e di Privacy come di seguito evidenziato.

1. 1. Analisi dei Rischi di Sicurezza

È possibile utilizzare la mappatura degli asset inseriti in EA per eseguire la valutazione dei rischi di Sicurezza dei processi di business e importare nell’EA il risultato di tali valutazioni, associando agli asset un valore di criticità da utilizzare poi, per esempio, nella gestione degli incidenti e delle crisi, o semplicemente in ogni attività di migrazione, re-hosting o re-sizing.

1. 2. Business Impact Assessment (BIA) e Piano di Continuità Operativa e di Disaster Recovery dei Processi di Business

La catena tra processi, applicazioni e infrastrutture mappata all’interno dell’EA consente di automatizzare le fasi di BIA dando evidenza degli asset sottostanti a ciascun processo per valutare gli impatti della indisponibilità di un processo a fronte di indisponibilità di specifici asset e costruire gli scenari di disastro e di recovery.

1. 3. Supply Chain Security

È possibile collegare ai servizi IT e anche ai servizi di Sicurezza i provider coinvolti, al fine di governare l’on/off boarding dei fornitori e, in caso di incidente, gestire la sicurezza in tutta la catena di fornitura.

1. 4. Identity and Access Management e altri servizi di Information Security

Attraverso la mappatura delle applicazioni ai sistemi di IAM, o ad altri applicativi di cybersecurity utilizzati per esempio in contesti di Hybrid Cloud, è possibile gestire l’evoluzione e la messa in sicurezza di ogni specifica applicazione.

1. 5. Gestione degli incidenti di Cybersecurity che impattano processi, servizi e applicazioni

La mappatura degli asset agli specifici processi e servizi aiuta nel determinare il perimetro dei sistemi e servizi coinvolti e impattatati in uno specifico incidente di cybersecurity e quindi operare le attività di gestione, contenimento, ripristino e comunicazioni alle entità preposte. Tale funzione è importantissima per la gestione di ogni incidente di Cybersecurity, e diventa fondamentale nella gestione tempestiva degli incidenti nel Perimetro di Sicurezza Nazionale Cibernetica.

1. 6. Migrazione in sicurezza al CLOUD

La mappatura delle applicazioni con gli specifici servizi di sicurezza consente, in caso di migrazione al Cloud, l’individuazione e la specificazione di quali servizi di sicurezza dovrà godere l’applicazione nel Cloud.

1. 7. Registro dei Trattamenti dei Dati Personali

Nell’ambito della Privacy l’EA consente di collegare i trattamenti dei dati personali ai processi di Business/Servizi e quindi eseguire in automatico l’inventario degli asset utilizzati nell’ambito di ciascun trattamento.

1. 8. Classificazione dei dati ai sensi della Sicurezza e della Privacy

È possibile inserire in EA, per ciascun processo, i dati e la relativa classificazione ai sensi di Security e Privacy, al fine di monitorare incidenti di Sicurezza, valutarne la criticità e capire se ci sono stati anche Data Breach ai sensi Privacy.

1. 9. EDP Auditing

La mappatura di processi con le applicazioni, dati, infrastrutture e profili utenti consente di pianificare campagne di auditing mirate sui processi e sui relativi asset.