La segregation of duties e security sono due tematiche che vanno di pari passo. Seppur la sicurezza sia vista principalmente come l'acquisto di strumenti che hanno il compito di proteggere i dati aziendali, l'approccio corretto è quello in cui si pone la security come processo parallelo a quello relativo all'organizzazione dei sistemi e dei processi aziendali.
Un processo che abilita l’ottenimento di un'adeguata separazione dei compiti e una corretta suddivisione delle funzioni che sono svolte da parte di una serie di ruoli/responsabilità.
Segregation of duties e security per proteggere i dati aziendali
L'unione tra segregation of duties e security è, pertanto, diventata fondamentale per qualsiasi organizzazione. Vi sono aspetti di obbligatorietà a livello normativo, nazionale tramite il Dlgs. 231/2001 art. 6 comma 2 e internazionale, come la SoX, in quanto la segregazione dei ruoli abilita meccanismi atti a prevenire conflitti di interesse, reali o apparenti, frodi, abusi ed errori.
Tutto ciò ha costretto le aziende a porre maggiore enfasi sulla separazione dei compiti tra le funzioni IT, in particolare la sicurezza, con il fine rilevare errori di controllo come eventuali violazioni, furti d'informazioni ed elusione dei meccanismi di sorveglianza. Pertanto, questa metodologia fornisce un effettivo supporto per l’azienda, mettendo in risalto la catena di controllo, in modo tale da comprendere cosa stia accadendo e quali siano le relative responsabilità.
Per gestire la Segregation of Duties (SoD), l’azienda deve ragionare accuratamente per singoli processi ed individuare, al tempo stesso, quali sistemi IT siano coinvolti. Al tempo stesso, la creazione di una SoD coerente e corretta passa anche attraverso un controllo dei privilegi, preciso e puntuale, grazie a cui contenere la diffusione di un potenziale attacco. Nella sicurezza, infatti, l'approccio ideale è quello di minimizzare il numero di utenti con privilegi elevati, così da ridurre la superficie d'attacco disponibile.
Ovviamente, per le aziende, comprendere il modo in cui i sistemi IT sono connessi e riuscire a stabilire quali siano i rischi, può risultare particolarmente complesso. Per questo motivo, è utile chiedere a un partner esterno di supportare la propria azienda al fine di creare un ambiente più sicuro, soprattutto in un momento in cui l'applicazione delle best practice SoD connesse all'ambito IT sta diventando elemento indispensabile e in molti casi obbligatorio per proteggere la sicurezza aziendale.
Ridurre i rischi e superare gli audit IT
Quindi, il ruolo della separazione dei compiti a livello di security continua ad essere un argomento rilevante. È fondamentale che, all'interno delle organizzazioni, vi sia una separazione tra operazioni, sviluppo e test della sicurezza e siano adottati tutti i controlli necessari per ridurre il rischio di attività non autorizzate o accessi impropri a dati e sistemi.
Infine, è importante ricordare che il controllo sulla separazione dei compiti è un tema soggetto anche alla revisione da parte di audit esterni. Spesso la scarsa attenzione porta come diretta conseguenza la presenza visibile o invisibile di elevati rischi. Se si è capaci di comprendere che la separazione dei ruoli deve essere collegata fin da subito alla sicurezza IT, ciò può permette di evitare problemi, ottenendo un risparmio significativo rispetto ai costi derivanti da una potenziale perdita di controllo dei dati, evitando così conseguenze negative per il proprio business.
