Definire le responsabilità organizzative per la sicurezza di rete

Al di là del Modello di responsabilità condivisa, è importante definire le responsabilità individuali per la sicurezza del cloud all'interno della sua organizzazione e assicurarsi che tutti sappiano cosa è richiesto. Non è sufficiente - e anche un po' un cliché - dire semplicemente: "La sicurezza è una responsabilità di tutti".

I team di leadership esecutiva devono sponsorizzare gli sforzi per la sicurezza del cloud. Nell'attuale panorama normativo, la sponsorizzazione dei dirigenti è praticamente obbligatoria. Il potenziale impatto finanziario di una non conformità normativa per un'azienda può essere devastante quanto (o peggio) di una violazione dei dati stessa. Oltre alle sanzioni finanziarie, molti regolamenti prevedono sanzioni penali per i dirigenti d'azienda e altri fiduciari di un'impresa.

I dirigenti devono dare il buon esempio. Se la politica aziendale richiede che i dati aziendali sui dispositivi mobili siano criptati e che l'accesso alle applicazioni SaaS richieda l'autenticazione a più fattori (MFA), non si dovrebbero fare eccezioni "una tantum" per i dirigenti. Oltre a dare l'esempio, i dirigenti devono assicurarsi che le iniziative di sicurezza e conformità abbiano il supporto e le risorse adeguate, e che venga sempre considerato l'impatto delle decisioni strategiche aziendali sulla posizione complessiva di sicurezza e conformità dell'organizzazione.

I team addetti alla sicurezza e alla conformità devono definire e applicare politiche appropriate che permettano all'azienda di operare in modo sicuro. Per essere efficaci, i team addetti alla sicurezza e alla conformità devono comprendere e allinearsi con gli obiettivi e i traguardi aziendali, e non devono rappresentare un ostacolo alla produttività e all'efficienza.

I manager delle linee di business hanno la responsabilità di garantire che la governance della sicurezza e della conformità del cloud dell'organizzazione sia compresa e rispettata nelle rispettive aree aziendali. Con l'evolversi delle esigenze aziendali, i manager delle linee di business dovrebbero collaborare con i team addetti alla sicurezza per valutare il rapporto rischio/rendimento dell'adozione di nuovi strumenti. Non è mai accettabile aggirare una politica di sicurezza, come il requisito di utilizzare solo applicazioni SaaS autorizzate, per raggiungere un obiettivo aziendale o di produttività a breve termine. Invece, gli strumenti di sicurezza dovrebbero adattarsi alle esigenze aziendali e guidare il comportamento desiderato degli utenti.

La collaborazione con i team addetti alla sicurezza e alla conformità aiuta anche a garantire che le singole linee di business siano in grado di sfruttare le relazioni che l'organizzazione può avere con i venditori o i fornitori di cloud, per acquistare servizi in modo più economico e ottenere rapidamente l'assistenza necessaria, invece di operare nel vuoto con tecnologie e prodotti cloud isolati.

I team DevOps sono costantemente sotto pressione per consegnare rapidamente progetti e aggiornamenti software e ridurre il time to market. Per soddisfare queste esigenze, i requisiti di sicurezza devono essere definiti e compresi all'inizio di qualsiasi progetto e, idealmente, integrati nel flusso di consegna dell'applicazione. In questo modo, i team di sviluppo possono continuare ad andare avanti senza doversi fermare e resettare spesso per affrontare le vulnerabilità della sicurezza e le violazioni della conformità.

I singoli utenti finali  hanno la responsabilità di seguire la governance aziendale in materia di sicurezza e conformità del cloud. Devono comprendere i rischi intrinseci del cloud e salvaguardare i dati che gli sono stati affidati come se fossero i loro dati personali.