Durante la mia esperienza nel mondo dell’information security, in qualsiasi azienda stessi lavorando, ho sempre notato come la problematica che più blocca l’adozione e l’utilizzo di procedure e prodotti di sicurezza è la mancata comprensione.

Questo deriva sia da una situazione nazionale di economia non brillante (e la sicurezza è in gran parte un costo), sia da dinamiche di comunicazione errate tra chi esercita la sicurezza (che conosce rischi e contromisure, ma che spesso esagera nell’imporre una propria visione) e chi deve portare avanti il business (che ha la responsabilità del servizio e vorrebbe ricevere proposte e non divieti, ma allo stesso tempo è portato a sottovalutare i rischi futuri che si corrono).

Spesso queste cose vanno a scontrarsi, invece di incontrarsi e collaborare.

Ho pensato quindi di iniziare una serie di articoli con questo tema, con la speranza che siano utili, e da entrambe le parti della barricata.

Gli articoli pubblicati finora sono:

• Spiegare la sicurezza al top management: in cui affronto i temi di collaborazione tra specialista di sicurezza e dirigenti aziendali.
• La compliance, forza inarrestabile: in cui provo a spiegare come le regolamentazioni e le leggi influiscano sui processi di information security.
• Ma non era meglio pensarci prima?: in cui analizzo come Sony ha reagito agli attacchi del 2011, e come si poteva agire prima di arrivare al dramma.
• Cos’è e come si gestisce il Social Risk: in cui analizzo, con un case study molto importante, come si può difendere l’immagine e la sicurezza dell’azienda dai rischi che derivano dai social network.