Ne facciamo o ne riceviamo diversi, per ogni cosa che acquistiamo o sui servizi che riceviamo.
In azienda non sono così diffusi, come mai? Da dove iniziare per avere qualche feedback sulla parte di security?
A mio avviso moltissimo. Ci vengono chiesti costantemente oppure in alcuni casi li subiamo (positivi e/o negativi).
Quando acquistiamo qualcosa, un oggetto oppure un servizio. Li trovo molto utili. Avere in questo caso l'esperienza di qualcuno che ci è già passato è utile.
Esistono anche nelle società sotto diversi punti di vista:
Forse una prima domanda dovrebbe essere quella di identificare il target di riferimento. Nella maggior parte dei casi potremmo dire il business.
Possono sicuramente aiutare dipartimenti come quelli IT, HR oppure audit. Può essere utile per capire qual è "l'appetito" o il "sentiment" verso le tematiche di sicurezza e protezione dei dati aziendali.
Attenzione, qui non penso a sondaggi tecnici o security awareness. Ma più a cosa e come gli aspetti di sicurezza possono portare in termini di benefici percepiti dall'utente finale.
Alcuni esempi?
La domanda 1 fa emergere che forse potrebbero servire degli strumenti di IDM o IAM (Identity Management o Access Management)
La domanda 2 può essere utile per far capire che se dobbiamo proteggere qualcosa o se qualcosa è critico, può capitare di ricevere dei blocchi (anche se siano falsi positivi) oppure che ci siano dei "ritardi" dovuti a meccanismi di approvazione.
La domanda 3 introduce la necessità di valutare strumenti per semplificare l'accesso ai sistemi, quindi la tematica di Single Sing On
La domanda 4 serve per capire se chi dovrebbe rivalidare gli accessi, effettivamente conosce cosa fanno o dovrebbero fare i propri collaboratori
La domanda 5 è un po' più esplicita della domanda 1
La domanda 6 serve per "misurare" quanto in azienda sono consapevoli del fatto che esistano (se è davvero così) delle logiche di separazione dei compiti. Questo spesso viene percepito come una inefficienza, per il rilascio delle abilitazioni oppure per il controllo degli accessi.
La domanda 7 collegata alla 6 "misura" e ci fa capire se siamo più orientati a fare, senza controlli, oppure riteniamo che sia necessario svolgere dei controlli per prevenire frodi.
La domanda 8 vuole rispondere alla questione del "decidere chi fa cosa in azienda"
Non hai un metro soggettivo per capire cosa fare e dove in azienda, ma oggettivo. Puoi a seguito fare delle campagne di sensibilizzazione e capire dove conviene investire, anche attraverso strumenti.
Puoi capire, al di là dei commenti alla macchinetta del caffè, cosa pensano gli utenti su determinate tematiche.
Avere degli strumenti in azienda che gestiscono le tematiche di Identity Management o di Segregation Of Duties, o altri aspetti non significa in alcuni casi avere risolto un problema. In determinate situazioni il business crede (a volte anche erroneamente) di aver ottenuto un problema in più da gestire, non una semplificazione.