Le imprese più piccole non possono permettersi di scindere le attività di sicurezza da quelle inerenti il networking, ma se la vostra azienda ha personale sufficiente per separare la rete, l'assistenza tecnica di primo livello e la security, consigliamo di ripartire le varie funzioni. Deve esserci una chiara distinzione fra rete e sicurezza perché i focus e gli obiettivi dei due gruppi sono nettamente differenti.
Le responsabilità del networking implicano principalmente di mantenere le risorse attive e con un alto livello di disponibilità. La sicurezza riguarda invece la protezione e, quando comparata alla rete, non è infrequente che venga considerata una priorità di business meno rilevante.
Non solo il gruppo che si occupa della rete dovrebbe avere mansioni e responsabilità distinte e ben definite rispetto al gruppo della sicurezza, ma dovrebbe anche avere linee di comando separate.
Il team della sicurezza non dovrebbe in linea teorica riportare all'amministratore di rete. Molte aziende hanno i loro dipartimenti di sicurezza che riportano al CIO, ma questo soltanto perché non hanno un chief security officer (CSO). I problemi possono insorgere quando le due strutture condividono la medesima linea di comando. Per esempio, supponiamo che un tecnico del team di security informi l'amministratore di rete che sul firewall è attivata una regola potenzialmente pericolosa. Tale regola potrebbe essere stata implementata dall'amministratore di rete per supportare una necessità di business o una preferenza particolare di alcuni utenti. Spesso c'è la concreta possibilità che l'amministratore dia al funzionamento della rete una priorità più alta rispetto ai problemi di sicurezza.
In altre parole, il gruppo della rete dovrebbe limitarsi a manutenere e configurare i dispositivi del network mentre il gruppo di sicurezza dovrebbe manutenere e configurare i dispositivi per la security.
Un security officer può delegare alcune mansioni, ma questo spesso avviene in modo errato. Il processo è solitamente trascurato e di frequente non sono tracciate chiare linee di responsabilità. Se un security officer delega alcune mansioni di sicurezza, tale decisione dovrebbe essere approvata da qualcuno che si trova in una posizione gerarchicamente più elevata e il cambiamento dovrebbe essere documentato.
La decisione di effettuare una distribuzione delle responsabilità dipende dal tipo di azienda in cui state lavorando. In una realtà privata, non sottoposta a controllo di qualità, il problema è più sfumato.
Se la vostra azienda è certificata, i revisori (interni ed esterni) rileveranno se sono state suddivise le mansioni e se i confini non sono stati oltrepassati. Se l'azienda è quotata in borsa, il raggio d'azione del CEO, del CFO e dei security officer deve essere conforme a precise normative.
