Paul Calatayud, CISO North America di Palo Alto, con il supporto di Korn Ferry, illustra come si sta evolvendo il ruolo dei team di sicurezza.
Per tenere il passo della digitalizzazione e di tecnologie e leggi nuove, il ruolo del CISO e dei team di sicurezza si sta evolvendo. Nei prossimi anni, i CISO saranno sempre più integrati nel team esecutivo, le responsabilità di alcune aree verranno trasferite ad altri membri e per loro emergeranno nuove priorità.
Il CISO di oggi
Negli ultimi dieci anni, il ruolo del CISO ha vissuto un’evoluzione, fondamentale per restare allineato al dinamico mondo delle minacce e delle nuove normative. Queste figure oggi devono dimostrare di avere capacità diverse – non solo conoscenza tecnica, ma anche attitudine alla gestione dei team e all’analisi del rischio – e per questo motivo provengono dagli ambiti più svariati. Militari professionisti che desiderano cambiare lavoro, esperti tecnici in cerca di nuove esperienze, i CISO non sono tutti uguali, ma riflettono uno degli archetipi seguenti:
– Dirigente Tecnico. Un manager, già tecnico, con un vantaggio evidente quando si tratta di stabilire credibilità con i C-level.
– Risk Manager. Questa figura, guidata da processi e policy, allinea la sicurezza alla strategia di business aziendale, trasformandone la funzione per adattarla al contesto.
– Ex figura governativa con conoscenze di sicurezza fisica e cyber. Una figura che segue la propria missione, conosce le tendenze geopolitiche e le minacce a livello macro, ha accesso all’intelligence grazie alle proprie relazioni e credibilità. Meno tecnica, è in grado di “unire i puntini” dei silo di sicurezza ed è molto preparata sul fronte normativo.
Il modello e le priorità di ogni azienda e il modo in cui ognuna valuta i ruoli funzionali, hanno un impatto significativo su quale archetipo sia più adeguato. Ad esempio, una grande organizzazione di servizi finanziari, con differenti unità di business, riconoscerà nel Risk Manager la persona più adeguata per le proprie necessità. Nel settore aerospaziale e della difesa, in cui il business è altamente ingegnerizzato, il Dirigente Tecnico potrebbe essere quello giusto per elevare la credibilità.
Il CISO di domani
Questi archetipi continueranno a delineare molti CISO, ma la digitalizzazione e l’evoluzione dei rischi cyber comportano nuove responsabilità e priorità emergenti che ne influenzano gli obiettivi, indipendentemente dall’esperienza individuale. I CISO stanno diventando una parte fondamentale all’interno dei team esecutivi e i ruoli e le responsabilità dei team di sicurezza stanno crescendo.
Le responsabilità di alcune tra le molte aree gestite dai CISO dovranno essere trasferite ad altri membri del team. Se un CMO con esperienza nelle pubbliche relazioni assume un responsabile PR per potersi focalizzare su mansioni dirigenziali, così un Dirigente Tecnico, che in precedenza poteva dedicarsi maggiormente alle tecnologie più recenti, dovrà fare affidamento su altri membri della sua squadra per continuare a essere la figura tecnica più credibile ed essere aggiornato su tutti i più recenti passi in avanti della sicurezza.
Qui di seguito, le cinque priorità chiave che i CISO dovrebbero prendere in considerazione durante lo spostamento del focus su aspetti di business e la definizione dei loro team di supporto:
1 – Colmare il gap di competenze sulla sicurezza informatica e incrementare la conoscenza sul mondo cyber.
È una sfida attuale e la risposta definisce la base di tutto quello che un CISO dovrà fare nei prossimi anni. Il panorama della sicurezza informatica continua a cambiare e oltre ad attirare nuovi talenti, saranno fondamentali la formazione costante e lo sviluppo di capacità per i team già operativi. Quando un’unità di business trasferisce dati e servizi nel cloud, il CISO deve sviluppare programmi e risorse per formare l’intera organizzazione.
Cosa può fare un CISO oggi:
-Essere creativo. Valutare in modo diverso le squadre con cui opera e il modo in cui le loro capacità rispondono ai trend più attuali, prevedendo attività di formazione se necessario.
-Collaborare con le HR per sviluppare programmi di sensibilizzazione universitaria che si focalizzino sull’ingresso anticipato di giovani talenti in azienda.
-Impegnarsi per rendere più semplice l’utilizzo di tecnologie di sicurezza. Facilitare le relazioni con il team di sicurezza e le loro attività renderà possibile attrarre diverse tipologie di talenti che potranno arricchire l’azienda con competenze uniche.
2 – Incorporare normative e regolamenti nella strategia cyber
Le multinazionali dovranno aumentare i team strategici di ogni area per rispondere alla complessità delle leggi relative a dati e privacy. Il GDPR, ad esempio, ha una natura globale a causa dell’impatto su un vasto numero di aziende nel mondo. Quando si pensa a normative simili, la domanda è: come creare capacità che rispondano a regolamenti come il GDPR in Europa, pur tenendo in considerazione le leggi sulla privacy di Canada o Stati Uniti?
Cosa può fare un CISO oggi:
-Prendere atto dell’impatto di questi regolamenti. Affidarsi a un esperto esterno per spiegare complessità e effettuare approfondimenti.
-Considerare l’introduzione di un business information security officer, o BISO, in alcune aree chiave. Nonostante questo ruolo non sia focalizzato sulla cybersecurity, sarà attento ai rischi, all’impatto normativo e alle leggi sulle privacy nelle rispettive regioni.
-Allinearsi ai team legali e ai responsabili della privacy per informarli sull’impatto di queste leggi.
3 – Adottare l’approccio DevOps
DevOps riduce le inefficienze tecniche tra team IT, sviluppatori e sicurezza. Permette di automatizzare le attività di distribuzione, manutenzione e protezione tradizionalmente svolte in modo separato e manuale. Con DevOps la cybersecurity sta diventando una priorità già in fase di partenza di qualsiasi progetto IT. I CISO che adotteranno DevOps e definiranno ruoli dedicati nei loro team saranno meglio allineati al resto dell’azienda nei prossimi anni.
Cosa può fare un CISO oggi:
-Stabilire rapporti più solidi con questi team ed essere più coinvolti nei loro processi di sviluppo.
-Durante riunioni e conversazioni, orientare il discorso sui rischi e sul perché la sicurezza sia così importante nella distribuzione delle applicazioni.
-Definire e condividere i requisiti di sicurezza in modo tale che integrarli nel processo di sviluppo diventi un’azione naturale.
4 – Gestire la sicurezza aziendale e personale
In base alle previsioni di Gartner, il numero di dispositivi connessi dovrebbe superare i 20 miliardi entro il 2020, di conseguenza aumenteranno anche i rischi alla sicurezza. I CISO dovranno iniziare a pensare a come proteggere i dispositivi IoT aziendali e quelli personali che accedono alle loro reti. Spesso, i device IoT si connettono a laptop dell’azienda o a cellulari che hanno accesso legittimato alla rete. È ragionevole pensare che, se un dispositivo IoT personale viene compromesso, anche la rete aziendale potrebbe essere vulnerabile. I CISO innovativi dovranno pensare a come proteggere l’azienda dalle minacce provenienti da dispositivi personali e affidare la gestione alla persona più adatta del team.
Cosa può fare un CISO oggi:
-Partecipare al processo di acquisto dei dispositivi IoT aziendali.
-Ampliare la formazione sulla sicurezza per includere training sui dispositivi IoT personali e sugli effetti potenzialmente devastanti che potrebbero avere sull’azienda.
-Supportare i dipendenti nella definizione di dispositivi e applicazioni, come accesso a posizione e dati, per proteggere utenti e azienda.
5 – Allineamento con i team di prodotto e di sicurezza fisica
Questi team potrebbero non fare capo al CISO oggi, ma diventeranno sempre più connessi a seguito dell’aumento della creatività dei cybercriminali. I CISO dovrebbero pensare a come allinearsi al meglio con i responsabili di queste aree, per garantire una sicurezza robusta all’intero business.
Cosa può fare un CISO oggi:
-Stringere nuove relazioni e coinvolgere proattivamente i responsabili di prodotto e di sicurezza fisica.
-Evidenziare rischi alla sicurezza per i nuovi prodotti durante le prime fasi di sviluppo.
-Creare consigli direttivi o commissioni di revisione della sicurezza con i team di prodotto o di sicurezza fisica.
I rischi legati alla sicurezza coinvolgono tutte le aree di un’azienda moderna, l’importanza di CISO e dei team di sicurezza è in crescita. Indipendentemente dall’azienda in cui operano, i CISO dovranno sempre porsi la stessa domanda di base: quali sono le priorità per far sì che l’azienda sia sicura e di successo?