Kirsty Paine, Field CTO & Strategic Advisor di Splunk, ci racconta l’evoluzione delle figura del CISO e le molteplici sfide per i manager della sicurezza e le imprese.
– Il Chief Information Security Officer si occupa di definire le strategie di sicurezza informatica ed è una figura sempre più importante all’interno delle imprese. Come si sta evolvendo nel tempo?
È ormai chiaro che, mentre un tempo lo si considerava come parte della funzione “IT/Security”, oggi i CISO si stanno evolvendo come leader: devono parlare la lingua del Consiglio di amministrazione ed essere strettamente allineati con le priorità del Cda. Tale ruolo è passato dalla crescita della sicurezza alla crescita sicura dell’azienda, per guidare le attività interdipartimentali che miglioreranno il livello di sicurezza e la resilienza complessiva di un’azienda.
Quanto sia riuscita o “completata” questa transizione a oggi è tutt’altra questione. Il numero di CISO che riportano direttamente al CEO è quasi raddoppiato, raggiungendo l’82% nel 2024 (47% nel 2023). Si tratta di una tendenza positiva che dovrebbe incoraggiare a formare legami più stretti e una migliore comunicazione tra la sicurezza e il CEO. Tuttavia, dal nostro report emerge chiaramente che i CISO a volte sopravvalutano le loro relazioni con il Consiglio di amministrazione in aree chiave. Ad esempio, mentre il 61% dei CISO ritiene di essere allineato con il Consiglio di amministrazione sugli obiettivi strategici di sicurezza, solo il 43% dei membri del Consiglio di amministrazione è d’accordo.
– Il CISO deve monitorare il panorama della sicurezza informatica e deve coordinarsi con il team security per sviluppare opportune linee d’azione per garantire la protezione dei dati. Come si concretizzano queste attività?
La protezione dei dati è solo un pezzo del puzzle. Innanzitutto, è necessario stabilire la propria posizione di rischio e la minaccia.
Quali dati sono più importanti da proteggere e perché? E a quale minaccia ti aspetti che ci si esponga? Da lì, è possibile elaborare i controlli più appropriati, tra cui assicurarsi che i dati siano ancora utilizzabili dalle persone e dall’azienda in un modo che non si incoraggino le pratiche di “shadow security”. Gli utenti troveranno soluzioni alternative se i controlli sono troppo difficili, e spesso è peggio che avere una pratica di sicurezza più ‘ragionevole’.
– Quanto sono importanti NIST e ISO, i due framework principali definiti nell’ambito della sicurezza informatica? Perché?
NIST e ISO sono framework molto importanti in quanto aiutano a fornire struttura e contesto all’esecuzione di una strategia di sicurezza informatica, a cui si aggiunge una data misura di standard comuni rispetto a come gli elementi di sicurezza informatica vengono affrontati e definiti.
Sebbene ISO27001 e NIST CSF siano basi utili per stabilire un livello minimo di sicurezza in un’organizzazione, le aziende devono avere un certo senso autocritico. Ovvero, essere completamente in regola con quanto richiesto dall’ISO27001 non necessariamente rende immuni da un attacco. Tuttavia, ciò garantisce che vengano prese in atto pratiche comuni di base per rendere il lavoro sicuramente più difficile ai malintenzionati.
Esistono anche molti standard più specifici e quindi più rilevanti per particolari tipi di organizzazioni. Ad esempio, un produttore di dispositivi IoT garantirà che i propri apparecchi siano conformi alla norma EN 303 645, piuttosto che concentrarsi su standard più generici.
È importante non rimanere bloccati in un vecchio stile di pensiero, in cui la sicurezza è visto solo come un problema informatico o che gli accreditamenti proteggeranno da tutto. Anche una vera cultura della sicurezza, la leadership e la responsabilità, integrate in azienda, sono fondamentali per il successo. Questo è il segreto della resilienza informatica, che è diverso dalla semplice sicurezza informatica.
– Sicurezza, produttività e agilità delle attività d’impresa. Come può il CISO coniugare tutti questi aspetti?
Molti hanno constatato che, durante il completamento di un’attività, si sono imbattuti in restrizioni o complesse politiche di sicurezza: dai molteplici requisiti di verifica delle password e autenticazione, a strumenti e siti Web bloccati. In passato il termine ‘sicurezza’ è spesso sembrato più un ostacolo per le aziende che un fattore abilitante. Questo è ciò che si pensava un tempo, e i CISO più smart sono quelli che pensano alla crescita del business, non alla crescita della sicurezza. Il CISO di oggi deve essere visto come un aiuto per le aziende a rimanere produttive mantenendo un’adeguata posizione di sicurezza.
Ad esempio, rendiamo l’autorizzazione multifattoriale (MFA) un processo più semplice: usando Touch ID, Face ID o Yubikey, invece di chiedere ai dipendenti di inserire ripetutamente un codice da un’app specifica ogni volta che desiderano autenticarsi. Risparmiare anche un solo minuto per dipendente, per ogni operazione, si traduce in un reale taglio dei costi per l’azienda, mantenendola comunque al sicuro. Pensiamo a quanti ricavi vengono salvati attraverso un triage rapido sui servizi critici, invece di parlare di ‘tempo medio di rilevamento’ (MTTD, Mean Time To Detect). Report come il Hidden Cost of Downtime, da noi realizzato, aiutano a quantificare il costo delle interruzioni attraverso nuove modalità per aiutare i CISO a parlare questo linguaggio aziendale.
– CISO Report Splunk, quali sono secondo lei le evidenze più rilevanti?
Come accennato in precedenza, un risultato particolarmente interessante del CISO Report di Splunk di quest’anno è che spesso sembra esserci una discrepanza tra gli atteggiamenti del Cda e quelli del CISO, suggerendo che i CISO non sono così ben integrati come pensano di essere.
Altro dato interessante suggerisce anche una divergenza tra il CISO e il Consiglio di amministrazione sulle questioni di conformità. Ad esempio, il 21% dei CISO è stato messo sotto pressione per non aver segnalato un problema di conformità. Inoltre, il 59% dei CISO ha dichiarato che diventerebbe un whistleblower se la propria azienda ignorasse i requisiti di conformità.
Un altro punto rilevante è che i CISO e i Cda sembrano avere opinioni diverse sui budget per la sicurezza. Mentre il 41% dei Consigli di amministrazione afferma che la propria organizzazione dispone di un budget adeguato per le iniziative di sicurezza informatica, solo il 29% dei CISO è concorde. E mentre il 64% dei Consigli di amministrazione afferma che “presentare la sicurezza come un fattore abilitante per il business è il modo migliore per aumentare il budget”, solo il 43% dei CISO è d’accordo.
Nel complesso, il rapporto suggerisce che, sebbene i CISO e il Consiglio di amministrazione interagiscano di più, c’è un chiaro divario nel modo in cui stabiliscono le priorità e misurano l’impatto della sicurezza informatica. Questa mancanza di allineamento strategico può creare interessi contrastanti e influire sul modo in cui le aziende finanziano i loro sforzi di sicurezza, sul modo in cui affrontano i problemi di conformità e persino sulla loro capacità di adottare l’intelligenza artificiale e guidare la crescita del business.
Tuttavia, come conclude il nostro rapporto, questo divario tra i CISO e il loro Cda è assolutamente superabile e alcuni leader lo stanno già sperimentando. Riunire questi gruppi richiede, da un lato, una preparazione dei Consigli di amministrazione sui dettagli della sicurezza informatica e, dall’altro, la comprensione per i CISO del linguaggio e delle esigenze del business, non solo in termini di sicurezza.
