Mike Convertino, Chief Information Security Office di F5 Networks, ci illustra il punto di vista del CISO, una prospettiva sulla security da parte della prima linea.
Bilanciare le risorse disponibili con sfide alla sicurezza in continuo aumento oggi è uno dei maggiori problemi per i leader aziendali e, nonostante ci siano sempre più Chief Information Security Officer (CISO) sulla scena, rimane diffusa la preoccupazione che la sicurezza informatica non abbia ancora conquistato un vero e proprio focus strategico.
Una ricerca recente commissionata da F5 al Ponemon Institute ha rivelato che sebbene i livelli di consapevolezza stiano crescendo, con il 60% dei CISO che attualmente considera la cyber-security una priorità di business, esista ancora un ampio margine di miglioramento. Un numero consistente di aziende, infatti, non sta ricercando o coinvolgendo esperti di sicurezza IoT (41%) o acquistando e implementando apposite tecnologie di security per gestire i nuovi potenziali rischi (32%).
Oggi anche trovare i giusti talenti rappresenta un ostacolo consistente, come testimonia il 56% delle aziende che fatica a identificare e assumere candidati qualificati. Un dato allarmante, che vede circa la metà dei CISO intervistati reputare il proprio personale inadeguato (42%).
È evidente che i livelli generali di preparazione alla lotta contro il cyber-crimine continuano a non essere sufficienti. In sintesi, il CISO starà pure acquistando una voce, ma deve alzarla di più per essere ascoltato!
Le nuove frontiere degli hacker
Una delle preoccupazioni chiave, sottolineate dalla ricerca del Ponemon Institute, è la mancanza di azione e iniziativa da parte dei vertici aziendali. Infatti, anche se l’80% dei CISO intervistati ritiene che l’Internet of Things (IoT) comporterà ‘importanti’ o ‘diversi” cambiamenti alle pratiche di security, il 41% dichiara che la propria azienda non sta assumendo gli esperti di sicurezza IoT necessari ad affrontare il problema.
L’arsenale di un hacker è in costante evoluzione, con attacchi sempre più mirati, automatizzati e sofisticati. DDoS, esfiltrazione dei dati, sottrazione delle credenziali, social engineering e altro, comportano che le difese debbano essere modellate di conseguenza; stare al passo con il mutamento del panorama delle minacce dovrebbe essere una priorità per ogni azienda che non voglia subire delle conseguenze.
Affrontare la mancanza di competenze
La carenza di competenze è un’altra bomba a orologeria per il nostro settore; non si può semplicemente ignorarla. Indipendentemente dall’ambito nel quale opera l’azienda, abbiamo molte possibilità per essere più proattivi e promuovere le carriere in ambito cyber-security. Per esempio, dovremmo incoraggiare le donne a interessarsi di più alla security per alimentare l’incremento delle competenze.
Anche l’istruzione scolastica ha una grossa responsabilità; la promozione delle materie STEM (science, technology, engineering and math) nelle scuole è al centro dell’attenzione, ma io direi che manca ancora una lettera importante: se aggiungessimo una ‘S’ per ‘Sicurezza’ al mix saremmo meglio preparati a eliminare la carenza futura di competenze. Per questo motivo noi CISO dobbiamo essere i principali sostenitori e sponsor sia sul mercato sia nel mondo universitario: non possiamo più permetterci di stare solo a guardare.
Il gap comunicativo
È evidente come, anche se il ruolo del CISO sta crescendo per importanza, manchi ancora qualcosa dal punto di vista comunicativo. I CISO dovrebbero riuscire a influenzare di più il Board aziendale e non essere ridotti a una risorsa passiva. Se lo facessero, sarebbero certamente più efficaci nel rimodellare la cultura stessa dell’azienda.
Una delle scoperte più preoccupanti evidenziata dalla ricerca del Ponemon Institute è che solo il 19% dei CISO ha riferito tutti i data breach al proprio Consiglio di Amministrazione. Inoltre, il 46% ha ammesso che la comunicazione a livello di CEO e Consiglio di Amministrazione avviene solo in caso di data breach e cyber attacchi che comportano danni materiali evidenti. Questo è un disallineamento serio che va affrontato immediatamente – idealmente dando priorità alle aree cruciali della sicurezza applicativa e della gestione dei dati.
Sfortunatamente, questa disconnessione è anche sintomatica della relazione tra la sicurezza e gli altri dipartimenti. Il 58% delle aziende intervistate considera la sicurezza informatica una funzione isolata, e questo evidenzia come nella maggior parte dei casi manchi una strategia di sicurezza che copra l’intera azienda. Solo il 22% dichiara che la sicurezza è integrata con gli altri team aziendali. Senza una strategia di sicurezza informatica che copra tutta l’azienda, le organizzazioni potrebbero trovarsi impreparate ed esposte ai cyber-attacchi, con inefficienze che si diffonderanno in tutta l’organizzazione a causa dell’adozione di pratiche scorrette, che dovrebbero essere abbandonate.
L’equilibrio del potere
I CISO oggi devono fare un passo avanti e diventare più influenti raggiungendo gli executive ai livelli più alti e ottenendo il supporto del Board di direzione.
Ritengo, infatti, che l’equilibrio del potere si stia spostando e, come una bilancia a due bracci, debba ponderare il peso delle aspettative del team esecutivo e del board e le priorità di business.
Se la bilancia pende dalla parte sbagliata si potrebbero sprecare delle risorse, e le conseguenze potrebbero tradursi in ulteriori problemi ed episodi di cyber-crimine. In conclusione, il valore di ogni organizzazione sta nel modo in cui previene e risponde al rischio e, ora più che mai, i CISO devono svolgere un ruolo importante in questo contesto.