A cura di Roberto Obialero, CISO, Business Line Manager S2E e membro del comitato direttivo del Clusit
Il ruolo CISO (Chief Information Security Officer) non ha una precisa connotazione geografica, nel senso che può avere responsabilità globali oppure su perimetri costituiti da aree geografiche definite. Essendo un ruolo manageriale difficilmente trova applicazione nelle realtà medio piccole che costituiscono il tessuto economico nazionale; in questo caso è forse consigliabile un servizio di supporto esternalizzato al ruolo.
Qual è il ruolo del CISO in azienda e le sue competenze
Il ruolo ideale è in staff alla Direzione aziendale; il CISO deve necessariamente conoscere il business aziendale e deve utilizzare un linguaggio semplice e non tecnico nei rapporti che deve necessariamente intrattenere con gli stakeholder aziendali. Oltre a questo, deve avere ottime competenze di gestione in quanto in un team CISO ben organizzato possono coesistere parecchie anime tecniche sia interne che facenti capo ai fornitori esterni.
Naturalmente un backgroung tecnico, problem solving, gestione progetti ed aggiornamento continuo sulle minacce alla sicurezza che incombono sull’organizzazione sono di grande aiuto.
Un ruolo chiave
Il ruolo CISO prevede il presidio continuo su vari temi in ambito sicurezza delle informazioni e sulle tematiche di compliance normativa con l’obiettivo di mantenere sotto controllo il rischio derivante dalla inarrestabile digitalizzazione dei processi aziendali. Tra i suoi compiti la definizione di una strategia pluriennale in grado di garantire l’adozione di nuove iniziative tecnologiche nel rispetto delle best practices e delle normative di settore. Occorre poi trovare il giusto compromesso tra il controllo di un rischio ICT ritenuto accettabile e le attività di business che hanno una leva prioritaria. Naturalmente bisogna coordinare parecchie attività tecniche (ad esempio rilevamento e gestione di eventuali incidenti di sicurezza, gestione vulnerabilità, autorizzazioni accessi logici, sorveglianza sulla sicurezza garantita da fornitori e partner oltre al ruolo di consulenza e pianificazione della formazione sulle tematiche di sicurezza e compliance … il tutto da gestire con un budget che è generalmente una frazione di quello attribuito alla funzione ICT.
Le sfide principali che deve affrontare
Indubbiamente la principale è quella di migliorare la cultura di sicurezza informatica nell’organizzazione; prima che la cybersecurity divenisse un fenomeno trattato nei media generalisti veniva percepita solo come un costo aziendale e come un possibile blocco alla libertà di aggiungere al sistema informativo aziendale nuove tecnologie senza curarsi preventivamente se questo comporti un aumento della superficie d’attacco. Come dimostrato da diverse analisi economiche l’adozione dei principi “security by design” è un importante fattore di risparmio sui costi.
Infine, i tempi e risorse a disposizione della difesa degli asset aziendali sicuramente di gran lunga inferiori a quelli disponibili alle organizzazioni criminali che negli ultimi anni sono sempre più organizzate e sofisticate.
Come da punto precedente organizzazione e tecniche in possesso del cybercrime; poi sicuramente ha una importante rilevanza la poca consapevolezza degli utenti sui rischi che possono essere corsi sottovalutando le implicazioni delle azioni quotidiane senza curarsi delle informazioni che vengono maneggiate (secondo i principali report sulle cause di incidenti oltre l’80% è dovuto ad un intervento umano inconsapevole). Poi abbiamo l’enorme numero di vulnerabilità tecniche scoperte, con oltre 20.000 nuove nel solo 2022, che vengono introdotte involontariamente dai fornitori di tecnologia hardware e software per anticipare la concorrenza. A questo aggiungerei la poca propensione delle organizzazioni a “fare sistema”; per fortuna tale comportamento con la creazione delle entità CSIRT a livello nazionale e sovranazionale e le associazioni di settore CISO si sta gradualmente attenuando.
Come si può gestire in modo strategico la cybersecurity
Introducendo un processo continuo di miglioramento basato sull’esecuzione periodica di un’analisi dei rischi cybersecurity basata su dei framework standardizzati a livello internazionale utile ad ottenere una fotografia accurata dell’esistente e funzionale alla definizione di piano di trattamento. Di fondamentale importanza naturalmente è il coinvolgimento del management aziendale che deve allocare budget e risorse in linea con la criticità del business, le attività da svolgere e la propensione al rischio dell’organizzazione.
Tre punti chiave per una infrastruttura sicura
La conoscenza precisa degli asset, hardware, software mappati sulle informazioni critiche aziendali: potrà sembrare banale ma nella mia esperienza professionale sono veramente poche le organizzazioni che hanno piena coscienza di quella che nel settore chiamiamo “crown jewel” su cui concentrare un adeguato livello di protezione.
Poi una serie di sonde ubicate opportunamente in grado di identificare le deviazioni importanti sul traffico di rete rispetto al flusso ritenuto normale ed i comportamenti anomali.
Infine, la disponibilità di un sistema automatizzato in grado di analizzare e correlare in tempo pressochè reale la mole importante di informazioni raccolta dai sistemi di sicurezza, che ovviamente andranno analizzate dai servizi “umani” preposti all’attività di monitoraggio.
La collaborazione tra CIO e CISO
In alcune realtà il CISO si trova ancora in un ruolo subalterno al CIO, probabilmente associato all’antico retaggio in cui la sicurezza veniva vista come la semplice gestione operativa dei dispositivi firewall ed antivirus. La complessità operativa introdotta dalla digitalizzazione dei processi aziendali, dalle modalità di collaborazione ibride (sedi operative e smartworking) e dalla condivisione delle attività con i partner non giustificano più questa relazione.
Inoltre gli obiettivi e le competenze richieste ai due ruoli sono radicalmente diversi: mentre al CIO viene richiesto di presidiare in modo efficace le nuove tecnologie che possano migliorare l’efficacia dei processi aziendali garantendo pertanto in modo prevalente la disponibilità dei servizio al CISO viene richiesto di essere sempre aggiornati sulle nuove minacce che possono impattare negativamente sul business con particolare enfasi sulle tematiche di riservatezza ed integrità delle informazioni.
Quindi i due ruoli vanno interpretati secondo una chiave complementare che possa migliorare la risposta complessiva dell’organizzazione rispetto alle sfide complesse dei nostri tempi; naturalmente la sinergia tra i due ruoli va allargata anche agli altri stakeholder la cui attività possa in qualche modo sovrapporsi: mi riferisco al DPO competente sul trattamento dati personali oppure alla struttura dedicata ai temi di compliance.
La collaborazione con le altre funzioni aziendali
Come già visto in precedenza è fondamentale: con l’obiettivo di migliorare la cultura della sicurezza e dovendo probabilmente veicolare dei cambiamenti e fondamentale mantenere ottimi rapporti con tutte le funzioni aziendali; oltre a quelle già citate basti pensare alle funzioni legali sui temi compliance e di responsabilità in caso di incidenti di sicurezza, alla funzione HR sui temi della formazione e comportamenti virtuosi da adottare oppure afferenti le violazioni delle politiche di sicurezza aziendali oppure al marketing sui temi della comunicazione aziendale.
Requisiti di conformità
Essendo attribuito al CISO l’obiettivo di mantenere sempre al di sotto di una certa soglia il valore del rischio ICT e quindi di definire interventi correttivi è naturale il ruolo consulenziale nella valutazione di adeguatezza delle misure di carattere organizzativo e tecnologico, poste in essere dal soggetto titolare per garantire un corretto trattamento dei dati personali con la minimizzazione dei rischi nei confronti dei soggetti interessati; oltre a questo la competenza viene indubbiamente richiesta nella valutazione delle misure di sicurezza poste in essere dai componenti della catena di fornitura ICT, che hanno verosimilmente un ruolo importante nel processo di trattamento dei dati personali.
Come è cambiato il suo ruolo negli ultimi anni (se è cambiato)
Si è già parlato del fatto che sino ad una decina di anni fa le organizzazioni, tranne quelle a carattere multinazionale o ben strutturate, facevano volentieri a meno della figura del CISO. Da qualche anno a questa parte, anche in virtù delle notevoli perdite inflitte alle aziende dal crescente numero di attacchi informatici andati a buon fine, il ruolo CISO è tornato in auge presso le organizzazioni di media e grande dimensione; è stato inoltre dimostrato in diversi report di analisi sugli effetti economici dei cyber incident come la figura del CISO sia uno degli elementi che contribuisce in modo determinante ad abbattere i costi associati ad un possibile incidente di sicurezza informatica.
Riempi il Form sottostante per poter lasciare i tuoi commenti