In diverse aziende, il CISO (Chief Information Security Officer), cioè il responsabile della sicurezza delle informazioni, non riesce ad ottenere rispetto. E probabilmente non riuscirà ad ottenerlo finché la direzione generale e il consiglio di amministrazione continueranno a considerare la sicurezza come un rischio per il business o come un problema puramente tecnologico. Il CISO, per guadagnarsi il rispetto e diventare un agente di cambiamento della propria azienda, tuttavia, dovrà dapprima impegnarsi nel cambiare sé stesso.

Innanzitutto, è giunto il momento di fronteggiare e superare quella maledetta ed atavica percezione in base alla quale il ruolo del CISO è visto come un mero sottoinsieme della struttura IT aziendale, un percezione del tutto errata che può indurre i leader aziendali a non apprezzare a sufficienza gli aspetti di cui il CISO è responsabile. Un passo avanti verso il cambiamento di questa percezione sta nel cambiare ed evolvere la comunicazione, perché se hai bisogno di parlare con i leader aziendali devi usare parole che questi siano in grado di comprendere, in particolare l’aiuto che la funzione di sicurezza può garantire nel ridurre i rischi di business e nel tutelare gli interessi dell’azienda.

Dato che si tratta di cambiare una percezione ormai radicata, meglio iniziare da qualcosa di semplice. Nonostante tutte le notizie inerenti violazioni di dati di alto profilo e altri eclatanti attacchi alla sicurezza, molte aziende, in particolar modo le posizioni di leadership, aderiscono ancora con forza all’intima ma ingannatrice convinzione che “tanto a noi non accadrà mai”. La chiave della questione è che essi percepiscono il rischio come minimo o trascurabile e credono inconsciamente che sia nell’interesse dei media gonfiare le notizie con sensazionali attacchi di eccezionale frequenza, estensione e profondità.

In realtà le statistiche di settore suggeriscono che la stragrande maggioranza degli eventi di perdita e violazione dei dati non hanno quasi nulla a che fare con attaccanti esterni mossi da obiettivi di profitto. Infatti, come riportato in un recente report del Ponemon Institute in tema di protezione dei dati, “la maggior parte delle aziende hanno subìto perdite di dati sensibili e personali e, fra queste, le principali cause sono da ricercarsi all’interno, quindi in qualcosa che potrebbero potenzialmente controllare”. Questa constatazione, da sola, evidenzia il compito che molti CISO sono chiamati ad assolvere e contribuisce a diminuire il valore percepito in merito al ruolo della sicurezza in azienda.

Tuttavia, la percezione ai livelli più elevati del management aziendale è tuttora una realtà e, quando si arriva a questi livelli dell’azienda, la comunicazione deve sempre prevalere sulla percezione. Dopo tutto, il tempo medio di permanenza di un CISO è stimato in circa 22 mesi e, di solito, egli non ha mai l’ultima parola sul budget. Infatti, alcuni esponenti del consiglio di amministrazione tendono considerare il CISO come una semplice estensione della struttura IT che essi finanziano soprattutto perché migliora la produttività dei dipendenti e affronta i tempi morti che affliggono la redditività impattando sui risultati economici. Così, fin dal primo momento, la forza di negoziazione del CISO è limitata dall’errata percezione di coloro che dovrebbero ascoltarlo.

Così, come può un CISO mettersi nella condizione migliore per diventare un agente del cambiamento? Innanzitutto deve investire in una comunicazione aperta e onesta. A molti esponenti del top management aziendale l’information technology appare un ambito prettamente tecnico perché chi vi lavora adotta troppo spesso un linguaggio del tutto diverso da quello del business e che a loro risulta troppo ostico da interpretare. Quindi l’esigenza è quella di tradurre il gergo tecnico in termini di business che essi possano afferrare e trovare familiari.

Ciò non significa che il CISO non entri in questioni tecniche complesse, anzi, ma è essenziale che egli traduca il suo importante bagaglio di informazioni tecniche con concetti di business che il CEO e gli altri dirigenti siano in grado di comprendere appieno fino ad occuparsene e, soprattutto, preoccuparsene. Infatti, affinché la sicurezza delle informazioni accresca la sua importanza in azienda, il CISO deve essere in grado di rispondere a domande semplici, inquadrando perfettamente la posta in gioco, ad esempio:

• Siamo più sicuri oggi di quanto eravamo ieri?
• Qual è la più grande minaccia per il business della nostra azienda in considerazione del nostro attuale modo di lavorare e come dobbiamo muoverci in futuro?
• Come devo aspettarmi che sia un rischio adeguato?
• Qual è il migliore scenario possibile?
• Quanto* dovremmo stanziare nel budget per gestire efficacemente il rischio?

(*) Poiché difficilmente un CEO ha perfettamente chiaro se sta spendendo troppo o troppo poco per la sicurezza.

Fornire una risposta efficace a queste domande, proprio come un avvocato che conosce la risposta ad una domanda prima ancora che questa venga posta al suo assistito in un’udienza pubblica, consente, autorizza e impegna un amministratore delegato a comprendere meglio il rischio che incombe sull’azienda e a capire che il CISO, in quanto assegnatario del compito, non sta solo rinforzando la sicurezza interna ma sta anche gestendo i rischi esterni.

Come ha scritto Stuart King, ex CISO di Reed Exhibitions, in un recente articolo su Computerweekly.com, “il CISO, per ottenere il sostegno del consiglio di amministrazione, deve focalizzare il proprio ruolo sul rischio piuttosto che sulla sicurezza fine a sé stessa, e deve migliorare la propria capacità di comunicarne il valore: metriche migliori, casistiche di business più accurate e una maggiore capacità di cooperare con i più alti livelli aziendali. Solo allora al CISO verrà consentito lo stesso ruolo imprenditoriale che è garantito a molti CIO (Chief Information Officer) e il governo della sicurezza delle informazioni verrà efficacemente integrato nella governance aziendale”.

Come abbiamo visto, un CISO che ambisce a diventare un agente di cambiamento per la sua azienda non deve solo superare le percezioni errate, ma anche gestire le aspettative dove e quando esse sono correttamente applicate. È indispensabile sviluppare una capacità ben collaudata di comunicare con il CEO dato che, come questi si assume il rischio per il business nel complesso, così il CISO si assume tutti i rischi associati alle informazioni che il business ha la necessità di proteggere. Con questa impostazione e adottando un comune linguaggio di business, sarà certamente possibile conseguire una vittoria per l’intera azienda.

Fonte: Security Week – Mark Hatton

Ettore Guarnaccia