I Chief Information Security Officer (CISO), ovvero i responsabili della sicurezza delle informazioni aziendali, sono oggi chiamati a costruire una cultura di consapevolezza dei rischi attraverso un programma di security awareness che sia in grado di permeare ogni livello dell’azienda.
I responsabili della sicurezza si sono evoluti negli ultimi anni, passando sempre più da guru della sicurezza tecnologica a Chief Information Security Officer (CISO) con un posto nella sala del consiglio. Il loro profilo professionale, la loro importanza e la loro influenza sono aumentati con l’aumentare delle intrusioni di alto profilo e degli attacchi mirati e persistenti. La loro preparazione in ambito legale e di business è letteralmente fiorita da quando essi si sono trasformati da specialisti puramente tecnici a veri e propri manager esperti di governance, rischi e compliance.
Secondo il report IBM intitolato “Finding a strategic voice: Insights from the 2012 IBM CISO Assessment”, questa nuova generazione di information security officer è suddivisa in tre categorie: influencer, protector e responder.
Le tre categorie di CISO
Gli influencer sono quei responsabili della sicurezza delle informazioni che vedono la propria struttura di sicurezza come un team maturo, preparato e in crescita, hanno autorità, una certa influenza sul business e, soprattutto, hanno voce in capitolo sulle strategie aziendali. Un protector, invece, comprende che la sicurezza dovrebbe essere una priorità all’interno dell’azienda, ma non ha quell’intuito e quella perspicacia di giudizio né la necessaria autorità sul budget per poter modificare integralmente l’approccio alla sicurezza della propria azienda. Un responder, infine, è prettamente focalizzato sulla risposta tattica e non dispone dell’influenza e delle risorse necessarie per indurre un cambiamento significativo.
Nelle 168 aziende intervistate, un quarto (25%) dei CISO opera come influencer, circa la metà (47%) sono protector e il restante quarto (28%) opera per lo più come responder a fronte di incidenti di sicurezza. Solo un quarto dei responsabili della sicurezza ritengono che la loro azienda sia sufficientemente matura e che la direzione aziendale abbia fiducia nella loro abilità di prevenire e contenere attacchi e intrusioni.
Tornando in tema, è chiaro che i responsabili della sicurezza sono cresciuti in maniera significativa, ma hanno bisogno di progredire in maniera molto più rapida verso il ruolo di influencer. Come possono essi ottenere un posto attorno al tavolo ogni volta che vengono creati e avviati nuovi progetti e, ancora più importante, come possono arrivare il prima possibile a quel tavolo per fare in modo che i requisiti di sicurezza vengano considerati con sufficiente anticipo e non stoltamente rinviati ad un secondo momento?
La conquista di un posto al sole
Il valore, la criticità e il volume delle informazioni stanno crescendo sempre più in moltissime aziende, mentre le minacce alle informazioni stanno diventando sempre più sofisticate, implacabili e con un impatto che diventa ogni giorno più oneroso.
A causa di una cultura generale troppo arretrata, che non tiene nella dovuta considerazione i cambiamenti e l’evoluzione degli scenari di riferimento, l’assenza di coinvolgimento della sicurezza da parte delle strutture di sviluppo è ormai storica e deriva da una carenza di comprensione delle implicazioni di sicurezza e di conformità, dall’errata prospettiva che gli esperti di sicurezza tendano a bloccare i progetti a causa dei rischi connessi e dalla vetusta percezione che la sicurezza causi ritardi significativi alle fasi di progetto. Tutto ciò ha provocato una generale tensione da parte delle strutture applicative e di rete nei confronti delle strutture di sicurezza, ma oggi, con un nuovo scenario di minacce e il crescente numero di partner, fornitori e clienti che hanno accesso alla rete aziendale, ignorare la sicurezza delle informazioni può causare seri danni alle aziende.
Al fine di consentire alla sicurezza di sedersi a quel tavolo è fondamentale prendere in seria considerazione dei cambiamenti organizzativi nella definizione delle strategie di sicurezza. È fondamentale formare un cultura del “Sì” nella quale la sicurezza agevoli e non ostacoli l’azienda. In qualità di CISO, a sostegno del vostro incarico, è fondamentale adottare soluzioni di sicurezza in grado di supportare le vostre iniziative, di applicare le politiche di business e di abilitarne un’applicazione granulare, a livello di singolo utente o contenuto. Ecco quindi tre strategie-chiave di sicurezza delle informazioni per riuscire ad ottenere quel posto al sole, ovvero attorno ai tavoli che contano.
Allineare la sicurezza con gli obiettivi di business
L’obiettivo più importante di qualsiasi strategia di sicurezza è assicurare che essa sia perfettamente calata nel contesto degli obiettivi strategici di business dell’azienda. La trasformazione di sicurezza deve allinearsi alla disciplina pragmatica quotidiana, ovvero le politiche di sicurezza devono risultare abilitanti per le nuove iniziative di business e devono supportare quelle già in corso. Prendiamo come esempio un’azienda che intende potenziare la mobilità e introdurre la consumerizzazione: il CEO intende aumentare la produttività consentendo ai dipendenti l’accesso ovunque e in qualsiasi momento alla rete aziendale mediante una varietà di dispositivi mobili differenti. Questo comporta che l’accesso avvenga anche mediante dispositivi personali introdotti dai dipendenti più giovani e all’avanguardia che vogliono adottare le tecnologie più recenti ed avanzate che li aiutino a svolgere meglio il loro lavoro, ma anche che assecondino la loro personalità. Il compito del CISO è quello di implementare la sicurezza senza ostacolare o compromettere i vantaggi derivanti dalla strategia di mobilità.
La sicurezza, se correttamente disegnata, permette tutto questo. In quale modo puoi limitare l’accesso ai dati contabili solo per gli addetti alla contabilità se non adottando le più recenti soluzioni di sicurezza, utilizzando posti di lavoro correttamente amministrati, con i più recenti aggiornamenti di sistema operativo e liberi da virus? Le soluzioni di sicurezza di ultima generazione consentono tutto ciò senza indurre eccessiva complessità operativa. Una strategia di sicurezza per la mobilità aziendale si lega anche ad altre iniziative, ad esempio può spingere il business ad accettare la segmentazione all’interno del centro elaborazione dati per isolare le applicazioni più vulnerabili e ad alto rischio dagli altri ambienti. Oppure può agevolare il ricorso alla virtualizzazione sicura per garantire che i servizi applicativi vengano forniti con la massima velocità, affidabilità e sicurezza fino ai dispositivi mobili. Lo sviluppo di una strategia di sicurezza per la mobilità, infine, può spostare l’attenzione dell’azienda su una strategia di sicurezza globale.
Tradurre la sicurezza in termini comprensibili agli altri dirigenti aziendali
Esiste una vera e propria tradizione sulle strutture di sicurezza che parlano una lingua diversa dalle altre strutture aziendali, ad esempio i reparti di sviluppo applicativo e di gestione della rete. Una delle competenze più strategiche dalla quale un responsabile della sicurezza non può prescindere è la capacità di tradurre i concetti di sicurezza delle informazioni nel linguaggio più affine al rischio di business e in termini di ritorno finanziario degli investimenti (ROI e ROSI). Se gli addetti alla sicurezza si eccitano guardando i dati sulla frequenza e le tipologie di attacco all’azienda, gli stessi dati non risultano molto attraenti per i membri del consiglio di amministrazione. A quel livello, infatti, l’abilità di illustrare il ritorno finanziario delle iniziative di sicurezza è fondamentale per garantire la continuità di supporto della direzione aziendale verso gli investimenti di sicurezza, inclusa la traduzione dei processi di sicurezza in qualcosa che risulti perfettamente comprensibile ai responsabili di business in termini di rischio per le applicazioni, gli utenti, le informazioni e il business.
Un esempio è costituito dalle iniziative di utilizzo sicuro delle applicazioni: una volta, molte applicazioni, ad esempio i social network, erano utilizzate prettamente in ambito personale, mentre oggi vengono sempre più utilizzate dal business per raggiungere clienti, partner e fornitori in maniera più efficiente. Le soluzioni di sicurezza di ultima generazione consentono l’utilizzo di precise tipologie di applicazioni, o di specifiche funzionalità di queste, per determinati utenti. Consentire l’utilizzo di Facebook e Twitter alle strutture di marketing dell’azienda, pur bloccando giochi e altri plugin, oltre a malware e altre minacce in genere, può fornire il giusto equilibrio fra la sicurezza e l’abilitazione del business, e può tradursi anche in una maggiore funzionalità e soddisfazione per i clienti, con la compiacenza del consiglio di amministrazione. Allo stesso modo le politiche sviluppate sono più facilmente illustrabili alla direzione rispetto ai complicati concetti della sicurezza.
I medesimi criteri di abilitazione sicura delle applicazioni possono essere estesi alla limitazione della banda trasmissiva utilizzata dalle applicazioni non funzionali al business e all’introduzione di funzionalità di quality-of-service (QoS) a beneficio delle applicazioni critiche per il business come il VoIP. Recenti studi di settore dimostrano come le applicazioni affamate di banda siano notevolmente aumentate in ambito aziendale e stanno sempre più sottraendo banda utile ad altri importanti ambiti. La limitazione dell’utilizzo della banda da parte delle applicazioni estranee al business può anch’essa tradursi in un risparmio degli investimenti in banda trasmissiva che risulterà molto più comprensibile e apprezzabile per la direzione aziendale.
La sicurezza deve essere agile e proattiva
La sicurezza deve evolvere ed adattarsi parallelamente al business: è virtualmente impossibile giustificare un grosso investimento di sicurezza senza avere anche la flessibilità per gestire questo investimento a fronte di un cambiamento nelle dinamiche di business. Oggi, ad esempio, un’azienda può essere preoccupata dalle minacce interne ma, fra sei mesi, quando essa potrebbe decidere di aprire l’accesso ai propri partner d’affari, le soluzioni di sicurezza dovranno risultare flessibili per integrare le modifiche apportate all’architettura di rete e sufficientemente adattabili per indirizzare le nuove minacce esterne senza obbligare l’azienda ad una revisione completa dell’architettura.
Un approccio proattivo alla sicurezza è altrettanto importante. All’inizio, un approccio di tipo reattivo può sembrare meno dispendioso in termini di tempo e risorse, ma inseguire reattivamente le più recenti minacce ed infezioni può alla fine condurre in un circolo vizioso di continue emergenze. Un’attenta pianificazione e una valutazione dei possibili scenari sono in grado di fornire una strategia chiara, attuabile, ripetibile e riportabile per fronteggiare le minacce alla sicurezza aziendale, sia oggi che in futuro. La pianificazione, in particolare, permette di anticipare eventuali mutamenti dei requisiti di business o l’avvio di futuri progetti che richiedano soluzioni di sicurezza, oltre a prevenire o ad alleviare in partenza eventuali conflitti politici interfunzionali.
I requisiti-chiave delle soluzioni di sicurezza
La nuova generazione dei CISO di successo, quindi, è proattiva, dinamica, preparata e particolarmente appassionata nel disegno di soluzioni di sicurezza che siano:
- Abilitanti per le strategie e le politiche di business, ovvero soluzioni che non si limitano a consentire o negare qualcosa ma che forniscono un controllo granulare a livello di singola applicazione, utente o dato per supportare al meglio le strategie e le politiche di business più complesse e sofisticate, pur tenendo alla larga minacce, intrusioni e perdite di dati.
- Agili e flessibili, perché, qualora la security posture dell’azienda dovesse mutare nei mesi a venire oppure l’architettura della rete aziendale dovesse cambiare, l’aspettativa dell’azienda è che la sicurezza sia in grado di adattarsi, supportando l’evoluzione dei requisiti di telecomunicazione e introducendo nuove funzionalità di sicurezza per affrontare adeguatamente le nuove minacce. L’introduzione di un ulteriore dispositivo di sicurezza per affrontare ogni nuovo problema non solo è una soluzione costosa, ma è anche inefficace perché pur disponendo di batterie di dispositivi di sicurezza si può non essere in grado di fronteggiare il panorama di minacce moderne che utilizzano vettori multipli e coordinati.
- Facilmente gestibili, perché se alla fine della giornata, indipendentemente da quanto fantastica sia la tua soluzione di sicurezza, non si è in grado di decifrare l’intricata complessità della piattaforma, oppure ci vuole uno scienziato per definire e attuare le politiche di sicurezza, allora la soluzione è inutile. Soluzioni di sicurezza con un’agevole gestione prevedono cruscotti e report che consentano di evitare di spendere tempo prezioso per estrarre con fatica e correlare manualmente le informazioni di sicurezza, tempo che verrebbe inevitabilmente sottratto agli obiettivi strategici.
In sintesi, i CISO più efficaci non possono essere esperti solo in materia di sicurezza delle informazioni, ma devono possedere il know-how di business necessario alla costruzione di una cultura di consapevolezza dei rischi, nella quale la security awareness arrivi a permeare qualsiasi livello dell’azienda, e devono essere esperti nel disegnare la sicurezza affinché supporti più efficacemente il business. Solo così un CISO potrà aspirare al ruolo di influencer e ottenere finalmente un posto al sole.
Tratto liberamente da: “Getting the CISO a Seat” – Security Week
Ettore Guarnaccia