La sicurezza aziendale è un tema difficile e il ruolo di responsabile della sicurezza sta diventando ancora più arduo. Ultimamente si è potuto notare un fenomeno particolare, che può avere una certa relazione con le difficoltà che contraddistinguono i ruoli di responsabilità sulla sicurezza aziendale: diversi professionisti della sicurezza hanno scelto di abbandonare il proprio ruolo per inseguire opportunità commerciali o di consulenza. Potrebbe essere una semplice coincidenza, ma se guardiamo indietro al recente passato, sempre più “smart people” scelgono di lasciare il proprio ruolo sulla sicurezza in azienda.
C’è sicuramente da riflettere su quanto sta accadendo e perché, – forse è semplicemente parte del ciclo naturale degli eventi – ma è possibile che tutto ciò nasconda un segnale. Il rumore di fondo sulla “cybersecurity” diviene sempre più assordante, anche sui media mainstream, penetrando ogni piega della nostra coscienza collettiva, ed è sempre più raro che la sicurezza delle informazioni non sia coinvolta nei vari eventi. A fronte di questa evidenza, forse è vero che le opportunità nel settore commerciale o della consulenza sono di gran lunga superiori a quelle offerte dalle aziende sulla sicurezza. Questo potrebbe essere giustificato da incentivi economici, ma non è plausibile che tutti coloro che hanno scelto di abbandonare il ruolo siano stati spinti dai soldi, ci deve essere qualche altro motivo.
La causa potrebbe risiedere nell’estrema difficoltà ad avere successo in azienda come responsabile della sicurezza?
Diamo un’occhiata ai fattori in gioco. Innanzitutto, ovviamente, vi è il problema della definizione stessa di successo. Sono molte le aziende, grandi e piccole, a coltivare la delirante visione che i loro specialisti di sicurezza possano impedire attacchi e violazioni. Un’aspettativa assolutamente irreale nel clima attuale. Se la direzione aziendale, alla quale il CISO o il responsabile della sicurezza riportano, non è in grado di comprendere adeguatamente quale sia una corretta definizione di “successo” per un CISO, a che serve intraprendere la corsa verso un traguardo indefinito? Sarebbe pura follia! Più precisamente, se il fallimento (sotto forma di attacchi e violazioni) è semplice da identificare ed è pressoché certo che prima o poi si verifichi, mentre il concetto di successo non è per niente chiaro, quante possono essere le probabilità di successo? Pressoché nulle.
Se anche si riuscisse ad oltrepassare la definizione di successo e giungere a concordare qualcosa di realizzabile, restano i problemi legati alla cultura e al bilancio. Sembra irreale, ma diverse aziende non potranno adottare sane ed affidabili pratiche di sicurezza finché non saranno in grado di conseguire un congruo numero di prepensionamenti e licenziamenti. I trend, infatti, dimostrano che il giorno in cui molti paradigmi di sicurezza verranno adottati su vasta scala nelle aziende, gran parte dei professionisti della sicurezza di oggi si sarà già estinto da un pezzo.
Tutte quelle persone, in azienda, che lavoravano già prima che i computer diventassero un aspetto quotidiano della vita lavorativa, e prima che termini come “hacker” e “cyber” divenissero di pubblico dominio, molto probabilmente non capiranno del tutto o non riusciranno ad afferrare mentalmente la criticità e l’importanza di ciò che gli chiederete di fare. Di conseguenza, sarà praticamente indispensabile attendere che lascino l’azienda prima che la situazione migliori. Non fraintendete, non è che le ultime generazioni, cresciute con Facebook e Twitter, abbiano una migliore cognizione della sicurezza, ma quantomeno si spera che comprendano meglio le moderne tecnologie.
L’altro grande ostacolo è il bilancio, una questione da sempre vitale per le aziende. Quando le cose vanno bene è semplice avere budget a disposizione, ma quando le cose vanno male e c’è veramente bisogno di ogni centesimo, molto probabilmente ci verrà chiesto di tagliare. Il problema, quando si tratta di sicurezza, gestione dei rischi o compliance, è che risulta pressoché impossibile incorrere in elementi inutili, a meno di non aver artificialmente gonfiato il budget.
Infine, gli avversari cibernetici riescono a prenderci a calci nel sedere come e quando vogliono: hanno giocattoli migliori, hanno più tempo a disposizione e sono spesso appositamente attrezzati per avere successo. Mentre noi stiamo combattendo con l’implementazione di un web application scanner o la configurazione di un firewall, il nostro avversario è finanziariamente ben sovvenzionato e dispone di un’intera filiera di gente tosta a sua disposizione.
Scherzi a parte, siamo veramente nei guai.
Non c’è alcuna possibilità di assumere il ruolo di CISO, in un’azienda che abbia un profilo pubblico, senza riportare contusioni o vivere una di quelle lunghe, lunghissime notti in cui vediamo i sorci verdi. Allora, forse, lasciare il ruolo è proprio la cosa giusta da fare in questo momento, perché, ad essere onesti, giocare in difesa è veramente difficile. Oppure, molto semplicemente, i ruoli commerciali e di consulenza rendono molto, molto meglio, offrono maggiori sfide e operano in un clima nel quale, quantomeno, è tuttora “possibile” avere successo.
Personalmente, mi fa un certo effetto pensare a tutti quei commerciali e consulenti che viaggiano ancora oggi in Executive e Business Class o sull’ultimo modello di Mercedes, Audi e BMW, con la carta di credito aziendale in tasca, mentre io guardo il panorama sfuggire lentamente dal finestrino di seconda classe di un treno regionale o di un tram.
Liberamente tratto da: Are Security Professionals Exiting the Enterprise? (Infosec Island)
Ettore Guarnaccia