Molti chief security officer, pur essendo molto ben preparati sulle tecnologie e sulle dinamiche legate alla protezione di dati e sistemi, faticano a definire programmi di sicurezza informatica di successo.
I professionisti che ci riescono meglio sono quelli che hanno forti competenze tecniche ma anche ottime soft skill.
Che siate CISO, CSO, IT manager distribuiti su più task o, come viene chiamata la categoria dagli esperti, InfoSec pros (Information SECurity Professional), dovete capire che c’è tutta una strategia di relazione e di allineamento con le altre risorse aziendali da cui può dipendere l’efficiacia o l’inefficacia di una strategia di tutela e protezione dei dati aziendali (anche se tecnicamente la strategia sembra perfetta).
Quali sono le soft skill della sicurezza?
Gli esperti indicano 4 consigli importanti su come sviluppare delle competenze trasversali, fondamentali alla maturità professionale dei security officer.
1) Ottenere il supporto delle linee di comando
I professionisti di sicurezza devono avere il pieno sostegno dei loro dirigenti. Sono le linee di comando, infatti, che decidono e allocano i budget ma anche le risorse necessarie a definire un programma per la sicurezza informatica vincente.
A tal fine gli InfoSec dovrebbero stabilire una strategia di comunicazione mirata, organizzando incontri periodici e regolari con i loro quadri di comando. Sono queste, infatti, le occasioni perfette per spiegare chiaramente quali sono i rischi per l’azienda, in ordine di priorità, e in che modo i loro progetti siano finalizzati a mitigare i rischi e supportare gli obiettivi di business.
Questo tipo di riunioni consentirà di aumentare la fiducia dei quadri ma anche la fiducia nel team di sicurezza. Durante gli incontri, i professionisti della sicurezza dovrebbero evitare discussioni troppo tecniche, concentrandosi piuttosto sugli obiettivi di alto livello dei progetti di sicurezza per dimostrare chiaramente quali sono i benefici per l’organizzazione. I CISO dovrebbero anche condividere con il management i progetti che non stanno funzionando così come le loro scoperte delle vulnerabilità più gravi. Questo è importante per due motivi. A livello strategico per aumentare la condivisione delle informazioni e la consapevolezza del personale. A livello tattico perché i dirigenti non amano le sorprese.
2) Collaborare e ascoltare
Per implementare e mantenere controlli di sicurezza adeguati, i responsabili della sicurezza spesso hanno bisogno del sostegno e della collaborazione anche di altri team di lavoro come, ad esempio, i addetti alle operation o agli help desk.
Anche in questo caso, la qualità della relazione è fondamentale: i CISO devono incontrarsi con tutte le risorse che fanno parte di queste squadre di lavoro per conoscere i loro processi e i loro problemi di sicurezza. Il focus è soprattutto quello di ascoltare, trovando un terreno comune di confronto e di dialogo utile ad apprendere cosa non va e cosa può essere fatto. I team di help desk, infatti, sono una grandissima fonte di informazione su come gli utenti finali realmente usino sistemi informativi di un’organizzazione e interagiscano con i controlli di sicurezza.
Quando possibile, i professionisti della sicurezza informatica dovrebbero cercare di lavorare in collaborazione anche con altri gruppi della loro organizzazione. Ad esempio, se un test di penetrazione identifica delle vulnerabilità, invece di accusare un team piuttosto che un altro è molto meglio condividere le informazioni e il lavoro.
Ad esempio lavorare con il team del networking o con le squadre che gestiscono i sistemi informativi aiuta a mitigare adeguatamente le vulnerabilità. Incolpare qualcuno , infatti, non aiuta a ridurre i rischi.
3) Mantenere sempre allineata la sicurezza informatica
Sebbene tutti i CISO sappiano molto bene che la sicurezza è importante, il core business aziendale non è la sicurezza e questo rappresenta un problema. Un professionista della sicurezza, dunque, deve fare in modo che tutti i dipendenti comprendano quanto sia importante proteggere e tutelare le informazioni aziendali.
Questo significa, ad esempio, che bisogna fare in modo di consapevolizzare maggiormente i dipendenti e i collaboratori sul tema. Nel caso un CISO stia lavorando a mitigare gli attacchi di phishing, è importante che il senso del suo lavoro venga spiegato bene. Ci vuole un’attività di formazione e di informazione che spieghi ai dipendenti come il phishing possa essere utilizzato per depredare i conti personali e i conti bancari dei dipendenti.
Quando possibile, infatti, spiegare le minacce alla sicurezza usando termini semplici per illustrare come i controlli attuati riescano a proteggere i dipendenti e la loro organizzazione. Un CISO deve comprendere il fatto che molti dipendenti si risentiranno verso controlli di sicurezza eccessivamente onerosi: la loro percezione, infatti, è di ostacolo o di rallentamento rispetto al loro lavoro vero e per questo motivo tenteranno di aggirare i controlli.
Il profilo tecnico dei CISO spesso non li aiuta a capire l’impatto psicologico del loro lavoro e quindi a comprendere il punto di vista degli utenti non tecnici e le condizioni reali in cui lavorano. Anche in questo caso gli esperti suggeriscono di prevedere degli incontri periodici anche con gli utenti finali, in modo da poter programmare controlli di sicurezza appropriati e ragionevoli.
4) Scegliere le proprie battaglie
Ogni giorno i security officer si trovano di fronte a una lunga lista di minacce e vulnerabilità che potrebbero incidere la loro organizzazione. Un professionista della sicurezza competente, non solo capisce i rischi in ordine di priorità ma anche i requisiti normativi. Di conseguenza si impegna nel definire politiche di controllo adeguate.
Non bisogna farsi cogliere dall’emotività eccessiva, restando sempre in stato di allarme ma neppure ignorare le richieste degli utenti, anche perché questo rischia di farvi scavalcare: dipendenti e collaboratori, non trovando ascolto, si rivolgeranno ai vostri superiori.
È imparare a distinguere tra i controlli che si devono fare e quelli che sarebbe meglio fare. Quando è il momento di lavorare su un nuovo controllo di sicurezza o su un progetto, i professionisti della sicurezza informatica devono sostenere la loro posizione con fatti ben documentati e un’analisi costi/benefici.
L’importanza di sviluppare delle soft skills può infastidire o tediare i CISO ma, sempre più spesso, la sicurezza delle informazioni non è né bianca né nera, ma è fatta di tante sfumature di grigio. Gli esperti sottolineano come sia molto importante che i security officer capiscano il valore della condivisione e di una nuova capacità di relazione per il successo dei programmi di sicurezza.