Nel lungo cammino professionale di un CISO, il primo trimestre dell’anno è quello in cui ci si sofferma per stilare l’agenda delle priorità. Questo perché la governance della sicurezza è parte integrante di una buona salute fisica e mentale.
Migliorare la governance per il 2015 significa ragionare di strategia, definendo gli orizzonti di azione e i margini di rischio per stabilire azioni tempestive e proattive, che possono contrastare le minacce e minimizzare i danni.
I dati di un’azienda sono come i gioielli della corona e come tali, vanno curati e protetti al meglio delle proprie capacità e delle proprie risorse. Gli esperti, infatti, ricordano che con la sicurezza bisogna essere realisti: le minacce crescono di ora in ora, i cybercirminali sono sempre più abili e la distrazione o la malizia di dipendenti e collaboratori a volte concorre a indebolire anche le strategie più raffinate. Dunque ecco alcuni suggerimenti utili.
I confini sempre più liquidi della sicurezza
Un’adeguata sicurezza è fondamentale per la conservazione e la tutela del patrimonio IP, dei segreti commerciali e di tutte le informazioni contenute nei data base di una società. La complessità della sicurezza è in aumento, anche perché le infrastrutture aziendali con la mobility sono diventate liquide al punto da rendere difficile un perimetro di contenimento. È dunque necessario cambiare approcci e strategie, utilizzando una serie di tecnologie dedicate
Negli ultimi 12 mesi le cronache hanno raccontato violazioni alla sicurezza aziendale che hanno fatto scalpore, dando evidenza empirica al fatto che ancora troppe aziende sottovalutano la questione della protezione e della salvaguardia del proprio patrimonio informativo. In molti di questi incidenti come, ad esempio, le violazioni dei dati del distributore Target o quelli a Sony Pictures Entertainment, le cause sono legate a un’errore a livello di gestione aziendale: gli analisti, infatti, hanno rilevato significative carenze nella sicurezza e omissioni nell’intercettare segnalazioni e avvertimenti.
Impegnarsi a comunicare meglio con la direzione
In questi anni, molti studi di ricercatori super partes come, ad esempio, il gruppo della Carnegie Mellon University, hanno portato tutte alle stesse conclusioni: i consigli di amministrazione non stanno affrontando la gestione del rischio informatico come dovrebbero. Secondo le più recenti ricerche, anche se il 91% degli intervistati indica come la gestione del rischio sia attivamente affrontata dai quadri aziendali, a guardare i dati di dettaglio questa attenzione scende di molto: il 29% sulla parte operativa dell’IT, un 33% sull’area relativa alla gestione informatica e alla sicurezza delle informazioni e un 13% dedito alla gestione dei fornitori.
Le percentuali indicano chiaramente come la direzione aziendale non consideri prioritaria la sicurezza. I CISO dovrebbero dunque impegnarsi per sensiiblizzare maggiormente la cultura manageriale agli aspetti di rischio legati a una malagestione ICT.
Secondo un rapporto 2014 dal Ponemon Institute, solo il 20% degli esperti IT che hanno partecipato allo studio ha dichiarato di avere regolari comunicazioni con la leadership di alto livello. CEO, CFO e CISO dovrebbero invece sedersi insieme al consiglio di amministrazione per condividere una maggiore consapevolezza sui rischi e l’impatto economico di questi rischi. Gli investimenti vanno percepiti come una capitalizzazione non come un esborso.
Impegnarsi a migliorare la comunicazione con tutta l’azienda
Il CISO sa che una strategia non è sufficiente: ci vuole anche tattica. Nel caso della sicurezza significa migliorare le contromisure per prepararsi a gestire e risolvere un evento malevolo o un incidente.
Molte aziende, infatti, non hanno un piano di risposta appropriato che possa offrire un supporto proattivo a una violazione della sicurezza. Un recente rapporto ha rilevato che oltre il 75% delle aziende intervistate non ha un piano di risposta agli incidenti. Un’altra indagine ha mostrato che solo la metà degli intervistati aveva un piano di risposta agli incidenti effettivamente testato e validato.
Eppure esistono diverse normative nazionali e internazionali che richiedono piani di risposta agli incidenti, a partire dall’HIPAA / HITECH Act o dalla legge Gramm-Leach-Bliley. Esistono anche degli standard come, ad esempio, il PCI DSS. I piani di risposta agli incidenti fanno parte delle best practice di gestione del rischio: oltre ad aiutare le aziende a intercettare e a rispondere rapidamente a una violazione alla sicurezza, sono essenziali per garantire una corretta comunicazione tra tutte le parti coinvolte.
Se la vostra azienda non dispone di un piano di risposta, è necessario ragionare su come approntarne uno e anche in fretta. A rischio, infatti, non ci sono solo le informazioni e l’operatvità degli utenti, dei partner o dei collaboratori ma anche un fatti di reputazione aziendale.
Se la vostra azienda ne ha uno, invece, è importante continare a verificarlo e testarlo perché le minacce sono dinamiche e non esiste un punto d’arrivo alla sicurezza.
“Nel 2015 ci sono state truffe comprovate – ha spiegato Ralf Benzmuller, Head of G Data Security Labs -, come email manipolate o lo sfruttamento di vulnerabilità che continueranno a godere di grande popolarità. I Trojan bancari, ad esempio, hanno raggiunto il loro livelo più alto nel 2014 e continueranno ad aumentare anche per quest’anno. Il malware attacca sia i dispositivi mobili sia i pc”.
Gli esperti di sicurezza G Data hanno contato ben 751.136 nuove specie di malware per Android solo nei primi mesi dell’anno.
Protezione dei dati in zona Ue
Da un po’ di tempo a questa parte l’Unione Europea sta lavorando per apportare nuove modifiche alle normative riguardanti la protezione dei dati al fine di adottare un regolamento generale (General Data Protection Regulation). Il 2015 dovrebbe essere un anno chiave nella messa a punto del documento. In base a quello che già sappiamo del progetto, il documento finale dovrebbe aumentare in modo significativo i requisiti di conformità delle aziende.
Al di fuori dell’Unione Europea, diverse nazioni stanno adottando nuove leggi sulla protezione dei dati, o apportando modifiche a quelle esistenti. Ad esempio, la legge sulla protezione dei dati recentemente adottata Messico contiene un riferimento alla reportistica legata alle violazione della sicurezza, con requisiti simili a quelli in vigore negli Stati Uniti. Come CISO, se la vostra azienda ha stabilimenti opera in queste aree del mondo, questa è un’informazione che dovete tenere presente.