Oggi il ruolo del Chief Information Security Officer (CISO) ha un respiro incredibilmente ampio nella gestione della sicurezza informatica aziendale: è responsabile della definizione della strategia di protezione degli asset aziendali, dell’implementazione, gestione e mantenimento di attività e programmi di governance della sicurezza, garantendo che i beni e le tecnologie informatiche siano adeguatamente protette.
A queste responsabilità, che basterebbero da sole ad esercitare una grande pressione sul CISO, se ne aggiungono altre sempre in capo allo stesso ruolo, aggravando ulteriormente le tensioni giornaliere. Nello specifico si parla di:
- gestione del team per la risposta alle emergenze informatiche (CERT)
- coordinamento nelle attività di risposta agli incidenti (CIRT)
- gestione delle identità e degli accessi
- coordinamento operazioni di security (SecOps)
- valutazione del perimetro digitale e della difesa interna
- piani di disaster recovery e business continuity aziendale
- gestione della privacy per le informazioni e controlli tecnologici per la compliance
- indagini informatiche e di forense digitale
L’elenco potrebbe continuare e non c’è da stupirsi che i CISO si sentano letteralmente sopraffatti, pur considerando che ciascuna delle attività appena citate rappresenta un’area discretamente ampia di per sé.
Lo status quo si è evoluto nel tempo, mentre le organizzazioni hanno faticato ad implementare soluzioni puntuali per individuare e risolvere i problemi, realizzando veri e propri silos tra i processi di sicurezza, IT e compliance.
Ciò ha creato un ecosistema abbastanza caotico, dove l’entropia è stata recentemente accelerata dallo sviluppo della Digital Transformation. Questi processi di trasformazione sono normalmente orientati allo sviluppo del business e, a volte, non mirano a garantire la sicurezza, anzi, comportano l’aumento della complessità del panorama IT, poichè implicano adozione del cloud, di strumenti di containerizzazione, maggiore mobilità e così via.
L’aumento generale della complessità derivante da questa situazione diminuisce notevolmente le capacità fondamentali di un’organizzazione, come la visibilità e l’accuratezza delle informazioni, causando un effetto catastrofico sulla capacità del CISO di mantenere tutto sotto controllo.
Le competenze e le responsabilità del CISO non sono cambiate, ma i requisiti di conformità sono aumentati di recente con l’introduzione di nuovi regolamenti e direttive, che si combinando con quelli già esistenti – già di per sé impegnativi.
Dal nostro punto di vista, i CISO devono tornare ai fondamentali.
Un CISO in difficoltà deve essere supportato da una “singola fonte di informazioni”, che parte dalla conoscenza dettagliata di tutti gli strumenti IT implementati, per continuare poi a valutare ogni superficie vulnerabile. Ciò creerà il contesto necessario per dare la priorità alle azioni di rimedio necessarie ed aiutare il CISO a non essere sopraffatto dalle emergenze.
Questo contesto dovrebbe poi essere normalizzato ed ampliato ad altri processi, come, ad esempio, alla validazione dei controlli tecnici di conformità.
Informazioni e dati che dovrebbero supportare e potenziare le operazioni di sicurezza e la risposta agli incidenti affinché tutti i team operativi utilizzino la stessa fonte dati. Ciò potrebbe richiedere la creazione di flussi di informazioni tra piattaforme e tecnologie attivabili sfruttando le API e un’automazione assolutamente trasparente.
È anche molto importante creare livelli di astrazione per rappresentare efficacemente minacce e pericoli, aumentando al tempo stesso la consapevolezza da più punti di vista anche in situazione di normalità.
La tecnologia supporta in tal modo l’armonizzazione di apparati IT, sicurezza e compliance, aiutando anche i manager aziendali a prendere decisioni consapevoli, rendendo la sicurezza nuovamente gestibile.
Le recenti notizie sulle aziende che devono subire gravi sanzioni per inadempienza al GDPR a causa di violazioni dei dati che coinvolgono informazioni sensibili dimostrano che questa armonizzazione è estremamente necessaria; sottovalutare questa importanza può portare a gravi conseguenze.
Naturalmente, la tecnologia non può e non deve rappresentare la panacea assoluta. Si tratta di un modello che mira a offrire molteplici prospettive sullo stesso insieme di dati coerenti, che può sicuramente fornire una solida base per armonizzare processi e operazioni – oltre che informazioni aggregate in modo corretto e utilizzabili, alleviando così alcune delle pressioni che pesano sul ruolo del moderno CISO.