I direttori della sicurezza informatica in azienda, meglio conosciuti come CISO, devono rapportarsi con gli alti dirigenti aziendali e presentare le loro esigenze, lottando molto spesso con un budget risicato.
Lavorare per rendere sempre più sicura l’azienda con sempre meno fondi a disposizione non è facile. Ma è proprio la missione di un CISO, ovvero bilanciare le spese per non andare incontro a circostanze difficili.
Frequentemente il CISO, per incrementare la sicurezza dell’azienda, si trova davanti a un bivio: pensare a nuove assunzioni o migliorare l’efficienza dei prodotti e strumenti già presenti in azienda?
Sicurezza tattica o strategica?
Scegliere se assumere nuovo personale o comprare altri strumenti per la sicurezza è una questione che va ponderata in base alle situazioni. Né l’una né l’altra ipotesi, infatti, possono essere corrette se non si fa un’attenta valutazione delle risorse e degli strumenti a disposizione per garantire la sicurezza informatica della propria azienda. Se il personale è di talento, il CISO deve convogliare le varie abilità di ogni dipendente verso le procedure necessarie per realizzare la corretta protezione delle risorse critiche. Le competenze necessarie per eseguire e far funzionare a dovere anche i migliori prodotti per la sicurezza richiedono personale molto esperto e preparato. Attuare valutazioni di sicurezza, per identificare le vulnerabilità chiave e riferire ai dirigenti di livello C sui fattori di rischio che possono danneggiare l’azienda, se non adeguatamente affrontati, è il primo passo da compiere. Il secondo è presentare un quadro sulla sicurezza con un programma di attuazione preciso. Se l’azienda non è all’altezza degli standard di sicurezza definiti, il CISO deve dimostrare ai dirigenti la necessità di risorse aggiuntive.
Nuovi strumenti necessitano di nuove competenze
Uno degli svantaggi conseguente al potenziamento delle tecnologie legate alla sicurezza, è il tempo necessario a sviluppare le competenze del personale addetto. L’apprendimento e la comprensione di un prodotto, infatti, richiede inevitabilmente del tempo. Sfortunatamente questo significa che il personale dedicato alla sicurezza non svolgerà le normali funzioni lavorative durante la fase di transazione tra un prodotto e l’altro.
Se il CISO pensa di non avere le persone giusto per compiere questo passaggio, può fare pressione per ottenere una maggiore formazione del personale, molto più specifica e finalizzata a garantire risultati tangibili nel più breve periodo di tempo possibile. Se al contrario pensa che il personale che dovrebbe gestire il nuovo prodotto non sia all’altezza può suggerire ai dirigenti di trasferirli in un’altra posizione più congeniale e che serve di più all’azienda. Il CISO deve dare anche l’esempio al personale sotto le sue dirette dipendenze: la passione per la sicurezza delle informazione deve contagiare tutto il personale. Nel tempo tutto questo avrà un effetto positivo su tutte i team, sia quello IT generico si in quelle specifico dedicato alla sicurezza. Non lamentare mai la mancanza di personale. Meglio motivare e aumentare, tramite corsi di aggiornamento, le competenze del personale già presente in azienda, per dimostrare ai dirigenti che si può lavorare con successo anche senza nuove assunzioni.