Guida per CISO: come presentare soluzioni Zero Trust all’AD e CdA
Come presentare le soluzioni Zero Trust all’Amministratore Delegato e al Consiglio di Amministrazione? Ecco una guida completa per i CISO a cura di Heng Mok, CISO AJP di Zscaler.
Il contesto nel quale i CISO si trovano a presentare soluzioni Zero Trust all’AD e CdA
“Lo sviluppo del panorama delle minacce informatiche e la ricerca di vantaggi competitivi da parte delle aziende con le iniziative basate sul digitale – evidenzia Mok – hanno reso la sicurezza informatica un imperativo aziendale, un fattore abilitante e fondamentale per mantenere la fiducia dei clienti. Tuttavia, nelle aziende in cui questo aspetto non è ancora riconosciuto, i CISO potrebbero faticare a far comprendere i vantaggi aggiuntivi che una strategia informatica basata sui principi dell’architettura Zero Trust può portare, tra cui la responsabilizzazione delle persone e delle policy organizzative relative al lavoro ibrido, la trasformazione digitale in sicurezza, una migliore continuità aziendale complessiva, agilità e resilienza e la semplificazione di un’esperienza utente coerente. Le aziende spesso si oppongono alle iniziative di sicurezza per paura che i controlli implementati rendano le cose più complicate per l’azienda o influiscano sull’esperienza degli utenti. Tuttavia, le soluzioni Zero Trust sono in grado di migliorare questo aspetto, fornendo al contempo i giusti controlli chiave necessari per salvaguardare l’azienda moderna.
Di conseguenza, spetta ai CISO illustrare i suoi numerosi vantaggi ai vertici aziendali e portare i responsabili aziendali verso il processo di cambiamento organizzativo. È fondamentale che i responsabili aziendali di tutti i reparti (non solo quelli tecnologici) comprendano perché l’approccio Zero Trust non riguarda solo la sicurezza ma è un imperativo aziendale fondamentale.
Approcciare l’AD e la dirigenza
Nel presentare l’approccio Zero Trust al proprio AD, è importante che i CISO affrontino la questione da diversi punti di vista. La prospettiva della strategia di sicurezza è centrale per far comprendere il quadro generale, ma è anche fondamentale delineare ed informare sui vantaggi operativi e commerciali delle soluzioni Zero Trust e su come possano alimentare positivamente altre strategie organizzative, come quelle tecnologiche e di business unit insieme ai servizi condivisi come le persone, la cultura e la finanza.
Le discussioni sui benefici devono essere focalizzate sul piano commerciale e contestualizzate all’interno dell’azienda, per delineare esplicitamente come un’architettura Zero Trust si allinei con gli indicatori di performance e gli obiettivi aziendali chiave del CEO e del team esecutivo. In questo caso, è fondamentale comunicare questi vantaggi per ottenere l’approvazione e il consenso necessari prima di proporli al consiglio di amministrazione.
I CISO non devono avere limitazioni nell’individuare i migliori strumenti di erogazione per finanziare le loro iniziative informatiche, sia che si tratti di iniziative aziendali, tecnologiche o che siano parte di un programma informatico dedicato. Le iniziative Zero Trust possono essere incluse nei programmi di semplificazione della rete che le aziende hanno già in atto per favorire efficienze operative e ridurre il deficit tecnico, dalla gestione del ciclo di vita dell’hardware all’ottimizzazione del personale per le attività tecnologiche di maggior valore. Per questo motivo, le iniziative Zero Trust possono migliorare il valore aziendale e contribuire a raggiungere gli obiettivi di gestione dei costi, di aumento dell’efficienza e di integrazione della selezione di piattaforme strategiche in cui l’azienda ha già investito.
In termini di impatto sulle spese di capitale e operative, l’adozione di un approccio Zero Trust può aiutare il team informatico a sfruttare due vantaggi principali. In primo luogo, il team è in grado di attrarre e assumere i migliori talenti grazie a un modello operativo intrinseco incentrato su attività di sicurezza ad alto valore, come l’ottimizzazione delle policy, piuttosto che su attività a basso valore, come la gestione delle patch. Dal punto di vista delle minacce, l’architettura Zero Trust consente alle aziende di essere più agili in termini di risposta alle future esigenze aziendali, oltre a completare e integrare i controlli esistenti.
È fondamentale far comprendere la visione complessiva di sinergie da una parte e di vantaggi commerciali dall’altra, delineando il veicolo di erogazione e le opzioni di finanziamento e sottolineando il valore della semplificazione tecnologica e della riduzione dei rischi.
Approcciare il CdA
Il consiglio di amministrazione non è focalizzato sulle attività operative, il suo obiettivo è quello di garantire che il management sia competente e operi sulla base degli opportuni risultati strategici aziendali. Dal punto di vista della sicurezza informatica, il Consiglio di amministrazione e il Comitato per la revisione contabile e i rischi, si concentrano sul garantire che l’azienda operi nel rispetto della tolleranza e della propensione al rischio e che disponga dei controlli adeguati per farlo in modo sostenibile. In questo caso, l’attenzione del CISO nel presentare i concetti di Zero Trust al Consiglio di amministrazione dovrebbe essere incentrata su due pilastri fondamentali: la formazione e la governance.
CISO: presentare soluzioni Zero Trust al CdA
La formazione potrebbe includere una parte di sensibilizzazione generale sul significato di Zero Trust, guardando alle recenti violazioni del mondo reale sovrapposte ai modi in cui l’architettura e i controlli delle soluzioni Zero Trust funzionano per ridurre il rischio a livello macro. Illustrare il panorama delle minacce costanti in termini aziendali semplici, che risultino chiari anche a coloro che non hanno una formazione tecnica, come parte di una campagna di sensibilizzazione continua, servirà a educare il consiglio di amministrazione sul valore della sicurezza informatica nella creazione di un clima di fiducia.
In termini di governance, invece, i parametri dovrebbero essere un elemento chiave. Le domande chiave a cui si dovrebbe rispondere sono:
- Quali sono i parametri chiave per supportare un’architettura Zero Trust?
- Quali sono le metriche relative all’efficacia del controllo?
- In che modo questo sposta la nostra maturità informatica, la conformità e i mandati normativi?
- Come si dimostra che stiamo gestendo i rischi rispetto alla propensione al rischio?
Questo dimostra che i team informatici stanno contribuendo alla gestione del rischio implementando controlli chiave come parte di un’architettura Zero Trust. Dal punto di vista del rischio e della propensione al rischio, discutere il valore dell’approccio Zero Trust in relazione alle metriche di governance dimostra che l’azienda sta sostenendo e mantenendo il rischio all’interno del profilo aziendale.
I CISO hanno in genere una sola possibilità di ottenere la fiducia da parte del consiglio di amministrazione, e questo dovrebbe avvenire nel primo approccio. Per avere successo, la proposta deve prima passare attraverso le fasi di gestione appropriate per assicurarsi che il team esecutivo sia favorevole e capisca perché è necessario adottare soluzioni Zero Trust. In questo caso, è fondamentale discutere l’idea generale in un linguaggio comprensibile dal punto di vista commerciale, contestualizzando e concettualizzando la tecnologia in modi comprensibili al gruppo esecutivo sulla base della propria conoscenza del settore.
Conclusioni
Oltre ad assicurarsi di avere l’appoggio del CEO e del consiglio di amministrazione, un’altra parte fondamentale è il sostegno dei principali stakeholders e dirigenti aziendali.
Per sviluppare con successo la sicurezza informatica in un’azienda è necessario il sostegno di molti responsabili aziendali diversi. La creazione di “champion” in diverse aree aziendali è fondamentale per scalare e amplificare la sicurezza. Mantenere queste relazioni, dimostrare le analisi e fornire loro informazioni e trasparenza, rafforza la cultura dell’azienda comprendendo collettivamente perché conta e qual è il suo valore.
Zero Trust offre una serie di vantaggi significativi che rendono questa soluzione un imperativo aziendale imperdibile per i dirigenti e il consiglio di amministrazione. Oltre ai ben noti aspetti di sicurezza, l’implementazione di Zero Trust consente alle aziende di migliorare l’esperienza dei dipendenti, di intraprendere in modo sicuro la trasformazione digitale e di potenziare le capacità aziendali che influenzano le prestazioni e consente di ottenere risultati aziendali complessivi migliori. I responsabili IT hanno l’incredibile opportunità di formare i responsabili delle decisioni aziendali sull’approccio Zero Trust e di presentarlo come un fattore di business ad alto valore. È l’anello mancante che aiuta le aziende a potenziarsi e a prepararsi oggi alle tecnologie del futuro. Sebbene la cybersecurity sia una parte fondamentale della sicurezza dei dati e della forza lavoro di un’azienda, l’approccio Zero Trust offre molto di più e i managers e il consiglio di amministrazione non possono permettersi di perdere questa opportunità”, conclude Mog.