Il ruolo del CISO (Chief Information Security Officer) continua a trasformarsi, dato che sta aumentando la conoscenza dei rischi informatici all'interno delle comunità aziendali. L'utilizzo di infrastrutture IT, l'aumento dei requisiti di compatibilità e la proliferazione di dati sensibili sono tutte aree di rischio. E non passa settimana senza che i media riferiscano di qualche nuova violazione, nemico o minaccia. Le imprese richiedono sempre di più ai propri CISO di definire, applicare, misurare e comunicare le strategie che utilizzano sia per valutare che per gestire questi rischi.
L'evoluzione del ruolo del CISO
Negli ultimi anni il ruolo del CISO e le competenze a lui richieste si sono trasformati. Sì, al CISO è ancora richiesto di essere un esperto del settore in grado di comprendere gli aspetti tecnici delle minacce che affronta e delle soluzioni che applica; gli viene però richiesto sempre di più di essere anche un esperto di politiche commerciali e di comunicazione.
In molte organizzazioni è diventato più comune considerare il rischio informatico un altro tipo di rischio d'impresa, che non può essere gestito semplicemente tramite l'IT. Di conseguenza, oggi i CISO di molte aziende fanno regolarmente rapporto al Consiglio di Amministrazione ed esercitano un'influenza molto maggiore all'interno dell'impresa. In molte delle aziende in cui ho lavorato, la questione della sicurezza veniva presa in considerazione fin dall’avvio dei progetti e degli acquisti, e non solamente alla loro conclusione. Ciò richiede che la propensione al rischio e la tolleranza dell’azienda (riguardo alle IT e ai dati dei clienti) siano definiti, comunicati e gestiti. In aggiunta, ciò richiede una riformulazione dei concetti tecnici in un linguaggio commerciale più generale. Oggi tutti i membri di un'Azienda devono ascoltare e capire le parole del CISO, se vuole avere successo.
Valore dell'investimento
Tuttavia le conoscenze tecniche del CISO non sono diventate meno importanti, e, come tutti possono vedere, ci sono continui cambiamenti sia nel panorama delle minacce che in quello delle soluzioni disponibili per combatterle. Nella scelta delle tecnologie i CISO considerano sempre di più il valore che un investimento potrebbe avere in termini di riduzione del rischio, piuttosto che valutare il numero di minacce effettivamente controllate.
Il metodo adottato in passato da molte organizzazioni consisteva nell'utilizzare le tecnologie più avanzate per individuare e/o contrastare le ultime minacce e, successivamente, ideare processi relativi all’uso di queste tecnologie (e formare il personale). In un mondo con una forte carenza di addetti alla sicurezza competenti e in cui l'automazione in questo campo è ancora agli inizi, questo modello non porta necessariamente ai migliori risultati. I CISO sono in cerca delle ‘giuste’ tecnologie per individuare e/o contrastare le minacce in questione, massimizzando così l'efficacia del lavoro degli addetti. I CISO cercano sempre di più di elaborare i processi sulla base dell’azienda e del personale e successivamente di investire in tecnologie in grado di ottimizzare questi processi. Per fare ciò i CISO devono avere una visione più equilibrata delle minacce interne e di quelle esterne, delle risorse a loro disposizione e dei requisiti commerciali.
Misurazione del successo
Oggi ai CISO viene richiesto di intensificare ulteriormente i controlli. La misurazione dell'efficienza dei propri team e processi e infine la comunicazione dei risultati sono diventati una parte fondamentale del lavoro dei CISO. È indispensabile definire i giusti criteri per misurare il successo e le carenze di un'azienda nel campo della sicurezza, i suoi punti di forza e le sue debolezze. Se sappiamo cosa siamo in grado di fare bene e cosa invece ci mette in difficoltà, allora sappiamo in che cosa dobbiamo migliorare.
Oggi il CISO è un componente fondamentale di qualsiasi impresa. Nel mondo attuale, sempre più connesso, in cui le imprese sono sempre più dipendenti dalla sicurezza dei nostri servizi e dei nostri dati, il CISO ha il compito di creare un collegamento tra le minacce tecniche e il rischio d'impresa, migliorando costantemente l'abilità dell'Azienda di gestire minacce sempre più avanzate.
a cura di Ivan Straniero, Regional Manager Southern & Eastern Europe di
Arbor Networks, la divisione sicurezza di NETSCOUT (NASDAQ: NTCT)