La gestione dei rischi: una competenza essenziale per un CISO

Un Chief Information Security Officer deve dedicare molto tempo ad altri aspetti del business e ha bisogno di un team di professionisti in grado di svolgere compiti tecnici altamente specializzati.

L’anno scorso, leggendo i feedback dei miei colleghi sugli obiettivi e i problemi del settore, ho provato sentimenti contrastanti. Un anno dopo, i risultati della nostra nuova indagine (disponibili alla fine di questo post) sono ancora più interessanti.

La prima impressione che si ha guardando i risultati di questi due studi è la seguente: la sicurezza informatica in generale, e il ruolo del Chief Information Security Officer (CISO) in particolare, stanno diventando sempre più importanti per le aziende, o almeno, secondo quanto affermano circa 300 dei miei colleghi del settore infosec. È sicuramente un buon segno. Lo stesso fenomeno è reso evidente dal fatto che un numero sempre maggiore di intervistati abbia inserito la “gestione dei rischi” e altre competenze aziendali tra le capacità essenziali per svolgere al meglio il proprio ruolo.

Tuttavia, c’è un punto sul quale non posso essere d’accordo con la maggior parte dei miei colleghi. Alcuni continuano ad affermare che le competenze tecniche e la profonda conoscenza dei sistemi IT aziendali siano elementi chiave sia per il loro lavoro, sia per il loro ulteriore sviluppo. Secondo me, sebbene la conoscenza tecnica sia il requisito di base per un CISO (e che i CISO debbano avere dimestichezza con le nuove tecnologie), il settore deve rendersi anche conto che i sistemi IT moderni sono così complessi che i CISO non possono avere un quadro completo dal punto di tecnico, nemmeno in teoria.

Inoltre, i sistemi informatici stanno diventando sempre più sofisticati (cosa che si aspettano la maggior parte dei partecipanti al sondaggio). Pertanto, le competenze tecniche di un CISO, sebbene importanti, sono secondarie rispetto allo sviluppo di altre capacità come la gestione dei rischi, la gestione efficace dei team e la comunicazione aziendale. Oggi ciò che conta è il personale.

Conoscere le persone, non i sistemi

In effetti, sia i sistemi IT, sia le tecnologie di sicurezza sono ora così sofisticati da lasciar prendere decisioni importanti per il business a professionisti altamente specializzati. Naturalmente, questo cambiamento rende la fiducia nel team più importante che mai. Da un lato, il capo del dipartimento di sicurezza informatica deve potersi fidare degli specialisti del suo team. Dall’altro, anche loro devono potersi fidare del giudizio e delle decisioni del CISO, non ciecamente o senza la possibilità di esprimere le proprie opinioni, ma avendo un obiettivo comune e il rispetto professionale reciproco.

Secondo gli intervistati, ottenere aumenti di budget per l’acquisto di sistemi è a volte più facile rispetto ad assumere più professionisti di sicurezza informatica. Acquistare tanti più sistemi possibili potrebbe sembrare una grande idea, ma è molto più importante identificare le capacità e le competenze chiave indispensabili per gli esperti in-house e per quelli esterni a cui ci si affida. Infatti, data la carenza di specialisti del mercato, penso che sia una buona idea considerare l’outsourcing come un’opportunità per ampliare le capacità del dipartimento e rispondere più velocemente alle esigenze dell’azienda.

Dalla risposta agli incidenti alla gestione dei rischi

Anche se il ruolo del CISO ha acquisito importanza per gli stakeholder chiave (il consiglio di amministrazione o il CEO ad esempio), la maggior parte delle volte si chiede aiuto a danno ormai avvenuto. Per fortuna, questo sembra accadere soprattutto alla concorrenza o ai colleghi del settore. Tuttavia, ciò dimostra che molte aziende non considerano la sicurezza informatica come uno strumento di gestione del rischio aziendale. E alla domanda su come il team di gestione misuri le prestazioni della sicurezza informatica, molti CISO affermano ancora che gli indicatori chiave siano il numero di incidenti o i tempi di risposta agli incidenti.

Si tratta certamente di fattori importanti, ma nel moderno concetto di cyberimmunità che abbraccia Kaspersky, un’azienda ben protetta non è quella che si limita a minimizzare il numero di attacchi che hanno provocato danni o indagare rapidamente sugli incidenti, ma quella la cui attività possa svilupparsi con successo nonostante tali incidenti.

Dopotutto, i rischi tollerabili e le perdite potenziali accettabili dovute agli incidenti sono diversi a seconda delle aziende. A volte vale la pena di allentare la morsa per quanto riguarda le misure di protezione per stimolare lo sviluppo dell’azienda. In altre situazioni, questa non è un’opzione. Il numero di incidenti non può servire come misura assoluta delle prestazioni della sicurezza informatica. Anche il modo in cui le misure di sicurezza informatica influenzino la velocità di elaborazione dei compiti aziendali e i costi sono importanti. Pertanto, a mio avviso, i CISO devono soprattutto essere in grado di valutare adeguatamente i rischi e costruire sistemi di sicurezza informatica perfettamente adeguati alle loro imprese e ai loro processi aziendali, piuttosto che concentrarsi eccessivamente sulla protezione dagli incidenti.

Passare più tempo con gli avvocati

Un’altra cosa che mi ha colpito è stata la risposta sull’importanza di comunicare con altri settori all’interno dell’azienda. Gli avvocati dovrebbero avere una priorità più alta. Oggi, la crescente complessità dei sistemi informatici e le loro interrelazioni con i servizi esterni, da un lato, e le leggi internazionali dall’altro, fanno sì che non si possano ignorare le potenziali conseguenze legali delle decisioni prese dai professionisti della sicurezza informatica.

Gli intervistati hanno collocato al quarto posto i contatti con gli avvocati a livello di importanza, dopo i responsabili finanziari, il consiglio di amministrazione e i colleghi del dipartimento IT. Credo che i contatti con gli avvocati dovrebbero almeno avere una priorità più elevata rispetto ai contatti con i responsabili finanziari. Se si considera la sicurezza informatica come uno strumento di gestione del rischio aziendale, si tratta di una decisione logica.

Il sondaggio offre dati molto più interessanti, quindi vi consiglio di leggere il testo integrale. Per scaricare il report, compilate il modulo sottostante.

Consigli