Che punto di vista hanno i Chief Information Security Officer (CISO), o chi occupa una posizione equivalente, in merito alla sicurezza informatica? Quali sono i problemi che devono affrontare? Per avere una risposta a questa e ad altre domande, Kaspersky Lab ha intervistato 250 responsabili per la sicurezza di tutto il mondo. Gli spunti sono davvero interessanti, anche se non posso dire di essere completamente d’accordo con tutto ciò che viene indicato dai miei colleghi.
Diamo un’occhiata agli indicatori principali per valutare le capacità di un CISO. Non sorprende che la maggior parte dei CISO partecipanti al sondaggio ritiene che il criterio più importante sia la qualità e la velocità di risposta durante la gestione degli incidenti. Nelle aziende moderne si pensa che gli incidenti informatici siano un segnale di qualcosa andato storto nella sicurezza; invece, è positivo vedere che la maggior parte degli specialisti inizia a comprendere che gli incidenti informatici sono inevitabili, e anche normali. In ogni caso, al giorno d’oggi, la sicurezza informatica è fondamentale per la sopravvivenza dell’azienda.
Per sopravvivenza intendiamo un livello di protezione grazie al quale, in caso di un attacco APT, di una fuga di dati o di un attacco DDoS di massa, l’azienda sia capace di tornare alla normalità senza subire importanti conseguenze o senza perdere più di quanto prevista per casi di questo genere. Insomma, i CISO al giorno d’oggi si concentrano sulla risposta agli incidenti.
Da un lato, si tratta di un passo in avanti importante. Solo un paio d’anni fa, prevaleva il punto di vista secondo il quale la sicurezza informativa consiste nel raggiungere l’obiettivo “incidenti zero” e che i CISO devono essere in grado di proteggere le infrastrutture dagli incidenti garantendo una difesa d’acciaio. Per quanto mi riguarda, i CISO dovrebbero puntare a un certo equilibrio tra tutti gli elementi che compongono l’architettura della sicurezza adattiva: prevenzione, identificazione, risposta e previsione degli incidenti.
Parliamo di rischi
La maggior parte dei CISO concorda sul fatto che, in seguito a un incidente, il maggior rischio per un’azienda ha a che vedere con la reputazione. Sono completamente d’accordo, avrei risposto allo stesso modo. Il danno di immagine genera altre conseguenze, come il calo in borsa e delle vendite, perdita di fiducia dei clienti, vendite etc,
La reputazione è la ragione principale per cui non veniamo a conoscenza della maggior parte degli incidenti che avvengono realmente. Se un’azienda ha la possibilità di insabbiare incidente informatico, state certi che lo farà anche se, in alcuni paesi, la legge esige che le aziende condividano qualsiasi informazione che riguardi i problemi di sicurezza affrontati con stakeholder e clienti.
I CISO sembrano fare distinzioni tra i motivi alla base di un attacco da parte dei cybercriminali e possono determinare quali attacchi sono stati organizzati da un governo e quali per motivi economici. Dal mio punto di vista, invece, gli attacchi che provengono dall’interno sono i più pericolosi soprattutto in termini di perdite: l’esperienza dimostra che un dipendente disonesto può provocare potenzialmente più danni di un cybercriminale esterno.
Influenza sulle decisioni aziendali
È interessante vedere in che modo i responsabili per la sicurezza vengano coinvolti nei processi decisionali dell’azienda. Sorprendentemente, ho constatato che non tutti i CISO si sentono coinvolti come vorrebbero… ma cosa significa esattamente?
In sostanza, esistono due strategie. I responsabili per la sicurezza supervisionano ogni passo all’interno dell’azienda e devono approvare tutte le decisioni prese a livello di impresa. In alternativa, possono fare da consulenti, quando l’azienda richieda il loro parere.
A prima vista, il controllo totale sembra essere il sistema più efficace e sarebbe così se la cybersecurity fosse l’unico obiettivo. In realtà, tale approccio richiede uno staff numeroso e rallenta lo sviluppo del business; inoltre, può essere molto difficile da gestire per le aziende innovative che si avvalgono di certe procedure aziendali ma che non seguono ancora delle pratiche adeguate di protezione.
Giustificare il budget
Nel sondaggio, mi preoccupano le risposte che i CISO hanno dato alla domanda “Non essendoci un ROI ben definito, come giustificate il vostro budget?”. Sembra che la tattica più usata sia quella di presentare report e valutazioni dei danni subiti da attacchi passati, puntando sull’apprensione. Certo, questa tattica può funzionare la prima volta, o anche una seconda, ma quando si arriva alla terza volta, la risposta sarà “Ok, è vero, è una tendenza preoccupante. Ma come possiamo gestirla?”
È più importante apprendere da ciò che hanno vissuto e fatto le altre aziende. Purtroppo, nell’elenco delle risposte, la voce “Benchmark del settore e best practice” si trova solo al settimo post, anche se questo genere di informazioni sono facilmente disponibili, ad esempio grazie al nostro tool IT Security Calculator.
Lo studio analizzato in questo nostro post offre molti spunti di riflessione. Qui potete trovare il report completo (in lingua inglese).