Le organizzazioni, che hanno spostato i propri asset, o parti di essi, nel digitale, hanno ben compreso il ruolo che riveste la cyber security nell’ambito dei fattori di successo: di conseguenza, le competenze richieste al Chief Information Security Officer (CISO) subiranno notevoli mutamenti perché il presente e il prossimo futuro saranno caratterizzati da eccezionali progressi tecnologici, in particolare quelli associati all’inclusione di tecnologie integrate con l’intelligenza artificiale nelle funzioni aziendali, nonché dalle emergenti sfide legali e normative, una fra tutte l’applicazione della Direttiva NIS2 “Network & Information Security” che abrogherà la precedente a decorrere dal 18 ottobre 2024.
Inoltre, i continui progressi dell’intelligenza artificiale generativa (GAI) hanno accelerato la proliferazione di deep fake progettati per intaccare la fiducia degli utenti nei confronti delle informazioni online e delle istituzioni pubbliche.
Tutto ciò viene amplificato dall’instabilità mondiale in cui i threat actors e/o i nation state threat actors cercano di sfruttare qualsiasi potenziale debolezza organizzativa. In questo contesto il tema delle competenze diventa strategico.
Cerchiamo di comprendere quali siano le nuove soft skill di cui avrà bisogno il CISO.
Indice degli argomenti
Le nuove soft skill di cui avrà bisogno il CISO
Le nuove sfide che dovrà affrontare il CISO di un’organizzazione necessitano di specifiche competenze tecniche e organizzative in grado di contrastarle.
Analizziamo le principali criticità riscontrate e le soluzioni proposte.
Occorre padroneggiare l’intelligenza artificiale
Il CISO deve comprendere i punti di forza e il potenziale delle tecnologie abilitate dall’intelligenza artificiale ben oltre i meccanismi di come sia progettata e gestita.
Deve conoscere i vari tipi di piattaforme di intelligenza artificiale (per esempio: la Generative AI, l’Explainable AI, la Narrow AI e le altre) e come possono essere sfruttate da e contro la sua organizzazione, deve comprendere come le tecnologie basate sull’intelligenza artificiale possono migliorare l’organizzazione ed essere in grado di identificare sia i rischi che i benefici.
Inoltre, è fondamentale che egli contribuisca ad adeguare la governance aziendale e i processi di supervisione per l’integrazione delle tecnologie basate sull’intelligenza artificiale nel business.
A tal fine potrebbe essere necessario stabilire policy, procedure e percorsi di training per proteggere e migliorare il marchio, la reputazione e il valore dell’organizzazione.
Per esempio, si possono definire delle linee guida sull’utilizzo dell’intelligenza artificiale generativa per ridurre la minaccia di divulgazione non autorizzata di informazioni sensibili.
Infine, occorre sapere chi contattare per ricevere assistenza in caso di incidente guidato dall’intelligenza artificiale.
Migliorare la comunicazione con il CdA e i vertici aziendali
Il consiglio di amministrazione (CdA), o chiunque sia al vertice dell’organizzazione, sempre più spesso chiede al CISO di partecipare ai briefing direzionali oppure di fornire della documentazione da analizzare.
Per cui, il CISO deve sapersi trasformare da esperto tecnico a dirigente d’azienda.
Il CISO deve apprendere come presentare questioni tecniche complesse in discussioni chiare e significative, parlando di rischi e opportunità, in un linguaggio che i dirigenti aziendali comprendano e apprezzino.
Viceversa, il CISO che comunica al consiglio di amministrazione e ai dirigenti con un “gergo tecnico” o con una valanga di diapositive PowerPoint non aggiunge valore all’organizzazione, in termini di efficacia, efficienza e sicurezza, e mina la fiducia che l’organizzazione ha riposto nei suoi confronti, spesso con il risultato di essere relegato ad un ruolo marginale nel gruppo dirigente aziendale.
È fondamentale comprendere il business dell’azienda
Il CISO dovrebbe migliorare la comprensione dei meccanismi del mondo degli affari.
Il CISO e il suo team devono indubbiamente essere al passo con le migliori pratiche in materia di sicurezza informatica, ma, al contempo, devono conoscere anche il linguaggio, i processi, la governance, le normative e le migliori pratiche del mondo degli affari, per integrarsi al meglio con la loro organizzazione, comprenderne le esigenze e fornirgli un supporto di qualità.
Pertanto, è opportuno affiancare un percorso di formazione manageriale (per esempio un MBA) alle materie tecnico-giuridico peculiari della cyber security.
Gestire il rischio usando metriche avanzate e quantificazione del rischio
Partiamo dal concetto che l’evidenza deve prevalere sull’ipotesi. Per cui, il CISO deve disporre di informazioni tempestive, accurate e significative per gestire al meglio l’esposizione al rischio informatico dell’organizzazione.
È fondamentale avere a disposizione dati basati sull’evidenza e ben definiti, compreso i quadri di rischio, per identificare, quantificare e gestire il rischio nell’ecosistema informatico iperattivo e riuscire a fronteggiare l’incremento della complessità della superficie di rischio aziendale, a causa dell’adozione diffusa del cloud computing ibrido, delle supply chain talvolta opache, delle tecnologie legacy e della rapida adozione di nuove tecnologie (come l’intelligenza artificiale).
Migliorare la comprensione e la gestione dei rischi della supply chain
Il rischio della catena di fornitura informatica è una spada di Damocle per il CISO.
In assenza di informazioni ben definite e verificate sulla distinta base dei software (SBOM) da parte dei produttori, il CISO non riesce a determinarsi sulla scelta di software e hardware (tenendo presente che l’hardware include il firmware integrato) e ciò crea situazioni di attrito.
Poiché continua a crescere la complessità delle catene di fornitura, è diventato prassi ricorrere all’outsourcing con partner terzi; inoltre, il riutilizzo diffuso del software continua a complicare l’attribuzione della provenienza e la mancanza di strumenti per identificare manomissioni, bugs o sabotaggi e lascia le organizzazioni esposte.
Il CISO deve imparare ad affrontare le crescenti richieste da parte dell’organizzazione per identificare e caratterizzare i rischi della supply chain.
Conoscere l’arte della negoziazione
Negli anni passati, il CISO riusciva a scegliere senza difficoltà la tecnologia che gli garantiva una capacità di protezione adeguata e, a volte, non doveva nemmeno darne conto al CdA.
Questi tempi sono finiti, perché nei vertici aziendali sono presenti anche figure tecniche in grado di dibattere sulle scelte tecnologiche, per cui il CISO deve imparare a creare casi aziendali convincenti e dimostrare il ritorno sugli investimenti per ottenere il finanziamento necessario.
Nelle organizzazioni in cui la sicurezza informatica è inserita nei processi aziendali, il CISO deve migliorare la propria capacità di supervisionare (e talvolta condurre) le negoziazioni utili ad ottenere un’adeguata dotazione strumentale e organizzativa al miglior prezzo.
Andare oltre l’IT aziendale
Molti CISO si concentrano solo sugli aspetti della rete IT aziendale, mentre trascurano le altre peculiarità che contraddistinguano le organizzazioni in cui operano.
Se si adottasse una visione dell’organizzazione incentrata sui dati, rileverebbe, per esempio, che, sebbene la tecnologia OT (che include i sistemi di controllo industriale, le piattaforme di produzione automatizzate, i sensori e gli attuatori) contribuisca all’operatività, questi espandono il potenziale del rischio informatico.
Il CISO che guarda oltre la rete IT aziendale riesce a trovare e mitigare le proprie vulnerabilità prima di dover affrontare una crisi derivante da un ambito critico indifeso.
Promuovere la collaborazione e la condivisione delle informazioni
Alcuni settori, come quello dei servizi finanziari ed energetico, hanno iniziato da tempo a collaborare e condividere le informazioni sulle minacce e gli incidenti informatici e da ciò hanno tratto degli ottimi benefici.
Credo che tutti i CISO, in particolar modo quelli che lavorano nei settori delle infrastrutture critiche, farebbero bene a sposare questa buona prassi per migliorare la sicurezza, la capacità di contrasto e la resilienza del loro settore.
Mettere in pratica il pensiero critico e strategico
Il CISO è spesso concentrato sull’ambiente tattico-operativo perché le minacce si appalesano attraverso i report di threat intelligence, le notizie dei media, le segnalazioni dei IoC e via dicendo. Tutto ciò lo allontana dalla strategia aziendale.
Man mano che la posizione del CISO diventerà una posizione dirigenziale, più matura e accettata dal board, egli dovrà delegare la gestione delle crisi quotidiane e, parallelamente, sviluppare le proprie capacità di pensiero critico e strategico, ottenendo un approccio più mirato e capace di contribuire alla pianificazione strategica aziendale.
In altre parole, deve rimanere legato agli aspetti di sicurezza e ragionare per il raggiungimento del successo dei processi aziendali.
Ricapitalizzare per un vantaggio competitivo
Il CISO spesso incontra difficoltà nel farsi assegnare nuovi fondi dal budget aziendale per ricapitalizzare i propri strumenti hardware e software.
La cadenza della ricapitalizzazione è influenzata da diversi fattori quali il budget, le prestazioni, le minacce, le normative, i problemi di conformità e la propensione al rischio.
A tal fine, una strategia potrebbe utilizzare i dati comparativi per dimostrare il posizionamento all’interno del proprio gruppo di pari e ottenere la fiducia del board.
I corsi per chi vuole diventare CISO e governare la cyber security
Conclusione
Nel 2023, l’intelligenza artificiale ha soppiantato il paradigma Zero Trust nelle strategie di cyber sicurezza, ma l’implementazione di entrambi è di fondamentale importanza per il 2024 e per gli anni a venire.
Zero Trust è un modello che rimarrà centrale per la sicurezza.
In un futuro prossimo, la funzione del CISO assumerà tutte le funzioni di sicurezza con l’evoluzione del ruolo di CISO nel ruolo più ampio di Chief Security Officer (CSO), concentrando in un’unica figura la responsabilità su tutte le funzioni di sicurezza: cyber, fisica, industriale e personale.
Le implementazioni di sicurezza Zero Trust dovrebbero essere incentrate sui dati, piuttosto che sulla rete, perché i dati sono la linfa dei sistemi di intelligenza artificiale e sono molto sfruttati da coloro che creano, addestrano, arricchiscono e gestiscono i sistemi di intelligenza artificiale.
I dati hanno anche un valore intrinseco per la sicurezza, perché sono associati alla creazione, all’archiviazione, alla gestione, al recupero, alla protezione dei dati stessi durante il loro ciclo di vita.
Pertanto, l’AI e Zero Trust sosterranno le strategie dei CISO nel prossimo futuro.