Trellix, azienda americana che si occupa di protezione e sicurezza, ha redatto uno studio condotto coinvolgendo oltre 500 Ciso per stabilire che tre organizzazioni su 4 (il 75%) sono oggetto di attacchi ricorrenti.
Notizia che potrebbe esaurirsi qui se non fosse che con il termine “attacchi ricorrenti” si intende la ricorsività con cui un’incursione viene tentata ma si intende anche che l’obiettivo rimane il medesimo, mentre le minacce e le tecniche di attacco cambiano e questo rappresenta una sfida per gli Chief Information Security Officer (Ciso).
Lo studio di Trellix conferma la filosofia profondamente reattiva delle organizzazioni alle cyber minacce. Infatti, conferma il report, il 97% dei Ciso sostiene che la collaborazione dei consigli di amministrazione – che coincide con maggiori budget da destinare alla cyber security – inizia solo quando l’organizzazione è già stata oggetto di attacchi.
CISO: che fa e come si diventa Chief Information Security Officer
Indice degli argomenti
Un problema di governance
Ci sono quindi imprese che includono la figura del Ciso ma gli danno poco credito, c’è un problema di governance e accusare la scarsa predisposizione agli investimenti dei Consigli di amministrazione assomiglia molto alla via d’uscita più facile: è compito del Ciso riuscire a fare comprendere alle alte sfere che, investire nella cyber security, coincide con la continuità del business e con la salvaguardia dell’affidabilità dell’organizzazione stessa. Il materiale per mostrare a chi si occupa della gestione della società cosa accade quando un’azienda viene violata non manca, tra riscatti almeno a sei cifre da pagare, fuga di dati e pessima pubblicità.
Per fare il punto, quindi, bisogna comprendere come e perché molte aziende sono vittime di attacchi ricorsivi (ossia, occorre capire come cambiano le minacce), perché il ruolo del Ciso è in qualche modo disatteso e perché, di conseguenza, le organizzazioni tendono a essere reattive e non proattive al cospetto della cyber security.
La dura vita del Ciso
Le minacce cambiano in continuazione seguendo un ritmo a cui le organizzazioni fanno fatica ad adeguarsi. Salvatore Lombardo, funzionario informatico, esperto ICT e socio Clusit, identifica i trend: “Le minacce informatiche evolvono costantemente. I trend emergenti includono l’aumento degli attacchi ransomware, l’uso sempre più sofisticato di tecniche di phishing (l’ingegneria sociale rimane sempre una componente chiave nelle tattiche degli attaccanti), la crescente minaccia degli attacchi alla catena di approvvigionamento, e la proliferazione di minacce legate all’Intelligenza artificiale. Risulta essenziale per affrontare questi cambiamenti, mantenere sistemi e software aggiornati e adottare pratiche di sicurezza informatica solide”.
I Ciso si rischiano di trovare tra la prosaica incudine e l’altrettanto proverbiale martello: devono fare del loro meglio senza riuscire a contare sulla piena collaborazione delle alte sfere gestionali dell’organizzazione per la quale lavorano.
Perché, allora, le imprese si dotano della figura del Ciso se lo ascoltano in modo relativo?
“L’avere un Chief Information Security Officer in un’organizzazione è cruciale per garantire una gestione proattiva della sicurezza informatica. Tuttavia, se le decisioni prese dalle alte sfere non tengono in debita considerazione le raccomandazioni del Ciso, possono emergere seri problemi. Ciò può derivare da una mancanza di consapevolezza sull’importanza della sicurezza informatica o da una sottovalutazione dei rischi. È fondamentale che la sicurezza informatica sia integrata nella cultura aziendale e che il Ciso abbia la possibilità di comunicare direttamente con la leadership per evidenziare i rischi e fornire soluzioni. Una comprensione chiara da parte dei dirigenti dell’importanza della sicurezza può aiutare a garantire che le decisioni aziendali considerino adeguatamente la protezione delle informazioni e dei sistemi”.
Infine, Lombardo suggerisce una strategia che i Ciso possono attuare per ottenere più attenzione perché, stando almeno al report Trellix, i successi dei cyber attaccanti e i danni, che questi riescono a infliggere alle organizzazioni prese di mira, non sono deterrenti sufficienti.
“I Ciso devono essere anche abili comunicatori, evidenziando il valore degli investimenti in sicurezza e lavorando attivamente per integrare la sicurezza nella cultura aziendale”, spiega Lombardo per introdurre le strategie possibili, ovvero:
- Comunicazione chiara con la leadership: esprimere i rischi di sicurezza in modo comprensibile per i dirigenti, collegando gli investimenti in sicurezza alle priorità commerciali e ai risultati desiderati.
- Dimostrare il ritorno sugli Investimenti (ROI, Return On Investment): presentare casi d’uso che dimostrino come gli investimenti in sicurezza possono prevenire perdite finanziarie e danni all’immagine aziendale.
- Educazione continua: fornire formazione continua alla leadership e a tutto il personale sull’importanza della sicurezza informatica e sulle minacce emergenti.
- Allineamento con gli obiettivi aziendali: assicurarsi che le iniziative di sicurezza siano allineate agli obiettivi aziendali, sottolineando come una strategia proattiva può contribuire a raggiungere tali obiettivi.
- Dimostrare la compliance: sottolineare il rispetto delle normative e degli standard di settore, mostrando come gli investimenti in sicurezza siano necessari per mantenere la conformità.
- Scenario di minacce in evoluzione: mettere in luce le minacce emergenti e spiegare come una strategia proattiva può proteggere l’azienda da attacchi futuri.
- Partecipazione nelle decisioni strategiche: essere coinvolti nelle fasi iniziali delle decisioni aziendali per integrare la sicurezza nelle nuove iniziative anziché affrontarla come un’aggiunta successiva.
- Utilizzo di metriche chiare ed efficaci: utilizzare metriche di sicurezza che siano comprensibili e significative per la leadership, evidenziando i progressi e l’efficacia delle misure adottate.
Il Ciso, in sintesi, non è solo colui che deve garantire la sicurezza e la continuità del business, è anche il profilo deputato a veicolare messaggi verso le caselle più alte dell’organigramma, in attesa che la cyber security diventi a tutti gli effetti argomento dibattuto dai Consigli di amministrazione e che, perché no, i Ciso ne facciano parte attivamente.
