Analizzare il mondo della cyber security dal punto di vista dei CISO (Chief Information Security Officer) e, più in generale, dei leader della sicurezza può aiutare a comprenderne le prospettive e le possibili preoccupazioni.
Lo scorso anno, ad esempio, il report Voice of the CISO aveva evidenziato una grande preoccupazione da parte degli intervistati, preoccupati per l’intensificarsi delle minacce e incerti su quali rischi dare priorità. Su queste basi, i CISO si sentivano sopraffatti e sotto pressione.
Dato che il resto del 2021 e l’inizio del 2022 non hanno certo visto diminuire le minacce, registrando invece aumenti record di ransomware e attacchi di tipo Business Email Compromise (BEC), ci si aspettava risultati simili anche quest’anno, con linee di preoccupazione ancora più marcate sulla fronte dei team di sicurezza a livello globale. È stato quindi sorprendente notare come la community dei CISO si sia sentita più rilassata e a proprio agio nel 2022, sollevando domande sul perché e sul significato del nostro ruolo.
CISO: che fa e come si diventa Chief Information Security Officer
Indice degli argomenti
Le buone notizie
I team di sicurezza sono sotto pressione da diversi anni: i cambiamenti introdotti dal Covid sono stati solo la ciliegina su una torta fatta di minacce, rischi e pericoli.
I CISO si sono adattati a una serie sempre più ampia di responsabilità che coprono la resilienza operativa, lo sviluppo di applicazioni e prodotti, la continuità operativa, la conformità, la privacy, la gestione del rischio e, sempre più spesso, la sicurezza fisica.
Si sono trovati in difficoltà, mentre gli attacchi aumentavano e il potenziale di impatti aziendali multimilionari saliva alle stelle. Non era un ruolo per i deboli di cuore, già prima che il Covid sferrasse il colpo di grazia della riduzione dei costi, dell’agilità aziendale imposta e del lavoro a distanza con scadenze immediate e inamovibili.
È interessante considerare che i CISO sembrano ritenere di aver attraversato con successo questo periodo turbolento e di esserne usciti per lo più intatti. Avrebbero ragione a trarre fiducia dalla loro pura sopravvivenza negli ultimi anni.
È una conferma della loro selezione dei controlli, delle loro capacità di gestione e della loro visione strategica. I CISO hanno rilevato meno attacchi rispetto all’inizio del Covid e meno del 50% dei CISO si sente a rischio di una violazione sostanziale della sicurezza, rispetto al 64% del 2021.
Sorprendentemente, anche i livelli di stress sono diminuiti: solo il 49% ha dichiarato che il proprio ruolo comporta “aspettative eccessive”, rispetto al 57% dell’anno precedente. La metà di noi che è stressata non è ancora un granché, ma forse c’è un motivo per celebrare questa tendenza positiva.
Le notizie meno buone
Alcune statistiche sulle minacce e sui danni si sono stabilizzate o sono diminuite, ed è interessante considerare anche queste.
Ancora una volta è stato sottolineato come l’uomo sia la principale superficie di attacco per l’azienda – concetto ulteriormente rafforzato dai dati divulgati dal Verizon DBIR e dal World Economic Forum – ma solo il 60% ritiene che il personale sia sufficientemente formato e consapevole, cosa che lascia una notevole lacuna da colmare.
È interessante notare che uno dei principali aspetti di criticità riguardi il rapporto tra CISO e consiglio di amministrazione, soprattutto nelle aziende più grandi con oltre 5000 dipendenti. La percezione di un rapporto positivo è scesa dal 71% ad appena il 51%. Inoltre, il 50% dei CISO ritiene che la propria azienda non li abbia preparati adeguatamente per il successo.
Perché questa apparente tranquillità?
Dobbiamo considerare cosa è successo nel 2021 per comprendere meglio queste statistiche. Sembra che le decisioni in materia di cyber security prese lo scorso anno non siano sempre state allineate con le raccomandazioni o la propensione al rischio dei CISO.
Non mancano le esperienze di scorciatoie prese in nome dell’efficacia aziendale. Questo ha ricordato ai CISO che, dopo un periodo di attenzione, sostegno e responsabilizzazione, il consiglio di amministrazione deve gestire anche altre questioni e la sicurezza è solo un elemento di un quadro più complesso.
In generale, i responsabili della sicurezza hanno gestito con successo i rischi e hanno visto i reali benefici derivanti dall’aver intrapreso un percorso che, forse, da soli non avrebbero scelto. Anche senza il giusto merito, possono giustamente essere soddisfatti del fatto che le loro tattiche abbiano funzionato.
Guardando al futuro
Guardando al futuro, c’è consapevolezza che il personale resti ancora la principale superficie di attacco per l’organizzazione e la probabile fonte della maggior parte delle violazioni, ma c’è un divario significativo tra la posizione desiderata e la realtà.
Questo è uno dei pochi elementi che emergono chiaramente nella visione dei CISO, che non hanno ancora un evidente consenso sulle principali minacce che devono affrontare – la differenza tra le minacce più e meno preoccupanti è solo del 4%.
La nuova ricerca ha evidenziato come principali priorità strategiche:
- promuovere la protezione delle informazioni (39%);
- aumentare la consapevolezza sulla cybersecurity (38%);
- consolidare e esternalizzare le soluzioni e i controlli di sicurezza (36%).
Se le prime due categorie sono da sempre in cima all’agenda dei CISO, la seconda è quasi certamente guidata dagli eventi successivi al 2020. Con i dipendenti che ormai lavorano ovunque, l’adozione del cloud che sta colmando lacune legate al posto di lavoro e alcuni controlli tattici a breve termine ancora in atto, le configurazioni IT sono sempre più complesse.
Nel complesso, i CISO sembrano aver accolto il 2022 come un momento di “calma dopo la tempesta”. Tuttavia, dobbiamo essere consapevoli che la tempesta non si è mai veramente placata: ci siamo solo abituati a viverla, come la rana che rimane tranquillamente nella pentola dell’acqua che si riscalda in modo graduale.
Con l’aumento delle tensioni geopolitiche e l’intensificarsi degli attacchi mirati alle persone, le stesse lacune in termini di consapevolezza, preparazione e prevenzione degli utenti sono pronte a far esplodere nuovamente i livelli di rischio per le aziende.
