In uno scenario industriale e produttivo “iper-connesso”, la sicurezza informatica gioca ormai un ruolo di primissimo piano in un’ottica di miglioramento dei risultati aziendali e riduzione del rischio.
Quando ho iniziato a operare nel campo della sicurezza IT oltre 20 anni fa, la protezione del perimetro sembrava un obiettivo raggiungibile. L’attenzione era rivolta alla network penetration, al rilevamento delle intrusioni e alla protezione dei dispositivi host.
Le conversazioni sulla cyber sicurezza erano altamente tecniche, inaccessibili ai non esperti e spesso ignoravano gli imperativi di business. La teoria si basava sul fatto che un unico approccio alla sicurezza avrebbe funzionato per tutti.
Indice degli argomenti
Il nuovo paradigma della sicurezza informatica in azienda
Oggi gli ambienti sono diversi. Ci sono dispositivi mobili ovunque, servizi cloud, infrastrutture virtuali e applicazioni personali utilizzate in qualsiasi luogo e momento e oggetti intelligenti all’interno e all’esterno delle aziende.
Le reti sono fluide, in continua evoluzione, basate su nuove fonti di dati che spesso si comportano in modo diverso dai tradizionali endpoint.
Ora, aggiungiamo fattori quali la conformità incombente, rigorosi standard di governance dei dati e costi delle interruzioni del servizio notevolmente più elevati. Il vecchio modello organizzativo del team di sicurezza, che individua e risolve i problemi lontano dai centri operativi, non ha più senso. La sicurezza deve avvenire dove si lavora – nelle business unit – in stretta collaborazione con gli stakeholder aziendali.
Le organizzazioni che non danno priorità alla sicurezza – all’interno di ogni dipartimento – stanno correndo un rischio più elevato e maggiori possibilità di fallimento.
Quando pensiamo al nuovo paradigma di sicurezza si può analizzare da tre punti di vista:
- perché la sicurezza deve essere una priorità;
- perché deve esserlo in ogni divisione;
- come renderlo possibile.
In primo luogo, il ruolo della sicurezza deve essere riconosciuto perché non bisogna proteggere le fondamenta tecniche come server, storage, reti e software, ma i dati, le identità, la proprietà intellettuale e i processi aziendali.
Come professionisti del settore, basiamo le nostre esperienze su conoscenze tecniche e strumenti di sicurezza efficaci. Ma non è più sufficiente.
Come dicevamo, la sicurezza si basa sul costante miglioramento dei risultati aziendali e sulla riduzione del rischio. Ciò significa che è necessario comprendere dove risiedono le risorse sensibili e in quale modo sono collegate ai processi aziendali principali.
Tanti CISO sono preparati sul fronte tecnico, ma non lo sono altrettanto sui problemi di business, come il miglioramento dei turni di inventario, la reputazione del brand o la semplificazione della supply chain.
C’è la necessità di collaborare con la controparte business e, poiché i budget dedicati alla sicurezza sono sempre più spesso finanziati dalle diverse business unit e non da un’unica fonte centrale, è importante che tutti siano sulla stessa lunghezza d’onda quando si tratta di investimenti e priorità.
Per quanto riguarda il secondo punto – affidare alla sicurezza un ruolo in ogni dipartimento – poiché le aziende basano sempre più le loro attività sui dati tutte le divisioni sono a rischio di attacchi malware, zero-day, minacce avanzate e persistenti, furto di identità, ransomware e molto altro.
Gli aggressori non si limitano a seguire le domande di brevetto dell’ufficio tecnico, il database dei clienti o le note del CFO sulle acquisizioni in corso. Ogni reparto è a rischio, ed è necessario che i responsabili aziendali e il team di sicurezza uniscano le forze per identificare i rischi, valutare gli impatti potenziali, definire strategie, mettere in atto piani difensivi e misurare i risultati.
L’esperienza ci ha insegnato che le nostre reti non solo permettono il libero flusso di dati attraverso perimetro e architetture IT, ma fungono anche da catalizzatori del cambiamento. Ad esempio, le campagne di marketing producono dati digitali che il team di vendita utilizza per interagire con clienti specifici, che si traduce in una costante trasformazione delle previsioni di vendita che guidano interattivamente i piani di produzione e l’acquisto dei componenti.
Quando i dati attraversano questi confini, la sicurezza deve essere integrata in ogni reparto, perché gli hacker non rispettano le barriere aziendali.
Quindi, quando le organizzazioni iniziano a comprendere la necessità e i vantaggi di dare alla sicurezza un ruolo – in ogni reparto – si arriva al punto dedicato a come renderla realtà.
Conclusioni
Un approccio simile comporta un ripensamento dell’organigramma – in particolare, sul ruolo al quale deve rispondere il CISO. Anche se in alcuni settori la linea di reporting ha iniziato a cambiare – in particolare nel settore finanziario –il CISO spesso riporta a CIO o CTO all’interno dell’organizzazione IT globale impedendogli di partecipare alle riunioni sulla strategia aziendale. Anche se il CISO rispondesse a un top business executive (invece che al CIO o al CTO), raramente sarà sufficiente a far sì che la sicurezza abbia un ruolo prioritario.
Il passaggio da DevOps a DevSecOps, in cui la sicurezza diventa parte del processo di sviluppo applicativo dall’inizio, è un ulteriore passo importante che business leader dovrebbero comprendere e adottare.
Oggi i rischi possono nascere ovunque e in qualsiasi momento. Se la sicurezza non tiene il passo degli stakeholder aziendali, le minacce attaccheranno e faranno danni anche potenzialmente irreparabili.
Bisogna essere certi che i team di protezione comprendano gli obiettivi e le sfide delle business unit, per far sì che la sicurezza possa diventare un vantaggio e non un ostacolo all’azione. Ma se il team è rinchiuso nella sua torre d’avorio a monitorare attentamente le anomalie di rete, per bloccare i sistemi al minimo segnale di intrusione, come può avvenire tutto questo?
Fino a quando i team di sicurezza non saranno seduti al tavolo decisionale in ogni divisione, il profilo di rischio continuerà a crescere. Con l’incremento dei livelli di conformità, governance e requisiti legali, e la possibilità di garantire ogni nuova opportunità di successo, è un rischio che un’azienda non può permettersi di correre.
