La prossima grande minaccia alla sicurezza aziendale potrebbe non essere un nuovo malware o nuove tattiche o tecniche da parte di cyber criminali, ma potrebbe riguardare la salute mentale dei CISO (Chief Information Security Officer).
Negli ultimi 20 anni ho ricoperto il ruolo di CISO per aziende di diversi settori. In questo ruolo mi sono assunta la responsabilità di proteggere ogni organizzazione da un’ampia gamma di minacce alla sicurezza informatica. Ho anche imparato in prima persona quanto stress debbano affrontare ogni giorno i responsabili della security aziendale.
Da recenti conversazioni con altri CISO è emerso che lo stress nella sicurezza è un problema che riguarda tutto il settore. Il ruolo del CISO è uno dei più stressanti in qualsiasi organizzazione. E la funzione di sicurezza, ampiamente diffusa in ogni tipo di azienda e settore industriale, si trova sull’orlo di una crisi indotta dallo stress.
CISO: che fa e come si diventa Chief Information Security Officer
Indice degli argomenti
Cosa distingue il ruolo del CISO
Il team di sicurezza non è certo l’unico a essere sotto pressione. Altre funzioni aziendali e altri ruoli dirigenziali devono soddisfare aspettative elevate e talvolta irrealistiche. Ma ciò che rende unica la posizione del CISO è la sua relativa “giovinezza”; la maggior parte dei ruoli in un’organizzazione moderna esiste da decenni, quindi, questi ruoli consolidati risultano ben definiti. Le aziende hanno avuto molti anni per rafforzare le responsabilità dei CEO, CFO e COO e per sviluppare processi che garantiscano il corretto funzionamento delle loro funzioni.
Al contrario, la funzione di security nelle aziende è un po’ come il selvaggio West. Dal CISO in giù, i ruoli della sicurezza sono nuovi e immaturi rispetto a molte altre posizioni aziendali. Pertanto, il CISO finisce spesso per assumersi la responsabilità di tutto ciò che potrebbe andare storto nella presenza digitale di un’organizzazione. Ciò conferisce al CISO un mandato di un’ampiezza enorme.
Se i dati degli utenti vengono compromessi, il CISO può essere ritenuto responsabile di tutte le implicazioni derivanti relative alla conformità, al servizio clienti e al brand. Se i pagamenti fraudolenti vanno a buon fine, le ricadute finanziarie possono essere imputate ancora una volta al CISO. Se i macchinari vengono danneggiati o i processi vengono interrotti a causa di un ransomware o di un altro attacco, è un problema del CISO. Se i dipendenti inseriscono i dati aziendali nel cloud, anche se i team di sicurezza non sono a conoscenza del trasferimento dei dati in corso, è ancora responsabilità del CISO. E se qualche tipo di minaccia nuova e precedentemente sconosciuta compromette i sistemi in modi che nessuno avrebbe potuto prevedere, ancora una volta: è responsabilità del CISO.
I singoli eventi di sicurezza informatica hanno il potenziale per far deragliare i piani strategici di un’organizzazione. Ma la maggior parte dei CISO non ha un piano chiaro per preparare la propria organizzazione a difendersi dalla miriade di minacce che potrebbe dover affrontare. Non esiste nemmeno una job description del lavoro che dovrebbero compiere. In un’azienda, il controllo degli accessi potrebbe rientrare nel dominio del CISO, mentre in un’altra organizzazione potrebbe appartenere al team di rete.
In uno scenario in cui ogni azienda definisce a modo suo il ruolo del CISO e le relative responsabilità, non si può nemmeno invocare la scusante “lo fanno tutti in questo modo”. Le aziende non gestiscono la sicurezza informatica tutte allo stesso modo. Ciascun CISO è autonomo nel determinare in che modo proteggere un’infrastruttura in continuo divenire contro il panorama delle minacce in costante evoluzione.
Aspettative esterne
Ad aumentare la pressione si aggiunge il fatto che i vari C-level potrebbero non avere aspettative realistiche sul grado in cui i team di sicurezza informatica possono garantire la sicurezza dei dati e delle applicazioni aziendali. CEO, CFO, COO e consulenti legali spesso vedono la security come un’equazione matematica.
Ritengono che il CISO dovrebbe essere in grado di identificare tutte le possibili lacune e, quindi, colmarle. Sembra una proposta semplice. In realtà, ovviamente, garantire la sicurezza di un’infrastruttura aziendale ampia e dinamica è tutt’altro che semplice.
Il team esecutivo e il board spesso si aspettano che il CISO abbia una risposta immediata a ogni domanda. L’organizzazione può utilizzare centinaia di applicazioni e strumenti, accumulati nel corso di decenni, ma CEO, CFO, COO si aspettano che il CISO conosca tutti i passaggi che il team di security ha intrapreso per proteggerli. Se non riesce a rispondere subito, le sue prestazioni lavorative potrebbero essere messe in discussione direttamente o indirettamente.
Le aspettative dei clienti in merito non solo alla consegna tempestiva di prodotti e servizi, ma anche alla privacy e alla riservatezza dei dati, tracciano una linea diretta tra l’efficacia del team di sicurezza e le entrate aziendali. E poi c’è l’aspetto normativo. Ci si aspetta che i CISO dimostrino l’approccio di security dell’organizzazione alle agenzie regolatorie.
Per alcuni CISO questi fattori di stress sono aggravati ulteriormente da un sentimento di responsabilità verso la comunità o la nazione. Dagli oleodotti, agli uffici governativi, alle strutture sanitarie, abbiamo visto come un ransomware possa paralizzare infrastrutture critiche. Ecco allora che anche la sicurezza nazionale è all’ordine del giorno del CISO.
È un rischio che i CISO non sono stati addestrati a gestire, ma ciò non significa che possiamo ignorarlo.
Le implicazioni sulla salute mentale dei CISO
Tutti questi fattori messi insieme creano un clima di costante pressione sui CISO e i team di sicurezza informatica. Gli attaccanti mettono continuamente alla prova la loro competenza, andando alla ricerca della più piccola svista che potrebbero sfruttare a proprio vantaggio. Dal punto di vista della salute mentale, questo ha un impatto incredibile.
Sfortunatamente, le funzioni di sicurezza in azienda mancano in genere di una missione chiara, di una base di conoscenze o strutture di supporto che altre organizzazioni sottoposte ad elevato stress, come le forze armate, hanno costruito nel corso dei secoli.
Ciò ha causato in molti CISO problemi di salute mentale. Eppure, molti di loro evitano di parlare delle conseguenze che questa professione provoca sulla salute mentale. È facile chiedere ai C-level di avere più personale o tecnologia e strumenti aggiuntivi. Basta fare un’analisi e produrre un business case. Chiedere supporto per la salute mentale è differente. Alcuni CISO ritengono che verrebbe percepito come una mancanza di competenza. Si preoccupano che una conversazione sulla salute mentale possa generare l’idea che le loro capacità, conoscenze e capacità siano inadeguate per svolgere quel lavoro.
Tuttavia, lasciare che i problemi di salute mentale peggiorino può avere ripercussioni disastrose. Una conseguenza potrebbe essere il burnout tra i responsabili della sicurezza e il loro staff, una situazione questa che molti stanno già sperimentando in una certa misura. Un’altra conseguenza è che alcuni giovani scelgono di non intraprendere una carriera nella security perché non vogliono dover sopportare elevati livelli di stress. Entrambe queste tendenze contribuiscono ad aumentare la carenza di personale specializzato nella security di cui i media parlano da qualche anno.
Un’altra conseguenza molto allarmante riguarda alcuni CISO che affrontano lo stress da lavoro auto-curandosi o abusando di alcol. All’inizio del 2019, prima della pandemia, Forbes ha pubblicato i risultati di un sondaggio in cui un CISO su sei ha ammesso di rivolgersi a queste opzioni per affrontare lo stress da lavoro. E probabilmente molti altri non l’hanno ammesso. Il livello di stress dei CISO è aumentato durante la pandemia contestualmente all’aumentare del lavoro da remoto e alla necessità di un accesso continuo alle risorse digitali in ogni momento, che causano maggiori rischi di compromessi e interruzioni.
Tutto questo cambiamento e l’aumento di produttività hanno un impatto sulla salute mentale e nessuno vorrebbe che il team di sicurezza non sia al suo massimo quando si verifica una crisi. Certo, nessuno tranne gli attaccanti. Un CISO che non sta bene è quindi un grave rischio per la sicurezza.
Cosa fare?
Le aziende devono affrontare questo problema per due motivi: per avere risorse in grado di garantire una risposta adeguata quando è in gioco la sicurezza aziendale e per attrarre e mantenere i migliori talenti della sicurezza informatica. CEO, CFO e COO devono riconoscere il livello di pressione a cui i CISO e i loro team sono sottoposti ogni giorno. Devono promuovere un sano equilibrio tra lavoro e vita privata per le risorse della security e devono assicurarsi che l’azienda fornisca un ambiente sicuro per avanzare richieste di supporto e garantire il benessere mentale dei propri dipendenti. E devono anche cercare e finanziare programmi di sostegno che forniscano ai CISO strumenti semplici per gestire lo stress, senza sottrarre troppo tempo al loro lavoro o penalizzarli in altro modo.
Quelli di noi che non hanno paura di portare la propria testimonianza apertamente e non sono intimiditi dai rischi per la carriera, dovrebbero farlo. Abbiamo un ruolo da svolgere nell’educare i CEO su questa crisi incombente. Occorre sensibilizzare i leader aziendali nel contattare i loro CISO in modo proattivo e senza alcun giudizio di sorta. Gli amministratori delegati dovrebbero riconoscere che questo lavoro è difficile e molti CISO e i team di sicurezza stanno affrontando preoccupazioni legittime: non è semplice parlare di queste nuove sfide per la salute mentale. Altri nostri colleghi – e la professione del CISO in generale – hanno bisogno di noi per portare l’attenzione su questo tema.
I CISO che stanno lottando contro questo malessere e non se la sentono di chiedere aiuto, devono sapere che ci sono risorse disponibili. Poiché i nostri lavori sono allo stesso tempo complessi e importanti, i CISO saranno sempre sotto pressione.
Lo stress non andrà mai via completamente, ma ci sono metodi che possono aiutarci a mitigarlo. Questo è un problema a livello di settore e più comune di quanto si possa pensare.
