Da una nuova indagine sui CISO (Chief Information Security Officers), condotta da Censuswide per Netskope, emerge che sale la propensione al rischio informatico, anche se ciò dipende dal rapporto coi dirigenti.
In gioco è dunque “Il tema della proattività, come sottolineato dalla ricerca”, spiega AssoCISO, contattata da Cybersecurity360, “si deve coniugare con il superamento dell’approccio tradizionale legato esclusivamente alla mitigazione dei rischi”.
Per non correre inutili rischi, occorre migliorare l’allineamento con i dirigenti.
Infatti, “considerare l’information security una disciplina che si contrapponga al business o addirittura lo inibisca”, aggiunge Enrico Morisi, ICT Security Manager, “significa non averne compreso pienamente il ruolo e le potenzialità: è certamente possibile interpretarla e svilupparla in quest’ottica ma sarebbe un approccio quantomeno sterile in quanto fine a sé stesso, autoreferenziale”.
Ecco perché la Direttiva NIS 2 rappresenta un faro per assumere l’approccio corretta.
Indice degli argomenti
CISO: in aumento la propensione al rischio informatico
I mtamenti nello scenario delle cyber minacce hanno generato l’evoluzione dei moderni Chief Information Security Officer (CISO). Dunque è l’ora di misurare qual è il loro grado di propensione al rischio nella propria azienda.
Più della metà dei CISO (57%) avverte che sale la propensione al rischio informatico. Per la precisione, il 49% indica un buon grado di propensione al rischio.
Invece, un terzo degli intervistati segnala l’avversione al rischio da parte dei propri CEO rispetto ai CISO. Inoltre il 32% preferisce lavorare a fianco di un CEO più prudente ovvero con una bassa inclinazione al rischio.
Tuttavia, i diversi atteggiamenti verso il rischio stanno provocando uno stato di perenne tensione con i dirigenti.
Invece, “la sicurezza delle informazioni è – e deve essere – un fattore abilitante, a maggior ragione considerando la vastità e la complessità dell’attuale panorama delle minacce, sempre più pericolose, efficaci e sofisticate”, mette in guardia Morisi: “Quindi è estremamente positivo che la ricerca evidenzi una tendenza dei CISO a considerare il proprio ruolo sempre più orientato alla promozione dell’innovazione e alla determinazione di un impatto positivo sul business“.
Il 66% invece dice di operare “sul filo del rasoio” fra ciò che vuole l’azienda e ciò che invece occorre fare sotto il profilo della sicurezza.
Ma un ruolo più allineato ai CEO permetterebbe di “ottenere nuovi ricavi, promuovere l’efficienza e soddisfare i requisiti normativi, saranno riconosciuti come preziosi facilitatori ai livelli più alti”, secondo James Robinson, Ciso di Netskope.
Allinearsi con i dirigenti nella propensione al rischio
L’indagine contraddice gli stereotipi classici dei CISO “geneticamente” avversi al rischio. Ma oggi soltanto il 16% dei CISO considera bassa la propria attuale propensione al rischio.
“Il ruolo del Chief Information Security Officers”, aggiunge AssoCISO, “deve essere anche quello di supportare lo sviluppo dell’innovazione e della trasformazione digitale garantendo la conformità normativa, la protezione dei dati insieme ad una esperienza utente capace di soddisfare le necessità del business“.
Il 23% dei CISO intervistati, che hanno partecipato all’indagine su oltre mille a livello globale, ritiene invece che ci sia uno scollamento con gli altri membri della dirigenza che non sono in grado di interpretare il ruolo del CISO come fattore abilitante dell’innovazione.
Invece, occorre “individuare e gestire i rischi considerati significativi per una data organizzazione, con un approccio multirischio, al fine di garantire la cosiddetta Business Continuity, senza perdere di vista il tema basilare dell’accountability, tutti aspetti che del resto l’Unione Europea ha posto a fondamenta della tanto discussa direttiva NIS 2“, avverte Enrico Morisi:
“Non si tratta quindi di assumere una posizione pregiudiziale del ‘sì’ o del ‘no’, o di maggiore o minore propensione a trascurare un determinato rischio, ma di affrontarlo e gestirlo, possibilmente, con determinazione e obiettività, adottando opportune soluzioni di mitigazione, al fine di renderlo accettabile”.
Due terzi (65%) dei CISO sta, invece, assumendo un ruolo più proattivo e progressista, grazie all’implementazione della tecnologia che apre a nuove opportunità per favorire l’innovazione e l’impatto positivo sul business.
Soltanto il 36% dei CISO, però, crede di rivestire un ruolo di “protettore” concentrato soprattutto sulla difesa dell’organizzazione.
“I CISO devono dimostrare una comprensione approfondita delle dinamiche aziendali e lavorare per integrare le esigenze di sicurezza con gli obiettivi strategici dell’azienda, contribuendo efficacemente e facilitando questi processi, garantendo l’adeguata resilienza dell’ecosistema aziendale”, conclude AssoCISO.
Questione di approccio per i CISO
Il 59% ora si ritiene un facilitatore aziendale, mentre il 67% afferma di voler assumere un ruolo più attivo in futuro. Il 66% vorrebbe concordare l’azienda più frequentemente.
“L’approccio potrebbe essere anche molto diverso da organizzazione a organizzazione”, conclude Enrico Morisi, “dovendo essere necessariamente calato in un ben preciso contesto, ed è altrettanto evidente che la decisione ultima spetti al board, sulla base di report executive possibilmente semplici, chiari, comprensibili ed efficaci. Board di cui, proprio per queste ragioni, è sempre più auspicabile che faccia parte anche il CISO“.
Infatti l’obiettivo consiste nel “favorire quell’allineamento o, meglio, quella sintonia che, anche attraverso un’opportuna formazione, possa consentire di perseguire, con efficacia e profitto, i comuni tareget di business”, conclude Morisi.
“Nella mia esperienza, il modo migliore per rendere i CISO partner più proattivi all’interno del gruppo dirigente è acquisire una profonda comprensione delle sfide aziendali che i colleghi del gruppo dirigente affrontano per risolverle e allinearle alle strategie di sicurezza, piuttosto che tentare di affermare una strategia di sicurezza – o scelte tecnologiche individuali – su quella che viene percepita come propensione al rischio da parte dei dirigenti”, evidenzia James Robinson.
“Tuttavia, i nostri risultati mostrano che il gruppo dirigente non è sempre pronto a consentire ai CISO di abbandonare il loro ruolo tradizionale di protettori del business”, avverte Steve Riley, Field CTO di Netskope: “Per consentire davvero un’innovazione sicura e una trasformazione aziendale, i leader della sicurezza devono aiutare i colleghi a comprendere come espressioni in voga come ‘zero trust’ contribuiscano effettivamente a strategie che consentono un equilibrio tra rimanere sicuri e portare a termine il lavoro”.