LA GUIDA PRATICA

Il ruolo dei Chief Information Security Officer (CISO) nel post-lockdown: linee guida

Nel post-lockdown, i Security Manager e i Chief Information Security Officer in particolare dovranno assumere un ruolo sempre più “modulare” alla situazione contingente per gestire al meglio la sicurezza informatica e fisica di tutti gli attori aziendali. Ecco un utile vademecum

10 Lug 2020
L
Federica Maria Rita Livelli

Business Continuity & Risk Management Consultant


L’epidemia di Covid-19 ha generato nuove esigenze aziendali e, in particolare, i Security Manager hanno dovuto farsi carico di nuove responsabilità che – molto presumibilmente – dovranno continuare a gestire anche nel periodo post-lockdown: in particolare, i Chief Information Security Officer (CISO), con la proclamazione della pandemia, hanno dovuto, da un giorno all’altro, implementare la modalità di remote working per garantire al personale la possibilità di lavorare da casa e di conseguenza gestire un perimetro aziendale “allargato” e più vulnerabile agli attacchi cyber.

Ad oggi, non sappiamo se la modalità di remote working rimarrà in “essere” anche nel prossimo futuro – o anche in modo permanente. Ne consegue che si profilano nuove esigenze aziendali e il ruolo del CISO si dovrà sempre più “modulare” alla situazione contingente e prendersi carico di nuove responsabilità in modo tale da gestire al meglio la sicurezza informatica e fisica.

La sicurezza nel periodo post-pandemico

La pandemia ha posto una maggiore enfasi sulla sicurezza fisica che ha comportato, da parte dei Security Manager, un maggior focus su questa tematica e lo sviluppo di policy aziendali in materia di salute negli uffici, atte a:

  1. controllare l’occupazione degli spazi secondo le disposizioni ministeriali;
  2. monitorare il distanziamento sociale e implementare le politiche aggiornate di sicurezza;
  3. salvaguardare quanto più la salute dei dipendenti ed effettuare screening di misurazione della temperatura.

Trattasi di responsabilità molto articolate da gestire, soprattutto per quelle aziende con sedi in più Paesi – alle prese anche con l’implementazione di procedure viaggi, gestione delle visite dei clienti e dei fornitor, in un’ottica di bilanciamento delle esigenze organizzative con la sicurezza dei dipendenti, che è diventata quanto mai prioritaria e che, in questa fase di post-lockdown, implicherà una convergenza della sicurezza degli spazi fisici con la raccolta delle informazioni e dei dati.

Risulteranno fondamentali e strategici sia l’interazione tra le varie funzioni aziendali coinvolte sia una comunicazione efficace, atta a fornire informazioni in termini di gestione delle misure adottate e le varie interrelazioni tra i vari attori interni ed esterni all’organizzazione.

Sarà necessario, altresì, rivedere le procedure di rientro in ufficio e le politiche di cyber security oltre a adottare nuove tecnologie come soluzioni touchless, screening termici a distanza, sistemi integrati di gestione del flusso di visitatori e soluzioni cloud.

Inevitabilmente, i CISO saranno sempre più in prima linea nella salvaguardia della cyber security, messa ancor più a repentaglio dall’adozione di strumenti e di tecnologia necessari per garantire un’adeguata distanza sociale in ufficio e verso l’esterno.

La superficie di attacco deve essere ridefinita

La modalità di remote working ha impattato pesantemente sulla responsabilità dei CISO che si sono trovati ad affrontare gli attacchi sferrati dai cyber criminali che hanno trovato nuovi modi per sfruttare la pandemia.

Secondo un nuovo sondaggio condotto da Deloitte, il 69% dei CISO prevede che il numero e la dimensione degli attacchi informatici aumenteranno ulteriormente nei prossimi 12 mesi.

Inoltre, nel mondo post Covid-19, molte persone non solo lavoreranno da casa, ma potranno svolgere il lavoro da ogni genere di luogo, compresi bar e hotel. Pertanto, sarà necessario aggiornate le policy di cyber security – dal momento che la superficie di attacco aumenterà ulteriormente – oltre a considerare i necessari cambi di paradigmi e soprattutto la flessibilità, in modo da garantire la cyber security anche a livello Paese e tra blocchi geopolitici.

La cyber security come attivatore del business

La cyber security non deve essere “bloccante”, bensì deve essere concepita come una leva strategica per rendere più sicure e competitive le aziende. I CISO, per raggiungere questo obiettivo, dovranno adottare un approccio olistico e sinergico in modo da garantire una puntuale interazione e comunicazione tra le parti.

Il rapido cambiamento provocato dalla Covid-19 ha introdotto vulnerabilità nella logica aziendale, nella tecnologia e nelle persone che lavorano all’interno dell’organizzazione. I CISO dovranno garantire la continuità del business nonostante gli attacchi cyber e dimostrarsi pronti a adattarsi alle situazioni erratiche.

La pandemia e la maggiore enfasi sulla sicurezza implicano che i CISO siano visti non solo come “paladini” della cyber security, ma anche come “leva strategica” e “abilitatori” dell’innovazione per il business; è auspicabile che essi, insieme ai Risk & Business Continuity Manager, riportino direttamente al Consiglio di Amministrazione e sempre più interagiscano con il Top Management.

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

Come afferma Kurt John – responsabile della sicurezza informatica di Siemens USA: “Nel fornire le soluzioni tecniche per aiutare a proteggere l’organizzazione, i CISO dovranno anche essere partner strategici in grado di contribuire a soluzioni di business volte a risolvere problemi sempre più complessi”.

Pertanto, essi sono destinati ad essere coinvolti, non solo nella protezione dell’organizzazione, ma anche nella consulenza ai responsabili di prodotto e agli sviluppatori, in un’ottica di approccio di security by design, dato che i clienti considerano sempre più la sicurezza e la privacy come fattori essenziali, fornendo consigli su come:

  1. adattare prodotti e servizi creati per la fase post-lockdown in un contesto omnichannel, a fronte anche della trasformazione digitale di interi settori;
  2. indirizzare gli interventi di sicurezza in modo proattivo, pragmatico e strategico;
  3. valutare i rischi e garantire la continuità operativa.

Il cyber risk sarà sempre più tra le tipologie di rischi aziendali da monitorare: è necessario capire bene il ruolo da svolgere per garantire la sicurezza – anche attraverso il confronto con colleghi e concorrenti – non solo in un’ottica di miglioramento continuo, ma facendo comprendere ai Consigli di Amministrazione ed al Top Management che una migliore gestione del cyber risk può convertirsi in una importante leva di vantaggio competitivo.

Come tornare alla “normalità” e la gestione dei cyber risk

Le aziende si stanno adoperando per tornare quanto prima all’operatività normale. Tuttavia, il passaggio da remote working al ritorno al lavoro in ufficio non può essere sottovalutato: ogni azienda deve adattarsi in maniera diversa e i CISO devono valutare tutti i cyber risk e le implicazioni che questa fase implica.

La fase di lockdown dalla quale stiamo uscendo non è stata, comunque, esente da cyber risk & crime. La connessione da remoto ha ampliato la superficie d’attacco da parte degli hacker che hanno sfruttato le vulnerabilità delle piattaforme di remote working. Sempre più massive campagne di phishing e malware sono state messe in atto per sottrarre dati e credenziali. Una vera e propria pandemia, non solo di natura sanitaria, ma anche “informatica”.

I Security Operations Centers (SOC), che erano stati progettati per cercare comportamenti anomali, oggi operano con visibilità ridotta perché tutto sembra anomalo. Le attività e le funzioni aziendali critiche sono significativamente più esposte a attacchi informatici da parte di organizzazioni criminali e Stati nazionali, che cercano di sfruttare le vulnerabilità ed “inoculare” malware per sferzare attacchi futuri.

Inoltre, i servizi del settore pubblico – come ospedali e servizi sanitari – sono sottoposti a forti pressioni e sono stati particolarmente colpiti da nuovi tipi di ransomware volti a interrompere la connettività e da attacchi DDoS.

Nuove priorità di cyber security. Nello scenario contingente è importante definire le nuove priorità di cyber security relative alla fase post-lockdown, destinate a diventare la “nuova normalità” per la maggior parte dei CISO, in termini di: protezione dei endpoint dei dipendenti in remote working attraverso nuove politiche di sicurezza e limitazione degli accessi in termini di autorizzazioni per arginare i rischi di minacce informatiche; maggiore rapidità di intervento di correzione dei bugs della rete a fronte di attacchi DDoS, defacements e violazioni dei dati, contemplando l’impiego di strumenti di sicurezza configurati istantaneamente e più facilmente per prevenire nuovi rischi informatici.

Inoltre, non dimentichiamo che gli hacker hanno reinventato i loro approcci di attacco durante la pandemia in corso. Truffe di phishing correlate alla Covid-19, campagne di disinformazione, siti Web atti a diffondere malware si sono diffusi su Internet per rubare informazioni personali. Gli aggressori hanno progettato più siti Web correlati alle informazioni di Coronavirus per indurre gli utenti a fare clic/scaricare un’applicazione per rimanere aggiornati sulla situazione.

Anche il numero di attacchi ransomware è aumentato, costringendo le aziende a pagare un riscatto elevato al fine di ottenere le chiavi di decrittazione; secondo un recente report di Coveware, i pagamenti medi di riscatto delle imprese sono aumentati del 33% (i.e. pari a $ 111.605) nel primo trimestre del 2020 rispetto al quarto trimestre del 2019.

La “sanificazione” dei device. Nella fase post-lockdown è opportuno essere cauti e proteggersi da possibili minacce informatiche; pertanto, risulta quando mai strategica l’incorporazione dei principi di Risk Management & Business Continuity per garantire la Resilienza Organizzativa.

I computer aziendali, lasciati a sé stessi, potrebbero essere stati presi di mira da malware, fermi in agguato in attesa del ritorno in ufficio. Bisogna valutare bene i rischi e attuare tutte le misure di continuità necessarie; sarà altresì necessario accertarsi che i dispositivi siano al sicuro e controllarli prima del ritorno in uffici dal momento che alcuni dipendenti hanno portato a casa delle apparecchiature IT e l’utilizzo casalingo di tali dispositivi potrebbe averli messi in pericolo, così come le chiavette USB e i dispositivi di archiviazione.

Oltre a ispezionare i dispositivi è necessario:

  1. implementare determinati processi e procedure per facilitare la cyber security;
  2. reimpostare le password, dal momento che è possibile che i dipendenti abbiano condiviso i propri laptop e credenziali con la famiglia o gli amici, oltre ad aver riutilizzato le password su nuovi dispositivi a casa e aver fatto operazioni poco sicure;
  3. ripristinare le credenziali per tutti i dispositivi e software dell’azienda, attuando in questo modo una “sanificazione” vera e propria dei device.

Sarà necessario, altresì, garantire il monitoraggio delle reti per verificare anomalie, pianificare attività periodiche di controllo e diffondere, sempre più, la cultura della cyber security tra i propri dipendenti.

Personale qualificato: AAA cercasi. Il panorama con cui devono confrontarsi i CISO è oggi molto sfidante a causa delle minacce cyber in continua evoluzione e del ridotto tempo a disposizione per contrastare gli attacchi. Inoltre, sarà quanto mai strategico poter disporre di figure per la cyber security che risultano, purtroppo, difficili da reperire sul mercato.

Si ritiene che entro il 2021 potrebbero esserci fino a 3,5 milioni di posti vacanti: una situazione non proprio ideale che è diventata più evidente durante la pandemia, quando le aziende, alle prese con l’emergenza Covid-19 e con una forza lavoro operativa in gran parte da remoto, hanno dovuto anche subire un’escalation degli attacchi cyber.

Conclusione

È oramai evidente a tutti che l’adozione su larga scala di tecnologie da remote working, l’uso esponenzialmente maggiore dei servizi cloud e l’esplosione della connettività hanno comportato cambi di paradigma che impattano notevolmente sulla cyber security.

Nel contesto di Covid-19, i CISO devono trovare un equilibrio critico tra sicurezza e privacy, tempi di operatività e mercato, costi e convenienza. Essi sono destinati ad assumere un ruolo sempre più importante e strategico; devono andare oltre i controlli di conformità ed integrarsi maggiormente a livello organizzativo, se vogliono gestire i rischi di cyber security in modo più strategico e lavorare verso una cultura della proprietà condivisa del rischio cibernetico in tutta l’azienda.

La cyber security deve diventare una componente fondamentale del modello operativo e della cultura aziendale.

I CISO dovranno adoperarsi affinché:

  1. siano garantite il numero di risorse adeguate, dotate di competenze specialistiche in grado di gestire la continua evoluzione della cyber security;
  2. i ruoli e le responsabilità delle risorse siano definiti e comunicati a tutti i livelli organizzativi;
  3. il Top Management comprenda i rischi di cyber security che l’azienda deve gestire;
  4. le soluzioni tecnologiche siano progettate, integrate e gestite tenendo conto degli aspetti normativi in termini di sicurezza e della privacy;
  5. l’azienda incentivi l’adozione di pratiche di sicurezza e di default sulle imprese e sui prodotti in cui investe;
  6. i rischi di terze parti siano gestiti in modo efficace.

Sarà altresì fondamentale – di concerto con i Risk Manager, i Business Continuity Manager e le altre funzioni preposte alla sicurezza aziendale – aggiornare e mettere in pratica i piani di risposta e di continuità aziendale al fine di riuscire a garantire la transizione verso la “nuova normalità”.

Solo attraverso una collaborazione “olistica”, i CISO riusciranno a supportare l’organizzazione nel gestire efficacemente i cyber risk, sostenere meglio la sicurezza e mantenere la continuità aziendale, rispettando – al contempo – i propri obblighi nei confronti degli stakeholder aziendali.

Ricordiamoci che l’obiettivo finale è la resilienza, concepita come risultato di un calibrato processo di prevenzione, adattamento, i.e. “metabolizzazione” delle esperienze vissute, ovvero le cosiddette lesson learned scaturite da questa crisi contingente.

WHITEPAPER
Che differenza c’è tra VPN software e VPN hardware?
Networking
Banda larga

@RIPRODUZIONE RISERVATA

Articolo 1 di 5