I recenti sviluppi in ambito tecnologico, sociale, economico e ambientale hanno costretto le organizzazioni ad affrontare rischi nuovi e sempre più rilevanti per la sicurezza delle informazioni.
Fenomeni quali la digitalizzazione dei processi aziendali, la diffusione dello smart working anche a seguito della pandemia di Covid-19 e la proliferazione di tecnologie come il cloud, l’intelligenza artificiale e i big data hanno come elemento comune il trattamento sistematico di grandi quantità di dati. Dati che, se rappresentano un valore per un individuo o un’organizzazione, diventano informazioni, le quali costituiscono ad oggi uno degli asset più critici per le organizzazioni e devono, pertanto, essere adeguatamente protette.
In questo contesto assume particolare importanza il ruolo del Chief Information Security Officer (CISO), la figura che all’interno di un’organizzazione è responsabile di coordinare la gestione della sicurezza delle informazioni.
Lo scenario attuale pone di fronte ai CISO la sfida di governare la sicurezza anche da remoto, evolvendo di fatto la propria figura verso un ruolo che non necessita più di presenza fisica in azienda.
Il CISO diventa quindi un “Remote CISO” che dovrà rivedere le proprie strategie di governance della sicurezza per soddisfare esigenze di efficacia ed efficienza: da un lato, produrre risultati qualitativamente in linea con le aspettative, garantendo misure di sicurezza adeguate a mitigare rischi che si evolvono sempre più rapidamente, dall’altro farlo nei tempi e nei modi previsti, assicurando che eventi anomali vengano gestiti nel minor tempo possibile con le risorse in proprio possesso.
Indice degli argomenti
Remote CISO: quali strategia per la governance della sicurezza
Sono diverse le metodologie a disposizione dei CISO per raggiungere tale obiettivo:
- Lean (es. eventi Kaizen);
- Ciclo di Deming;
- Six Sigma (DMAIC);
- Agile;
solo per citare le più note. Ad accomunarle è un approccio strutturato alla gestione del cambiamento, articolato in una serie di fasi: identificare/misurare/analizzare, implementare, verificare, migliorare.
Nell’ottica del CISO, la prima fase è la più importante in quanto identificare e pianificare significa saper analizzare i rischi al fine di individuare le azioni di mitigazione ottimali.
I rischi relativi alla sicurezza delle informazioni non sono più solo una preoccupazione afferente al mondo IT, ma assumono importanza sempre più rilevante anche in altri ambiti, a partire da quello economico, come evidenziato nel Global Risks Report 2020 del World Economic Forum (WEF).
In questo contesto, tutelare il patrimonio informativo di un’organizzazione richiede una strategia efficace in grado di presidiare non soltanto i rischi di natura tecnologica ma tutti i rischi connessi alla gestione delle informazioni, compresi quelli ambientali, pandemici e geopolitici.
Il ruolo del CISO diventa quindi paragonabile a quello di un direttore d’orchestra: a lui spetta la responsabilità di definire e coordinare la risposta al rischio della propria organizzazione in considerazione delle diverse esigenze – di natura legale, di sicurezza e di processo – attraverso una strategia basata sulla prevenzione e sugli strumenti a propria disposizione.
Anche perché le tecniche di attacco, pur rimanendo di fatto le stesse – malware, phishing, social engineering, account cracking ecc. – si evolvono in funzione delle circostanze. Ne sono un esempio i recenti attacchi «fearware» a tema Covid-19 che sfruttano le paure legate all’attuale situazione di emergenza sanitaria per indurre le vittime ad aprire e-mail di phishing oppure i ransomware, la versione digitale del “rapimento”, che sequestrano i dati e li restituiscono solo dopo il pagamento di un “riscatto”.
Le tradizionali modalità di risposta a questi attacchi sono ben note ai CISO: formazione, antivirus, Strong Authentication, backup, cifratura dei dati e via dicendo. Eppure, potrebbero non essere sufficienti per far fronte a particolari tipologie di minacce.
Basti pensare all’attacco sventato di recente in Tesla: dei criminali hanno offerto a un dipendente un’ingente somma di denaro per infettare i sistemi aziendali. Se il dipendente avesse accettato, anziché informare la Società, a poco sarebbero serviti tutti i sistemi di sicurezza aziendali.
I dati sarebbero stati compromessi e l’azienda avrebbe subito un danno economico senza precedenti. In questo caso, un’adeguata formazione, supportata da attività di “Employee Engagement” in grado di portare il dipendente ad essere cosciente di far parte attiva della vita aziendale, condividendone obiettivi e motivazioni – potrebbero aver giocato un ruolo chiave nello sventare l’attacco.
Remote CISO: serve un’adeguata conoscenza dei sistemi e dei dati
Le misure di sicurezza devono quindi evolversi, affiancandosi ed integrandosi con gli strumenti che altre aree offrono e che non sono strettamente legate all’ambito IT, in una logica di prevenzione.
Per mitigare i danni in caso di incidente informatico, inoltre, il CISO deve possedere un’adeguata conoscenza della sensibilità, del volume e della collocazione di tutti i sistemi e dati della propria organizzazione, nonché del valore degli stessi.
Il valore dei dati, la c.d. appetibilità, è un fattore particolarmente significativo in quanto concorre alla definizione delle possibili minacce che incombono sull’organizzazione.
Altro elemento chiave è la trasparenza: l’integrazione dei dati di esercizio della propria infrastruttura – provenienti dai sistemi di gestione delle performance – con quelli di gestione della compliance e della security permette il rilevamento di indicatori di compromissione e informazioni utili al miglioramento della strategia aziendale in tema di sicurezza delle informazioni.
L’adozione di soluzioni centralizzate di gestione della compliance (es. controllo accessi, tracciabilità ecc.) deve quindi essere presa in considerazione dal CISO.
Al tempo stesso, deve essere effettuata una scelta accurata dei partner dell’organizzazione per assicurare che offrano le necessarie garanzie di sicurezza. Su questo fronte, il CISO deve prevedere un’attenta valutazione dei contratti di fornitura per assicurarsi che non manchino Service Level Agreement (SLA), per esempio in relazione alla gestione degli incidenti di sicurezza, punti di contatto in caso di problemi, diritti di accesso e di audit, nonché prevedere una strategia di way-out.
Interoperabilità dei sistemi e portabilità dei dati
Un ulteriore ambito di responsabilità del CISO è quello della “security info-sharing”, cioè la sicurezza nella trasmissione delle informazioni alla luce della necessità di interoperabilità dei sistemi e portabilità dei dati.
Tutte le misure di sicurezza poste in essere devono essere verificabili e verificate, non solo formalmente, ad esempio richiedendo la certificazione del fornitore nell’ambito operativo di fornitura, ma anche sostanzialmente con audit tecnici, organizzativi e di processo.
Nei nuovi modelli di governance deve essere presa in considerazione l’interconnessione tra i sistemi: se da una parte l’utilizzo sempre più diffuso di soluzioni cloud può aiutare nella gestione della sicurezza, dall’altra potrebbe introdurre nuovi rischi.
Le informazioni potrebbero non risiedere più in azienda ma all’interno di infrastrutture cloud gestite da fornitori che potrebbero a loro volta risultare esposti a minacce.
Al tempo stesso, le persone potrebbero non lavorare più in un ambiente protetto e controllato come quello dell’ufficio ma da remoto, che sia da casa, in luoghi di villeggiatura o in spazi aperti al pubblico con tutti i rischi che tali ambienti comportano.
L’accesso in mobilità, l’indipendenza dalle periferiche grazie alla fruizione di servizi online, la flessibilità e la scalabilità delle infrastrutture gestite dai cloud provider richiedono la definizione di nuove aree di responsabilità condivisa all’interno dell’organizzazione, che necessitano di collaborazioni e metodologie standardizzate e, ancora una volta, lo sviluppo di nuovi modelli di governance.
Il CISO si trova quindi a dover gestire una moltitudine di rischi: rischi derivanti da accordi con terze parti, rischi operativi, rischi connessi all’implementazione dei servizi o dalla migrazione degli stessi.
Si tratta di rischi per lo più potenziali, difficilmente quantificabili e per i quali il CISO potrebbe avere difficoltà a ottenere l’approvazione degli investimenti necessari alla loro prevenzione.
L’attuale panorama normativo rende tuttavia alcuni investimenti obbligatori per garantire il rispetto delle regole vigenti, più facilmente comprensibili e giustificabili in quanto forniscono un ritorno in termini di compliance all’azienda.
Remote CISO: metodologie e approcci coerenti per la sicurezza dei dati
Per evitare una frammentazione degli investimenti che potrebbe rendere inefficace la gestione della sicurezza, le best practice consigliano di calare la sicurezza all’interno dei processi aziendali, secondo i principi di security by design e by default, anche in quelli che tipicamente hanno tempi contingentati. Servizi con rischi analoghi dovrebbero essere protetti allo stesso modo, adottando metodologie ed approcci coerenti.
I requisiti devono essere sostenibili e coerenti col mercato. L’evoluzione delle minacce deve essere costantemente monitorata. Ruoli e responsabilità devono essere ben definiti e le persone formate e sensibilizzate in merito ai rischi connessi alle loro mansioni.
La figura del CISO deve quindi evolversi di pari passo con il contesto in cui opera. Le conoscenze richieste non sono solamente tecniche, ma anche legali e di processo, così da poter individuare misure di sicurezza che possano mitigare sia i rischi connessi al trattamento di informazioni, ivi compresi i dati personali, che i rischi di responsabilità penale d’impresa.
Le responsabilità del CISO non si esauriscono infatti all’interno dei soli confini della sicurezza delle informazioni o della data protection.
Le medesime misure adottate a tutela degli asset aziendali possono avere anche una valenza di presidio nei confronti del rischio di incorrere in reati che, se commessi nell’interesse o a vantaggio dell’organizzazione, comporterebbero una responsabilità amministrativa per la stessa (es. reati informatici, frodi ecc.).
Emerge quindi con chiarezza come la capacità di bilanciare esigenze di tutela del patrimonio informativo e di compliance risulti prioritaria per la gestione della sicurezza aziendale, anche più della presenza fisica del CISO all’interno dell’organizzazione.
A tal fine, il CISO dovrà dotarsi di strumenti accessibili da remoto che gli permettano di avere una visibilità completa sugli eventi generati da sistemi e infrastrutture aziendali, così da poter identificare eventi anomali, minacce o possibili indicatori di compromissione.
Ad esempio, è fondamentale per il CISO disporre di strumenti che gli consentano di comprendere tempestivamente la natura di un incidente prima che questo possa causare gravi danni ed avere quindi una vista complessiva su tutti gli asset aziendali.
Servizi di CISO as a Service a supporto del CISO interno
La figura del CISO, sempre più rilevante per le organizzazioni, richiede quindi non soltanto strumenti a supporto, ma anche un insieme di conoscenze che non può essere limitato all’ambito tecnico, tali da permettergli di operare tenendo in considerazione le esigenze normative, di contesto e di mercato, individuando e monitorando tutti quei rischi, anche emergenti, che potrebbero avere un impatto sulla sicurezza delle informazioni.
Un’opzione in tal senso potrebbe essere quella di dotarsi di servizi di “CISO as a Service” a supporto o in alternativa a un CISO interno.
Tali servizi potrebbero consentire ad organizzazioni anche di piccole e medie dimensioni di disporre di figure altamente specializzate, con esperienza di gestione della sicurezza in contesti e realtà aziendali diverse.
Una soluzione sostenibile economicamente e in grado di garantire anche un punto di vista esterno all’organizzazione stessa e quindi una visione più ampia dei rischi da monitorare e mitigare, aumentando di fatto l’efficacia e l’efficienza della gestione della sicurezza aziendale.
