Il difficile lavoro del Chief Information Security Officer – Parte 2
Se quello del CISO è un lavoro difficile, il suo ruolo resta però centrale all’interno di Imprese sempre più interconnesse – come abbiamo sottolineato in “Il difficile lavoro del Chief Information Security Officer”. E’ necessario allora che questo ruolo venga esplicitato e pubblicato, come ben ha fatto Marc Solomon nel suo articolo “Why CISO need a Security Manifesto”, come una sorta di dichiarazione d’intenti dei responsabili della sicurezza. Cinque i principi alla base della rivalutazione del lavoro del Chief Information Security Officer:
- La sicurezza deve compenetrarsi ed essere funzionale all’architettura esistente. Questo è certamente più difficile, dal momento che parliamo di processi e di applicazioni già esistenti, che gli utenti hanno imparato ad usare in un certo modo e dove la “messa in sicurezza” potrebbe causare un ulteriore carico di lavoro. Va quindi cercata la collaborazione con gli utenti, che vanno portati a toccare con mano i vantaggi di lavorare in sicurezza. Alla fine di questo breve articolo elenchiamo alcune iniziative concrete che vanno in questa direzione.
- La sicurezza deve essere considerata un fattore di crescita per il business. Se la cybersecurity entra fin dall’inizio nella progettazione di un nuovo business (di qualsiasi natura esso sia, dal momento che il digitale ormai è ovunque), essa non rappresenterà più un ostacolo, ma viceversa garantirà al business crescita e resilienza nel tempo.
- La sicurezza deve essere trasparente ed utile. Gli utenti devono essere informati sul perché viene chiesto loro di fare o non fare determinate azioni, o di come possono essere fatte in modo sicuro. E questo a tutti i livelli organizzativi, dal board a coloro che operano sul campo. Per far questo il team della sicurezza deve avere competenze non solo tecnologiche, ma anche di business ed organizzative.
- La sicurezza deve rendere possibile l’analisi e la scelta degli strumenti più appropriati. La sicurezza è anche una questione di tecnologia e di presidio dei propri sistemi e della propria rete, sia che venga scelta una soluzione in house che una soluzione in cloud. Il Chief Information Security Officer deve quindi fare “anche” scelte tecnologiche, in collaborazione con il CIO ed i fornitori/partner tecnologici.
- La sicurezza deve essere vista come un problema di persone. Il principio IV sottolinea l’importanza della tecnologia, ma, da sola, essa non risolve tutti i problemi: il rischio è che li “esacerbi”. I comportamenti, le abitudini – in ufficio, a casa, in banca, in auto (come non pensare all’“Internet Of Things”, più che al “Codice della Strada”!) – devono essere improntati ad un uso sicuro e consapevole della tecnologia. Parrà un principio filosofico, ma le minacce oggi sono molto ma molto reali.
I punti programmatici sono chiari, ma ci sono cose in concreto che il Chief Information Security Officer può fare per portare i colleghi manager e tutto il personale a condividerli e per far apprezzare il lavoro del suo team?
Almeno 3, stando ai suggerimenti contenuti nel blog di Maria Korolov su csoonline.com:
- Risolvere una volta per tutte il problema dello spam e del phishing: utenti e clienti ve ne saranno grati. L’adozione di un sistema di autenticazione delle mail verso l’Internet Service Provider potrebbe essere la soluzione.
- Aiutare il CIO nell’eventuale scelta ad andare sul cloud, affiancando alla sicurezza che il cloud provider può fornire contrattualmente, l’adozione di un sistema di “cloud gateway”.
- Non stancarsi di lanciare iniziative per coinvolgere ed ascoltare tutto il personale dell’azienda, senza distinzione di grado, sui temi della sicurezza. Gli esempi negli States pare non manchino: e se anche qui da noi invitassimo i colleghi durante la pausa pranzo, con caffè e pasticcini, a parlare della loro partecipazione ai Social Network? Da lì a parlare della sicurezza informatica in azienda, il passo potrebbe essere breve!
A cura di:
Franco Vigliano, The Innovation Group