Il difficile lavoro del Chief Information Security Officer – Parte 1
Uno dei tanti aforismi, che riguardano la cybersecurity e le sempre più frequenti violazioni e furti di dati, recita: “oggi non è importante stabilire se la nostra Azienda è sotto attacco: ciò che importa sapere è se ce ne siamo già accorti (ed in che modo ce ne siamo accorti!)”. In queste parole è racchiuso il difficile compito riservato ai Chief Information Security Officer (CISO) che oggi occupano uno dei posti più scomodi tra quelli occupati dai vari manager: un data breach può costare il licenziamento se si lavora in un’azienda USA!
In Italia non si rischia così tanto, ma è sicuramente un punto di arresto della propria carriera, una macchia nel proprio curriculum. Il rischio di vedere i dati di clienti, dipendenti e fornitori, le strategie di marketing e perfino i propri brevetti in mano a concorrenti, se non addirittura a criminali, non è che uno dei tanti fattori che rendono quello dei CISO un lavoro difficile.
Quali sono le principali difficoltà a cui va incontro oggi un Chief Information Security Officer?
Alcune ricerche pubblicate recentemente illustrano le difficoltà che incontra un responsabile della sicurezza di una azienda statunitense. Questo ci permette un raffronto con quanto succede nelle imprese italiane, almeno quelle medio-grandi, dove il CISO affianca, o, a volte, è alle dipendenze del CIO nell’organigramma aziendale.
- Il CISO negli USA è ancora ben lungi dall’essere considerato uno dei Manager chiave dell’azienda, come possono esserlo il CFO, il CIO o il CRO. E questo è testimoniato anche dal suo stipendio, che, per quanto rilevante, non è mai all’altezza di quello degli altri suoi colleghi Manager. E in Italia? La situazione è un po’ diversa, ma in fondo quanto succede è molto simile: non tanto per lo stipendio, dal momento che la posizione di responsabile della sicurezza (a parte rare eccezioni nelle Telco) solitamente non è ricoperta da una persona presa dall’esterno in base alle proprie capacità ed al proprio curriculum. Piuttosto viene scelto un senior manager di lungo corso (quindi forse con uno stipendio di tutto rispetto). Ciò che conta è che la persona prescelta debba avere una vasta conoscenza dell’azienda, sapersi “muovere”, per non disturbare con le sue tediose richieste sulla sicurezza, il lavoro di quanti si preoccupano del core business dell’Impresa. Deve mantenere buoni rapporti con gli auditor e con le autorità di controllo, riempiendole di documenti che attestino una formale compliance alle norme in materia … ed essere anche abbastanza “sacrificabile” come capro espiatorio, nel caso in cui le falle sulla sicurezza si dimostrassero più ampie del previsto.
- I Chief Information Security Officer statunitensi lamentano di non avere risorse sufficienti o almeno non tutte le risorse, umane e finanziarie, che essi ritengono necessarie a garantire la sicurezza di dati ed applicazioni. E questo è vero anche in Italia; anzi, dalla collocazione organizzativa della struttura che si occupa della sicurezza, e, a maggior ragione, dal budget a sua disposizione, si capisce quanto grande sia ancora la distanza tra CISO ed il vertice dell’Azienda, o quanto sia difficile convincere il Board che la sicurezza non è solo un costo, ma un’opportunità di business. Nelle grandi imprese, che sono oggi le uniche a potersi permettere una struttura dedicata, la sicurezza è, viceversa, uno “spezzatino”: la sicurezza fisica spesso risponde alla parte immobiliare, la sicurezza informatica spesso risponde ai Sistemi Informativi, ed infine la sicurezza delle persone (la “safety”) spesso risponde al Personale e Organizzazione. Tutte quante poi sono costrette a “rosicchiare pezzi di budget” da ognuna delle strutture da cui dipendono, per poter fare il mestiere cui sono chiamate.
- Negli USA, il Chief Information Security Officer viene percepito come colui che dice sempre di no: “questa password non va bene perché è troppo corta o troppo facile”, “l’accesso a questi siti, benché utili per una serie di ragioni commerciali, non deve essere permesso”, “per mettere in sicurezza l’APP che avete appena sviluppato sono necessari altrettanto tempo e soldi”, e così via … E qui da noi? Ammesso che i veti del CISO siano effettivamente rispettati (è stato più fortunato di altri suoi colleghi nello spaventare il Board con la minaccia di catastrofiche sanzioni da parte degli Enti Regolatori in caso di violazione alla privacy ed alla sicurezza dei dati) la sua popolarità non è certamente ai massimi livelli e uno dei passatempi aziendali preferiti è quello di cercare di aggirare le regole dettate dalla Sicurezza. Un esempio per tutti: l’utilizzo in chiaro, al momento del collaudo di una nuova applicazione, dei dati dei clienti.
Quello che abbiamo tracciato è certamente un dipinto a tinte forti: l’abbiamo fatto per cercare di richiamare l’attenzione su un ruolo, quello del CISO, che è sempre più importante e centrale, man mano che il business di ogni Impresa diventa più legato alla propria presenza nella Rete. Invece, il lavoro del CISO risulta oggi oggettivamente difficile, diviso fra applicazioni legacy, sviluppate prima dell’avvento di Internet, e nuove APP, che si cerca di sviluppare il più rapidamente possibile per non perdere opportunità e mercato.
Almeno per queste nuove applicazioni una soluzione c’è, e ci viene suggerita dal nuovo Regolamento Europeo sulla sicurezza dei dati (GDPR). Per la privacy esso prevede infatti
- Una “Privacy by design”, che richiede che si tenga conto della protezione dei dati personali fin dall’inizio: la privacy deve essere un elemento strutturale nella progettazione del nuovo software.
- Una “Privacy by default”, che richiede che un dato personale non sia mai in chiaro: l’operazione su un dato personale non deve essere quella di crittografarlo prima di un eventuale trattamento, ma di de-crittografarlo nei (limitati) casi in cui serva in chiaro.
Ebbene, parafrasando questi requisiti, il nuovo mantra per i CISO dovrebbe essere: “cybersecurity by design” & “cybersecurity by default”.
A cura di:
Franco Vigliano, The Innovation Group