Come sta cambiando il ruolo dei Chief Information Security officer in un momento di grande attenzione alla cybersecurity, e non solo, nelle imprese? E quale impatto la security nel budget delle imprese? Lo abbiamo chiesto ad Ettore Guarnaccia, Responsabile ICT e Sicurezza Logica del Gruppo Banca Popolare di Vicenza che molti anni opera nel campo della sicurezza delle informazioni, della gestione del rischio informatico e della compliance ICT.
Come è cambiato il ruolo del CISO negli anni e qual è la principale preoccupazione di una figura tanto importante?
Negli ultimi anni l’avvento delle moderne tecnologie digitali e di una società iperconnessa ha cambiato profondamente lo scenario globale e avviato una rivoluzione culturale per i professionisti dell’information security. Anni fa il problema principale del CISO era la protezione perimetrale della rete aziendale, poiché si lavorava prevalentemente in ufficio con computer tradizionali e orari canonici. Oggi i dispositivi mobili “smart” e il crescente ricorso al BYOD hanno letteralmente dissolto il concetto di perimetro aziendale e di orario lavorativo, si lavora ovunque e in qualsiasi momento. I dati, che una volta erano conservati nel data center, oggi sono distribuiti su cloud, servizi di messaggistica e dispositivi mobili. L’enorme volume di informazioni digitali che viene oggi generato e utilizzato dalle aziende crea, di fatto, immense sfide per chi ha il compito di proteggerne il valore.
Il ruolo del CISO è cambiato di conseguenza e si è inevitabilmente evoluto. Oggi il CISO non può più essere un mero specialista di sicurezza informatica, ma un manager a tutti gli effetti, che sappia dialogare con gli organi apicali e conosca a fondo il business della propria azienda, se vuole garantire la salvaguardia dei processi di business e delle informazioni critiche. Un CISO che non conosce la visione e gli obiettivi di business ha ben poche possibilità di contribuire al successo della propria azienda. Egli ha il compito di supportare ed abilitare il business, comprenderne le strategie e apprenderne il linguaggio, aiutando la direzione a valutare i rischi derivanti dalle decisioni, assicurandosi che vi sia piena consapevolezza e sviluppando una cultura del rischio. Ha la responsabilità di rappresentare il reale livello di sicurezza e di rischio dell’azienda, affinché strategie e investimenti vengano opportunamente indirizzati. Infine deve garantire che il programma di information security sia allineato agli obiettivi del piano industriale e alle decisioni strategiche del top management, controllandone periodicamente l’avanzamento e misurandone il ritorno economico per l’azienda. Negli eventi di sensibilizzazione che presiedo, ripeto sempre che la sicurezza al 100% non esiste. Infatti, per conseguire un livello di sicurezza accettabile, il CISO deve saper bilanciare rischi e contromisure, proporzionando gli investimenti di sicurezza al rischio cui l’azienda è effettivamente soggetta, garantendo al contempo la conformità con leggi e regolamentazioni di settore. Gli obiettivi sono la protezione delle informazioni critiche (ad esempio i segreti industriali) e del business aziendale. Non è un compito semplice, sia chiaro. Le chiavi del successo, a mio parere, sono costituite dall’abilità di comunicazione e dal rapporto di collaborazione con la direzione e le altre funzioni di controllo: audit, compliance e risk management.
Che impatto ha la voce cyber security nel bilancio di una azienda moderna e quale dovrebbe avere?
Secondo recenti indagini la spesa media per la cyber security si aggirerebbe intorno al 4-5% del budget IT, ma è sempre più arduo identificare con precisione quali investimenti siano realmente originati dalla funzione aziendale di sicurezza delle informazioni. Oggi molti investimenti vengono deliberati per garantire la conformità con leggi e regolamentazioni, mitigare i rischi o soddisfare i rilievi dell’audit interno, tutte tematiche sulle quali la funzione di sicurezza agisce in maniera trasversale poiché, a tutti gli effetti, è una delle funzioni aziendali di controllo. 2 La conformità è tuttora il principale driver degli investimenti in termini di cyber security, ma ritengo che la cultura aziendale evolverà verso un governo della sicurezza delle informazioni fortemente integrato con la gestione del rischio e le strategie IT e di business. Come ripeto spesso, non è detto che una piena conformità garantisca un adeguato livello di sicurezza.
Non è semplice valutare se gli attuali investimenti siano sufficienti o meno; non si può prescindere, infatti, dalla conoscenza del livello di maturità della sicurezza aziendale, dei gap che l’azienda deve scontare in termini di conformità, del suo profilo di rischio e, non ultima, della cultura interna in materia di sicurezza, protezione dei dati e salvaguardia del business. Uno degli investimenti più prioritari per un CISO moderno, ad esempio, è sicuramente rappresentato dalla costruzione di una solida cultura di sicurezza fra tutti gli organi aziendali, a partire dai livelli gerarchici più bassi per arrivare alle figure apicali. Il primo elemento di successo sono le persone: il CISO deve fare in modo che comprendano ed adottino la sicurezza come un elemento naturale della loro vita lavorativa, attraverso apposite campagne di sensibilizzazione, educazione e formazione. Quasi sempre, quando i processi e gli strumenti informatici falliscono, l’ultimo baluardo della sicurezza aziendale è rappresentato proprio dalle persone.
Quali sono le principali minacce informatiche per le PMI italiane e quali i settori maggiormente a rischio?
L’attuale panorama delle minacce è molto diverso rispetto ad appena dieci o quindici anni fa. Gli attacchi piuttosto semplici che provocavano danni limitati hanno lasciato il posto alle attività criminali informatiche moderne, sofisticate, ben finanziate e in grado di causare gravi danni alle aziende e alle infrastrutture nazionali. Questi attacchi avanzati, oltre a essere difficili da rilevare, rimangono anche a lungo all’interno della rete aziendale, talvolta accumulando risorse per poter lanciare attacchi altrove. Potrà apparire scontato, quindi, citare le minacce che occupano la ribalta dei media di settore come il cybercrime, l’hacktivism, lo spionaggio industriale o l’information warfare. Non possiedo una vasta esperienza diretta sulle PMI, ma posso certamente affermare che la principale minaccia per il settore è costituita dall’enorme gap culturale di sicurezza rispetto alle aziende di grandi dimensioni, in termini di protezione del proprio business, di crescita culturale e professionale del personale o di adozione di standard internazionali come riferimento per una corretta gestione del rischio e un efficace governo della sicurezza aziendale. Gli investimenti in tal senso sono limitatissimi e la crisi non li ha certo favoriti. Eppure è incredibilmente palese il livello di rischio cui le PMI italiane sono costantemente soggette e di cui sono spesso ignare. Troppo spesso una spinta all’adozione di misure di sicurezza più consone proviene da incidenti come la violazione dei servizi web, l’arresto di processi vitali, il furto di segreti industriali o il danneggiamento di informazioni critiche. Tuttavia l’approccio è raramente ponderato e strutturato, spesso assume connotati meramente reattivi e, una volta passata l’emergenza, la situazione ritorna più o meno quella di prima. Come già detto, anche se viviamo in una società ipertecnologica e iperconnessa, l’anello debole rimane ancora l’utente ed è soprattutto investendo sulla cultura del personale che si può ottenere un certo ritorno in termini di sicurezza.
I settori tipicamente più bersagliati sono quello governativo e quello militare, seguiti dai servizi cloud (in forte ascesa), da news e intrattenimento, da educazione e ricerca e dal settore bancario e finanziario. Con l’esplosione dell’hacktivismo si è assistito anche ad un sensibile aumento degli attacchi alle organizzazioni non governative. Dal punto di vista della gravità dei possibili impatti, invece, i settori più a rischio sono quelli delle infrastrutture critiche, ovvero trasporti, telecomunicazioni, sistemi finanziari e servizi primari come centrali elettriche, impianti di trattamento e distribuzione di acqua e gas, sanità e ospedali. Il settore bancario è, in assoluto, quello più regolamentato, grazie alla progressiva emanazione di una nutrita serie di normative italiane ed europee che, negli ultimi anni, hanno introdotto nuovi e più stringenti criteri di controllo interno, di gestione del rischio informatico e della conformità, di governo del sistema informativo, della sicurezza, dei dati e degli outsourcer. Ecco, sarebbe auspicabile che un’analoga base normativa venisse estesa anche ad altri settori meno regolamentati, fra cui appunto le PMI, che costituiscono oltre il 99% delle imprese italiane.
Proprietà intellettuale ed azienda… le aziende italiane sanno difendere il proprio patrimonio?
Non sono molte le aziende virtuose che si prodigano nel proteggere il proprio business. L’errore più frequente è quello di considerare come patrimonio solo i macchinari o le strumentazioni. Ad esempio, il concetto di segreto industriale è ancora poco compreso, la gestione del rischio non è quasi mai attuata correttamente e le informazioni critiche vengono raramente incluse fra le proprietà da difendere. Nella mia esperienza diretta con alcune PMI, ad esempio, ho rilevato quasi sempre casi di furto di segreti industriali ad opera di dipendenti – tipicamente tecnici, ingegneri e progettisti – che hanno poi avviato imprese concorrenti nel medesimo settore e nella stessa zona geografica, talvolta dopo avere sottratto anche l’intero portafoglio clienti. Eppure sono ancora molto poche le aziende che si tutelano adottando clausole di non divulgazione, segmentando e controllando gli accessi alle informazioni, o investendo nella prevenzione. Il più delle volte se ne preoccupano solo quando i buoi sono ormai lontani dalla stalla.
Anche la definizione delle strategie aziendali avviene spesso sulla sola base delle sensazioni del top management, senza prendere in considerazione un’analisi del rischio, opportune verifiche dei livelli di sicurezza o un’attenta valutazione dei possibili scenari. Il rischio è che la navigazione dell’azienda avvenga prevalentemente a vista, senza essere supportata da riscontri oggettivi. Come quello del CISO, anche il ruolo dell’imprenditore è profondamente cambiato e non può più limitarsi alla sola gestione commerciale degli affari. L’imprenditore moderno deve porre la dovuta attenzione anche alla salvaguardia del business aziendale e alla resistenza dell’azienda a tutte le tipologie di minaccia, comprese ovviamente quelle informatiche. Oggi più che mai è in gioco la sopravvivenza sul mercato e, di conseguenza, il benessere dei dipendenti e delle loro famiglie; anche così è possibile creare e mantenere posti di lavoro in uno scenario di crisi economica generalizzata.
Aziende e Certificazioni in materia di sicurezza, quale suggerisce e perché?
Diversi aspiranti professionisti dell’information security mi hanno chiesto, attraverso il mio blog, se la certificazione professionale possa costituire un buon punto di partenza per la loro carriera. Ho sempre risposto che la certificazione dovrebbe piuttosto essere considerata il coronamento di un percorso formativo, professionale ed esperienziale, quindi un punto d’arrivo o di misurazione personale, più che di partenza. Per un motivo ben preciso: conseguire una certificazione senza essere perfettamente in grado di sostenerla professionalmente sul campo, dimostrando preparazione, competenza, esperienza e cognizione di causa, potrebbe addirittura provocare un effetto deleterio. L’autorevolezza che si è in grado di dimostrare conta moltissimo e può scaturire solo da un percorso di studio, approfondimento, sperimentazione diretta e un’adeguata dose di responsabilità e buon senso. Tutti elementi che richiedono anni di maturazione.
Il settore dell’information security offre diverse tipologie di certificazione, da quelle indirizzate al governo della sicurezza delle informazioni, come la CISSP di (ISC)2 , la CISM di ISACA o la CCISO di EC-Council, a quelle più settoriali, cioè legate a specifici ambiti come l’ethical hacking o l’analisi forense, o ancora quelle indirizzate a particolari prodotti e soluzioni. La certificazione più adatta dipende dal percorso professionale, dall’esperienza acquisita, dalle effettive esigenze lavorative e dalle aspirazioni dell’interessato. A loro volta, le aziende possono trovare nella certificazione l’importante punto d’arrivo di un programma di costruzione di consapevolezza nel personale, di adeguamento ed ottimizzazione dei processi interni, di protezione del proprio patrimonio informativo, di gestione del rischio e di prevenzione degli incidenti di sicurezza. In ambito aziendale è possibile acquisire certificazioni sulla qualità dei processi di governo del sistema informativo, della sicurezza, della continuità operativa o della gestione del rischio, tutte generalmente basate su standard internazionali consolidati e in grado di contribuire all’efficienza e alla sicurezza di un’azienda. Anche per le aziende, la scelta delle certificazioni va ponderata in funzione degli obiettivi strategici e di business.
Chiudiamo con un suggerimento al management delle aziende italiane, come migliorare la sicurezza delle loro organizzazioni?
Il contesto attuale impone alle aziende di abbandonare il vecchio approccio legato esclusivamente al concetto di firewall, antivirus e antispam, perché la sicurezza non è un qualcosa che si può comprare, ma è principalmente una predisposizione mentale che richiede un certo allenamento. Ecco perché la questione più urgente è ridurre il più possibile il gap culturale a tutti i livelli dell’azienda. Questo è realizzabile, da un lato, posizionando nei punti chiave dell’azienda, tipicamente le funzioni di controllo interno, persone professionalmente preparate, esperte e dotate di una visione lungimirante, in grado di innescare ed attuare l’evoluzione culturale richiesta. Dall’altro, investendo in un programma esteso e comprensivo di consapevolezza, educazione e formazione del personale, direzione e management compresi. Questi due interventi consentiranno sia di innalzare il livello culturale dell’azienda in tema di salvaguardia del business, sia di fornire maggiori motivazioni al personale favorendone il senso di appartenenza. La direzione aziendale, poi, deve integrare sempre la sicurezza nelle decisioni di business e adottare un approccio basato sul rischio, invitando il CISO a partecipare ai tavoli decisionali del business, affinché comprenda e supporti gli obiettivi strategici dell’azienda e ne abiliti il conseguimento.
La sicurezza delle informazioni, se correttamente e pervasivamente applicata con un forte mandato direzionale, può costituire un enorme valore aggiunto per qualsiasi azienda, in termini di qualità ed efficacia dei processi, di miglioramento dell’operatività e dell’immagine sul mercato, nonché di protezione del business aziendale. È fondamentale che gli imprenditori e i dirigenti riconoscano l’importanza che dati e informazioni rivestono per l’efficace funzionamento e la sopravvivenza della propria azienda, e quanto sia importante considerarli come beni aziendali chiave da proteggere. Non hanno altra scelta che assumersi la responsabilità primaria sulla sicurezza degli asset digitali: una volta che questo concetto sarà ben radicato nella loro mente, il CISO sarà pronto a svolgere il proprio ruolo di consulente di fiducia.
Facebook Comments