L’incipit è sempre lo stesso. La società sta navigando nelle acque profonde del digitale: servizi online, cloud, app per mobile, wearable device, dematerializzazione, domotica connessa. Le aziende, siano esse clienti o fornitori di tecnologia/servizi, stanno veleggiando lungo le diverse correnti del cyber space, che possono implicare diverse opzioni strategiche come, ad esempio, costruire data center e mantenere il pieno controllo delle proprie informazioni, esternalizzare il servizio e affidarlo a qualcun altro attraverso il cloud o scegliere soluzioni ibride. Le decisioni strategiche non si esauriscono in una scelta di outsourcing o inbound.
L’azienda non è più dislocata in luoghi stabili ma è fluida e dinamica. Alcuni fenomeni propedeutici al cambiamento e alla diversificazione delle strategie sono pure lo smart working, il telelavoro o il “BYOD”. Con questi elementi otteniamo una geografia esplosa di “siti” lavorativi e di informazioni sparse in aree geografiche eterogenee in termini di connessioni, leggi, restrizioni, minacce. La digitalizzazione sta cambiando le posture difensive dell’azienda abbastanza marcatamente, abbattendo perimetri e confini. Qualunque sia la scelta strategica, questa influenzerà pesantemente anche le strategie di Information Security.
Il perimetro di attività di Information Security sta diventando di gran lunga superiore a quello della sicurezza classica. È sufficiente pensare al fatto che anche la sicurezza classica (Security & Safety) si può avvalere di sensoristica collegata alla rete: telecamere, casseforti, serrature, controllo accessi, nuovi device e wearable. Questi ultimi potranno supportare i lavoratori in ambienti a rischio, fornendo informazioni su come riparare passo dopo passo un impianto o allertando il dipendente su uno stato psico-fisico di stress o stanchezza che potrebbe metterne a rischio l’incolumità. Gli strumenti di Security & Safety saranno oggetto di monitoraggio da remoto quanto i servizi digitali e le infrastrutture a essi correlati.
Migliaia e migliaia di IP da monitorare costituiranno una superficie di attacco molto allettante per i malintenzionati. Il numero di minacce ibride da considerare aumenterà, così come le vulnerabilità da gestire, in un perimetro che travalicherà i confini della rete aziendale per andare a fondersi con quelli casalinghi, di spazi pubblici o aree di lavoro condivise.
La superficie di attacco si allargherà esponenzialmente con l’aumentare dei servizi e della loro interdipendenza e interoperabilità, visto che un servizio digitale poggia su catene tecnologiche che possono implicare “n” vulnerabilità ciascuna. Inoltre, soprattutto gli IOT, se si continua a privilegiare l’economicità rispetto la sicurezza, saranno permeabili ad attacchi anche non sofisticati.
L’Information Security avrà come sfida maggiore quella di essere “real time”. L’aumento della superficie di attacco, l’interdipendenza dei servizi, l’interoperabilità dei sistemi, l’utilizzo del machine learning o dell’intelligenza artificiale per sessioni di attacco, comporteranno una riduzione dei tempi operativi di intervento. Attualmente un APT ci mette meno di due ore per compiere il primo movimento trasversale e una fake news pochi secondi per essere diffusa in rete e condivisa. Il tempo di intervento si ridurrà sempre più in futuro e richiederà una prontezza e rapidità maggiore da parte delle strutture competenti, visti i meccanismi sanzionatori nazionali e internazionali che iniziano a essere predominanti e stringenti in termini di tempo di notifica.
Un’azienda deve avere chiara e immediata la sua esposizione informativa e le contromisure poste in essere per la sua protezione, anche per rispondere alle Autorità adeguatamente e nei tempi richiesti.
Questo porta a interrogarci se il posizionamento organizzativo del CISO ha la giusta rilevanza strategica, operativa e tattica per contrastare i fenomeni emergenti e per mantenere una visione complessiva della situazione. L’attuale posizione lo vede per il 66% delle volte, secondo uno studio PwC, a riporto del:
- Chief Information Officer (CIO)
- Chief Operations Officer (COO)
- Chief Security Officer (CSO)
- Chief Risk Officer (CRO)
Poi ci possono essere ulteriori tipologie di riporti, oppure non esistere proprio come figura. Solo 8% circa riporta direttamente al CEO (o alla cosiddetta C-suite).
Alcuni studi, di cui purtroppo non ho avuto occasione di prendere visione in dettaglio, riferiscono che il CISO a riporto del CIO, ad esempio, comporta in caso di incidente di sicurezza una perdita finanziaria maggiore del 45% e un downtime del 14% più elevati, rispetto ad altri riporti. A mio avviso, le criticità legate al posizionamento del CISO a riporto di altre figure sono: l’insufficiente “indipendenza” economica; la mancanza di “segregation of duty”; la mancanza di autorevolezza gerarchica, la debole rapidità trasversale di azione a cui si aggiunge spesso la frammentazione a silos delle attività di Information Security.
Andiamo punto per punto:
Insufficiente indipendenza economica: soprattutto se a riporto del CIO, spesso accade che sugli investimenti e sui costi chi solitamente ne risente in caso di tagli è il CISO. Si aggiunga il fatto che giustificare un investimento o un costo in assenza di beneficio, considerabile come quantificazione monetaria di un evitato impatto, non è di facile rappresentazione. Ancora oggi ci si interroga sul valore finanziario stesso del dato, sia esso personale, confidenziale o altro.
Mancanza di segregation of duty: chi fa e chi controlla non possono riportare allo stesso responsabile. Si rischia l’effetto “sporco sotto il tappeto”;
Mancanza di autorevolezza gerarchica: il CISO non ha l’autorevolezza necessaria per indirizzare le strategie aziendali e si ritrova spesso a dover accettare il cambiamento senza compromessi, anche con perdite economiche derivanti da investimenti in corso non più in linea con gli indirizzi strategici;
I tempi sono maturi per definire nuovi modelli organizzativi. La transizione a un modello organizzativo nuovo necessita di programmi di change management chiari e sequenziali ma di facile realizzo.
Debole rapidità trasversale di azione: pubblicare comunicazioni operative di alerting nella intranet o sui canali ufficiali aziendali o direttamente ai clienti; procedere a denunce all’autorità giudiziaria; postare smentite a fake news richiedono rapidità di azione senza dover attendere processi autorizzativi di 2 o 3 linee gerarchiche che possono impiegare giorni o settimane ad arrivare.
Frammentazione di attività a silos: attività spezzettate fra diverse funzioni come monitoraggio rete, patch management, policy management, brand protection produce una serie di aree grigie sia di responsabilità sia di attività da svolgere con la conseguente perdita della visione di insieme integrata e aumento dei costi.
L’evoluzione della società, delle abitudini e del modo di fare business deve portare con sé anche una nuova visione organizzativa. Nulla vieta che si possa ottenere lo stesso risultato con deleghe, potenziamento del coordinamento e forte collaborazione ma dubito che l’efficacia e l’efficienza che si otterrebbe sia paragonabile a quella in cui le attività di Information Security (comprensive anche a quelle dell’IT Security), convergano nella stessa funzione il cui responsabile sia a diretto riporto del CEO o perlomeno allo stesso livello del CIO.
L’era digitale richiede rapidità, i meccanismi sanzionatori prontezza di risposta. La visione di insieme è necessaria per garantire la sicurezza a tutto tondo. Essendo le contromisure un connubio di più attività che vanno dal front end della sensibilizzazione, passando per le policy fino ai monitoraggi dei servizi, è necessario riuscire ad avere il pieno controllo su tutti gli elementi caratterizzanti l’Information Security e dare una maggiore rilevanza al tutto.
In USA, recentemente si è iniziato a parlare di questo tema. Ci si pone l’interrogativo se non sia necessario elevare il ruolo del CISO e posizionarlo all’interno della C-suite. Stanno nascendo programmi in linea con il National Cyber Security Framework del NIST in cui si ha una visione completa top down/bottom up di tutte le categorie espresse dal NIST con livelli di controllo e di rappresentazione dello status di protezione a raggruppamento crescente e con un riporto gerarchico diretto al CEO. Per ognuna delle 5 “Function” e ognuna delle 22 categorie sono rappresentati tutti i sistemi afferenti o lo status delle attività svolte (Es. (Status per Detect <->Anomalies & Events <-> SIEM <-> Log piattaforma 1, Log piattaforma 2,…). Questo permette una serie di vantaggi non indifferenti, come ad esempio:
Maggiore commitment in termini di Information Security da parte di altri dipartimenti aziendali;
Economie di scala nelle scelte degli investimenti di lungo periodo, avendo chiara la strategia aziendale e dove andrà il business in futuro;
Monitoraggio dei costi di esercizio e razionalizzazione della spesa, associandola ad analisi costi/benefici in base ad impatti evitati grazie all’insieme delle contromisure messe in piedi;
Presidio completo dei piani di rientro in tutte le “Function” e relative sotto categorie, con possibilità di dettare i tempi e pianificare meglio le attività.
Anche la direttiva israeliana “Proper Conduct of Banking Business Directive 361 (03/15) Cyber Defense Management”, afferma che il Chief Cyber Defence Officer (nostro CISO) deve riportare direttamente a una figura senior executive; gli deve essere data l’autorità di influenzare qualsiasi decisione che possa impattare sull’esposizione al rischio cyber della banca; e deve essere in una posizione tale che non venga influenzato da potenziali conflitti di interesse.
A livello organizzativo, il CISO, nelle società virtuose, si posizionerà sempre più in alto. L’ostacolo maggiore a questa visione deriverà dagli attriti interni che gli altri dipartimenti potrebbero suscitare (es. CIO) ma anche dal debole commitment al cambiamento del top management. Quest’ultimo ostacolo non è facilmente sormontabile. Le società di consulenza possono supportare in questo passaggio da un’era informatica a un’era digitale, sensibilizzando il top management, ma spesso non riescono ad arrivare in cima alla piramide. I senior partner del settore Information Security delle società di consulenza si posizionano a un livello di discussione che al massimo raggiunge il CIO e il CSO. Questo cambiamento per essere attuato necessità di un convincimento a più alto livello ed è per questo che necessità di una spinta a livello di Direttori Generali o CEO stessi.
I tempi sono comunque maturi per definire nuovi modelli organizzativi. La transizione a un modello organizzativo nuovo necessita di programmi di change management chiari e sequenziali ma di facile realizzo in termini di tempo. La fase più critica è la valutazione dell’AS-IS che deve essere compiuto sulla base di un framework omnicomprensivo di Information Security (es. Framework NIST). L’analisi delle criticità e dei controlli con relativi KPI è una fase propedeutica alla predisposizione di un eventuale budget costi/investimenti da presentare l’anno successivo. In una grande azienda è un processo che per portare il modello a regime potrebbe chiedere dai 2 ai 3 anni in base alla collaborazione delle strutture e alla velocità di esecuzione. Pertanto il rischio è di essere già in ritardo rispetto al futuro digitale.
Link :
https://businessinsights.bitdefender.com/cisos-should-report-directly-to- the-ceo-study-shows
https://www.csoonline.com/article/3228886/leadership-management/ should-cisos-join-ceos-in-the-c-suite.html
