Sulla figura del CISO ci sono opinioni diverse. Il CISO è davvero un ruolo necessario in azienda? Quali sono i problemi che deve affrontare? E’ una figura fondamentale per la sicurezza informatica aziendale, ma sul cui ruolo si fa spesso ancora confusione. Il Ciso – Chief Information Security Officer è un manager dalle ampie competenze gestionali, informatiche, economico finanziarie.Ha potere decisionale sulle azioni da intraprendere per proteggere l’organizzazione da ogni rischio informatico ma non solo.

I ricercatori di Clusit, Associazione Italiana per la Sicurezza Informatica, hanno evidenziato come la pandemia abbia fortemente, e in vario modo, caratterizzato gli attacchi informatici in questi mesi: il tema Covid-19 è infatti stato utilizzato tra febbraio e giugno per perpetrare 119 attacchi gravi, ovvero il 14% degli attacchi complessivamente noti (sono stati 850 gli attacchi analizzati). In particolare, l’argomento è stato utilizzato a scopo di cybercrime, ovvero per estorcere denaro, nel 72% dei casi; con finalità di “Espionage” e di “Information Warfare” nel 28% dei casi.

Oltre ai danni direttamente conseguenti agli attacchi compiuti, gli esperti Clusit evidenziano che il tema Covid-19 ha alimentato anche la diffusione di fake-news, fomentando la confusione sulla pandemia che si è venuta a creare a livello globale soprattutto nei primi mesi.

Gli attacchi a tema Covid-19 sono stati condotti nel 61% dei casi con campagne di “Phishing” e “Social Engineering”, anche in associazione a “Malware” (21%), colpendo tipicamente i cosiddetti “bersagli multipli” (64% dei casi): si tratta di attacchi strutturati per danneggiare rapidamente e in parallelo il maggior numero possibile di persone ed organizzazioni.

Dotarsi del professionista CISO è quindi una decisione non rimandabile. Considerando il contesto globale infatti, la sicurezza informatica aziendale dev’essere trattata come una priorità.

Sarà compito del Ciso creare e fare in modo che si persegua, una strategia di sicurezza informatica aziendale efficace. La confusione sul ruolo di questo esperto è data dalla presenza in azienda di professionisti come l’IT Manager. Banalmente, si potrebbe pensare che il coordinatore dell’area IT sia una figura adeguata e sufficiente per gestire l’ambito cyber security dell’organizzazione. Non è così. L’IT manager ha enormi competenze tecniche in materia di informatica, ma per garantire la sicurezza totale serve un approccio completo che spazi dalla conoscenza tecnologica allo sguardo sul business. Il Ciso sicuramente conosce la tecnologia, ma il suo è un ruolo specifico in ambito sicurezza per preservare le informazioni dell’azienda.

Il Ciso dovrebbe preoccuparsi di creare una cultura aziendale relativa alla cyber security, perché ancora oggi molte aziende non considerano il tema rilevante e urgente e di conseguenza non stanziano budget adeguati per questa area. E’ un professionista dotato di digital skill che si ritrova in azienda a lavorare a stretto contatto con gli incaricati della compliance per garantire il rispetto dei vincoli normativi. Importante, ad esempio, la collaborazione con il DPO, figura più nota perché espressamente citata nel GDPR.

Il direttore della sicurezza informatica (CISO) è la figura aziendale responsabile dello sviluppo di una strategia aziendale perché i beni d’informazione e le tecnologie aziendali siano adeguatamente protetti. Si tratta di una figura che non dovrebbe occuparsi della parte più operativa, quanto piuttosto di una risorsa strategica, capace di impostare le linee guida delle policy di sicurezza e controllare che queste siano rispettate per mitigare i rischi informatici. Questa figura, solitamente inquadrata a livello dirigenziale, risulta strategica quando riesce a comunicare in modo continuativo le azioni e le attenzioni necessarie a presidiare la business continuity aziendale.

Il Chief information security officer si deve occupare di definire una strategia di sicurezza informatica, di realizzare programmi di protezione e di progettare e far rispettare procedure per mitigare i rischi informatici.

Ciso per prima cosa, appena arrivato in azienda andrà a svolgere un assessment per capire quali sono i problemi più rilevanti e proporre all’azienda una strategia che includerà anche il piano finanziario per realizzarla. L’analisi di rischi e vulnerabilità riguarderà, soprattutto in ambito B2B, anche la filiera dei fornitori e dei clienti, da gestire in collaborazione con il DPO. Questa attività viene svolta in queste modalità perché il Ciso si dovrebbe preoccupare anche di valorizzare gli aspetti di security rispetto ai prodotti aziendali, per migliorare la reputation dell’azienda nei confronti dei clienti. Schematizzando, le prime azioni che intraprenderà il Ciso in azienda sono:

• Assessment iniziale
• Creare un action plan e una strategia di lungo termine
• Implementare le necessarie policy
• Gestire gli aspetti di compliance (ad esempio il GDPR)
• Gestire la classificazione delle informazioni
• Gestire l’asset management
• Gestire i diritti di accesso alle risorse e informazioni
• Gestire le protezioni perimetrali nonché le reti wi-fi
• Prevenire gli attacchi, svolgere attività di hardening, Patch e vulnerability management
• Gestire le identità digitali
• Gestire gli incidenti
• Gestire la formazione del personale
• Riportare in modo diretto ai vertici aziendali

È importante ricordare che a oggi il principale anello debole della gestione della catena di sicurezza è il fattore umano: secondo l’Osservatorio Information Security & Privacy del Politecnico di Milano 2018, la distrazione e la scarsa consapevolezza dei dipendenti rappresentano le criticità prevalenti per l’82% delle aziende. Fondamentale è quindi che siano sensibilizzati dipendenti e collaboratori su questi temi.
L’approccio basato sulla compliance alle normative non è dunque in generale sufficiente, secondo gli uomini di Gartner serve una mentalità business per garantire la sicurezza e competenze di varia natura incluse capacità di leadership oltre che legali e di business risk management.

l ruolo del CISO riguarda anche tutti gli aspetti relativi alla protezione di privacy e dati sensibili. A questo proposito, nel GDPR – General data protection regulation è fissato l’obbligo della presenza in molteplici tipologie di aziende del DPO – Data protection officer, quest’ultimo deve collaborare proprio con gli altri responsabili della sicurezza IT (a partire ovviamente quindi dal CISO) per portare a termine le proprie attività che implicano la protezione delle infrastrutture e, in generale, degli asset aziendali.

L’epidemia di Covid-19 ha generato nuove esigenze aziendali e, in particolare, i Security Manager hanno dovuto farsi carico di nuove responsabilità che – molto presumibilmente – dovranno continuare a gestire anche nel periodo post-lockdown.
La modalità di remote working ha impattato pesantemente sulla responsabilità dei CISO che si sono trovati ad affrontare gli attacchi sferrati dai cyber criminali che hanno trovato nuovi modi per sfruttare la pandemia.

Secondo un nuovo sondaggio condotto da Deloitte, il 69% dei CISO prevede che il numero e la dimensione degli attacchi informatici aumenteranno ulteriormente nei prossimi 12 mesi.

Inoltre, nel mondo post Covid-19, molte persone non solo lavoreranno da casa, ma potranno svolgere il lavoro da ogni genere di luogo, compresi bar e hotel. Pertanto, sarà necessario aggiornate le policy di cyber security – dal momento che la superficie di attacco aumenterà ulteriormente – oltre a considerare i necessari cambi di paradigmi e soprattutto la flessibilità, in modo da garantire la cyber security anche a livello Paese e tra blocchi geopolitici.

Il rapido cambiamento provocato dalla Covid-19 ha introdotto vulnerabilità nella logica aziendale, nella tecnologia e nelle persone che lavorano all’interno dell’organizzazione. I CISO dovranno garantire la continuità del business nonostante gli attacchi cyber e dimostrarsi pronti a adattarsi alle situazioni erratiche.

La fase di lockdown dalla quale stiamo uscendo non è stata, comunque, esente da cyber risk & crime. La connessione da remoto ha ampliato la superficie d’attacco da parte degli hacker che hanno sfruttato le vulnerabilità delle piattaforme di remote working. Sempre più massive campagne di phishing e malware sono state messe in atto per sottrarre dati e credenziali. Una vera e propria pandemia, non solo di natura sanitaria, ma anche “informatica”.

La “sanificazione” dei device. Nella fase post-lockdown è opportuno essere cauti e proteggersi da possibili minacce informatiche; pertanto, risulta quando mai strategica l’incorporazione dei principi di Risk Management & Business Continuity per garantire la Resilienza Organizzativa.

I CISO dovranno adoperarsi affinché:

siano garantite il numero di risorse adeguate, dotate di competenze specialistiche in grado di gestire la continua evoluzione della cyber security;
i ruoli e le responsabilità delle risorse siano definiti e comunicati a tutti i livelli organizzativi;
il Top Management comprenda i rischi di cyber security che l’azienda deve gestire;
le soluzioni tecnologiche siano progettate, integrate e gestite tenendo conto degli aspetti normativi in termini di sicurezza e della privacy;
l’azienda incentivi l’adozione di pratiche di sicurezza e di default sulle imprese e sui prodotti in cui investe;
i rischi di terze parti siano gestiti in modo efficace.

Qui a Studio Rivelli possiamo aiutarti con questo servizio, il nostro CISO esperto è costantemente aggiornato sulle ultime novità in materia di cyber security. Chiedi subito un preventivo gratuito!