In questo periodo particolarmente complicato per le aziende, stanno venendo a galla tutte le problematiche di gestione che per anni sono state sottovalutate, accantonate o volontariamente nascoste, relativamente alla sicurezza delle informazioni. Ci sono stati vari fattori di accelerazione che hanno messo particolarmente in crisi la sicurezza delle aziende, vediamo i più rilevanti:

• la necessità di esporre servizi globalmente ci ha permesso di raggiungere clienti internazionali con estrema facilità, ma ha anche permesso a chiunque nel mondo di raggiungerci con la stessa semplicità;
• la disponibilità di moneta elettronica (criptovalute) ha permesso di spostare facilmente capitali da una parte all’altra del mondo senza la necessità di intermediari come le banche;
• la poca consapevolezza nella sicurezza delle informazioni, che ha portato a fare scelte poco lungimiranti per la sicurezza delle stesse, vuoi per problemi di budget, vuoi per la mancanza di competenze necessarie per una valutazione corretta;
• una disponibilità di risorse economiche presso terzi erogate in modalità Cloud ha complicato l’infrastruttura allargando, spesso in modo ignoto, la superficie di attacco;
• la mancanza di un processo di valutazione della sicurezza nello sviluppo veloce di applicazioni ha portato a rilasciare il prima possibile applicativi acerbi, funzionanti ma insicuri;
• una pandemia che ha costretto numerose aziende ad improvvisare un piano di continuità operativa in tempi molto brevi.

Il risultato di questi sei punti è un mix esplosivo di cui in parte oggi vediamo gli effetti (molti sono in realtà nascoste dalle cronache dei giornali). Mi sento di dire che siamo solo agli inizi, il crimine di tipo Cyber è un business enorme oltre che essere la quinta dimensione della conflittualità.

Possiamo anche dire che abbiamo volontariamente ignorato alcuni strumenti scegliendo la via più breve al posto di quella più lungimirante:

• le certificazioni internazionali come la ISO/IEC 27001 o la PCI-DSS, sono spesso state approcciate con lo scopo di prendere il bollino, piuttosto che con lo scopo di portare un vero valore aggiunto all’azienda;
• l’adeguamento al GDPR è stato affrontando privilegiando il lato legale piuttosto che partire dalla complessità dei processi IT, a meno di rari casi.

Un fallimento annunciato

Le compromissioni (data breach) degli ultimi mesi stanno generando nelle aziende una corsa agli armamenti, assumendo responsabili per la sicurezza (CISO) che dovrebbero avere l’ingrato compito di risolvere la situazione senza una strategia, senza un budget, senza le figure tecniche e senza il commitment necessario. Continuo a notare offerte di lavoro ove il futuro CISO sarà parte dello staff del CIO, in evidente conflitto di interessi.

Partiamo dall’inizio

La direzione è tenuta a sapere il rischio legato ad attacchi Cyber, ma spesso non ha dati oggettivi nemmeno per prendere in considerazione questa ipotesi. Su questa consapevolezza deve decidere se e come reagire, delegando responsabilità e autorità per farlo.

Quindi consapevolezza, commitment e un leader in grado di avere una visione trasversale che includa processi dell’azienda, rischi, infrastruttura e sia in grado di guidare le persone ad una maggiore consapevolezza sulla sicurezza delle informazioni.

Spesso le aziende cercano un CISO che diventi parte integrante dell’organico, ma questa scelta ha alcuni svantaggi:

• figure esperte che possano guidare la strategia per la sicurezza delle informazioni hanno un costo elevato;
• la figura del CISO viene spesso fatto dipendere dal CIO, cosa che limita enormemente la sua indipendenza e le sue capacità di azione;
• una figura interna tende a focalizzarsi eccessivamente sul contesto in cui lavora, perdendo nel tempo la visione sull’andamento globale delle minacce e rischiando di diventare una figura eccessivamente politica.

Un percorso di crescita

Per lavoro incontro spesso aziende che comprendono di dover affrontare il tema della sicurezza delle informazioni ma non riescono a sviluppare una strategia efficace. Molte aziende desiderano iniziare un percorso di crescita assieme per aumentare la consapevolezza in azienda, partendo dal management e formando le risorse che sono già inserite. L’obiettivo non è quello di prendere in outsourcing il servizio di CISO (non sarebbe nemmeno efficace farlo), ma di consegnare gli strumenti a chi in azienda abbia la posizione per iniziare a farlo.

In questo percorso graduale, i clienti comprendono i rischi legati alla propria infrastruttura, comprendono che le scelte tecnologiche hanno impatti diretti sul business e, nel tempo, migliorano processi ottenendo un livello di sicurezza globale più elevato. Ma soprattutto l’addestramento del personale permette di consegnare loro le competenze necessarie affinchè possano proseguire autonomamente nella gestione dell’azienda.