Poiché la sicurezza informatica è diventata una considerazione sempre più importante nel processo decisionale aziendale, c’è stata una mossa corrispondente per elevare il ruolo del Chief Information Security Officer (CISO) a un livello più alto nella gerarchia esecutiva. Il ragionamento sembra essere: “Se il cyber è importante, i CISO devono essere importanti”. Tuttavia, l’elevazione del ruolo trasforma il CISO in una voce solitaria nel deserto che grida “sicurezza”, con pochi collegamenti con i decisori quotidiani nel campo dell’IT, dell’ingegneria o dei prodotti.
Ciò ha portato ad alcune conseguenze indesiderabili, come il fatto che il dirigente di Facebook abbia ritenuto giusto che le misure di sicurezza dell'azienda causato ritardi di ore in risposta all'interruzione del 4 ottobre 2021 o al dirigente di Uber che ha pagato gli hacker che ha violato il suo sistema, invece di riconoscere la violazione, o i numerosi CISO che hanno investito in “ulteriori livelli di sicurezza” invece di ammettere di aver fatto inizialmente scelte sbagliate. In tutti questi casi, l'isolamento del CISO dalle unità aziendali funzionali ha indubbiamente giocato un ruolo nel tunnel di pensiero che queste decisioni riflettono.
Impatto organizzativo
Forse è giunto il momento di reinventare il ruolo del CISO. Forse è meglio vedere l'importanza del CISO riflessa nell'impatto organizzativo piuttosto che nello status organizzativo. Forse incorporare la sicurezza nelle unità funzionali porterà a una maggiore sicurezza.
Immagina il CISO come parte dell'ecosistema dell'organizzazione IT. Sarebbero coinvolti in ogni decisione relativa all’infrastruttura e le preoccupazioni sulla sicurezza sarebbero parte integrante di tali decisioni anziché essere aggiunte a posteriori. Ciò consentirebbe una serie di soluzioni di “sicurezza” basate su come la rete è strutturata e gestita, piuttosto che su speciali capacità di sicurezza inserite nell’infrastruttura da un gruppo esterno.
Immagina un esperto di sicurezza integrato nell'organizzazione di sviluppo software. Sarebbero in grado di affinare il processo di sviluppo per assicurarsi che il codice sia scritto e testato con un occhio alla sicurezza, senza gravare gli sviluppatori con processi a loro estranei, riducendo così le vulnerabilità nel codice dell'azienda. Immagina un esperto di sicurezza integrato nelle linee di prodotti. Sarebbero in grado di assicurarsi che l’infrastruttura aziendale protegga la loro proprietà intellettuale e che il loro processo di sviluppo riduca le vulnerabilità del loro prodotto.
In tutti questi casi, la sicurezza diventa un fattore nelle decisioni aziendali radicate nella realtà delle operazioni aziendali. La competenza tecnica del CISO diventa parte integrante del lavoro quotidiano piuttosto che un vincolo imposto su di esso. Allo stesso modo, la sicurezza e la conformità devono funzionare ininterrottamente affinché i sistemi finanziari e le comunicazioni con partner e fornitori rimangano sicuri. Ciò si estende ai sistemi di telecomunicazioni e ad altro hardware.
Il fattore di rischio
Questo sembra un modo più efficace per rendere la dimensione tecnica della sicurezza una voce potente nell’esecuzione aziendale. Tuttavia, ci si potrebbe chiedere se ciò non ridurrà la dimensione politica, balcanizzandola per affrontare gli interessi specifici delle singole unità funzionali. Questa preoccupazione può essere affrontata ampliando il ruolo del Chief Risk Officer per includere le funzioni di politica di sicurezza attualmente svolte dal CISO.
Ciò ha il vantaggio di mantenere la politica di sicurezza al livello C, dove riceve l’attenzione di cui ha bisogno. Presenta l’ulteriore vantaggio di considerare il rischio di sicurezza informatica nel contesto di altri rischi (rischio di disponibilità, rischio di reputazione, per affrontare i casi di cui sopra). La sicurezza non sarebbe più fine a se stessa, ma una dimensione del fare impresa. Ciò non significa che la sicurezza debba scontrarsi con altre preoccupazioni e adottare soluzioni che compromettano il livello di sicurezza dell'organizzazione. Piuttosto, crea un ambiente che scambia la mentalità dell’uno o dell’altro con una che cerca di soddisfare tutti i requisiti.
Esistono numerose tecnologie di controllo degli accessi che avrebbero protetto Facebook in modo efficace senza escludere il proprio personale. Quando si considera il rischio per la sicurezza insieme al rischio di disponibilità, emergono soluzioni più pragmatiche.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
