Il ruolo del Chief Information Security Officer (CISO) si è ampliato negli ultimi dieci anni grazie alla rapida trasformazione digitale. Ora i CISO devono essere molto più orientati al business, indossare molti più ruoli e comunicare in modo efficace con i membri del consiglio, i dipendenti e i clienti, altrimenti rischiano gravi fallimenti nella sicurezza.
In un ampio dibattito con la stampa al CPX 2024 di Las Vegas, un gruppo di CISO e vice presidenti (VP) di organizzazioni internazionali ha parlato di come la trasformazione digitale, le pressioni sui profitti e la mancanza di consapevolezza della sicurezza abbiano forzato un cambiamento nella natura delle tecnologie le loro posizioni, in generale, da quelle tecniche a quelle imprenditoriali e altamente sociali.
Oggi, hanno suggerito, la differenza tra un CISO efficace – e, per estensione, un’efficace cultura della sicurezza in un’organizzazione – risiede tanto nelle capacità di comunicazione più morbide quanto nella mitigazione delle vulnerabilità e nella definizione delle politiche. Di fatto, i leader della sicurezza che prosperano con quest’ultima ma mancano della prima finiscono per esporre le loro organizzazioni a gravi violazioni.
"Hai chiesto delle conseguenze?" Dan Creed, CISO presso Allegiant Travel Company, ha chiesto retoricamente in risposta a una domanda di Dark Reading. “Chiedete a SolarWinds quali sono le conseguenze. Avevano una politica sulla password, un tirocinante non la seguiva, guarda le conseguenze."
Come la trasformazione digitale ha trasformato il CISO
"Il ruolo del CISO è cambiato negli ultimi 10 anni e non abbiamo mai smesso di notarlo", ha affermato Frank Dickson, vicepresidente del programma per i prodotti di sicurezza informatica presso IDC, in una conferenza stampa separata del CPX il 6 marzo.
Anni fa, la posizione è stata creata con l’attenzione relativamente ristretta al rischio informatico a cui è ancora associata oggi. Ma si è ampliato, grazie innanzitutto all'ampliamento della superficie di attacco aziendale. Le tipiche violazioni richiedevano vulnerabilità nelle risorse aziendali: si pensi a Target, Ashley Madison e simili. Al giorno d'oggi, soprattutto dopo il COVID, lo è e-mail, telefoni e altri dispositivi dei dipendenti che invece rappresentano il rischio maggiore per le organizzazioni. Poiché la responsabilità della sicurezza delle informazioni è diventata collettiva, i CISO sono stati costretti a uscire dai loro silos.
Frank Dickson informa la stampa sul nuovo rapporto di IDC; Fonte: CPX
La trasformazione digitale ha anche spostato l’IT dal suo angolo isolato, direttamente nel settore del business. Come ha sottolineato Dickson, “Circa il 40% di tutte le entrate per il 2000 [globale] del prossimo anno sarà generato da prodotti e servizi digitali. Ciò, quindi, è cambiare la natura dell'IT da un fattore che determina i costi a qualcosa che è sulla strada della generazione di entrate. E se si pensa a ciò che comporta, ciò cambia radicalmente il ruolo del CISO”. Quanto più le aziende oggi concepiscono l'IT come un driver di business, tanto più i CISO devono essere integrati non solo nella prevenzione e mitigazione dei rischi informatici, ma anche nella consulenza al consiglio di amministrazione sulle decisioni aziendali e negli incontri con sviluppatori, venditori e clienti.
Le crescenti responsabilità del CISO rivolte al business si riflettono in un sondaggio IDC presentato al CPX. Degli 847 leader della sicurezza informatica intervistati, il 10% ritiene che il lavoro più importante di un CISO sia la leadership e le capacità di team building, mentre l'8% ritiene che siano le capacità di gestione aziendale. L’effettiva consapevolezza e comprensione della sicurezza informatica, nonché l’architettura IT e le competenze ingegneristiche, hanno ricevuto pochi più voti, con il 12% ciascuno.
Come i CISO possono fare meglio per i dipendenti
Non si tratta solo dei CISO dovrebbero raddoppiare come uomini d'affari: ne hanno bisogno. "La conseguenza di non stabilire queste relazioni [è] che in azienda si crea una cultura del 'Beh, non è mia responsabilità.' Come SolarWinds e MGM. Reimpostano il loro MFA semplicemente chiamando l'Help Desk, anche se non comprendono o non si rendono conto delle conseguenze della mancata consapevolezza della sicurezza", ha spiegato Creed.
La sottigliezza dell'argomentazione di Creed – ripresa anche da altri presenti alla tavola rotonda – è importante. Prevenire errori di sicurezza da parte dei dipendenti non è semplicemente una questione di sensibilizzazione, sottolineano, perché anche i dipendenti più informati ignorano la sicurezza quando il loro rapporto con il team di sicurezza non è sano o quando l'igiene è semplicemente troppo impegnativa.
“[Dicono] che la sicurezza dovrebbe essere nascosta. Faccio un ulteriore passo avanti: la sicurezza dovrebbe lubrificare il business e renderlo più veloce”, ha affermato Pete Nicoletti, Field CISO presso Check Point, facendo eco alla filosofia evoluta del moderno CISO. Offre le VPN come esempio di dove i CISO limitati e vecchio stile hanno tradizionalmente rallentato il business. “Per quanto tempo la mia email viene trattenuta: due secondi o 10 secondi? Quanto tempo occorre per registrarsi alla VPN? [I dipendenti] risolveranno il problema perché ci vogliono 22 secondi e l'autenticazione? [Si tratta] di cercare di renderli quanto più trasparenti e facili da usare possibile. Inizia a scegliere strumenti che accelerano effettivamente il processo, fino al punto in cui ora hai un vantaggio competitivo.
"Alcune delle prime iniziative che sto conducendo sono esattamente questo", ha affermato Creed. “Abbandoniamo la VPN e passiamo a una modalità sempre attiva in cui accendi il tuo laptop, sei carico e sei connesso alla nostra rete, ripercorrendo il nostro stack di sicurezza. Il prossimo obiettivo è che stiamo gettando le basi per passare alla tecnologia senza password."
Se parlare con i dipendenti e semplificare la loro sicurezza non è sufficiente, i CISO possono anche sperimentare incentivi alternativi. “In realtà disponiamo di parametri KPI relativi alla cultura della sicurezza. E ci stiamo preparando al punto che inizieremo a incidere effettivamente sui bonus pool, al punto che se il tuo dipartimento fa meglio, aumenterà il tuo bonus pool al di sopra della norma [. . .] e se non lo fai, allora il tuo bonus viene raggiunto”, ha spiegato Creed.
Come i CISO possono collaborare meglio con i colleghi dirigenti
Poi c'è il tabellone.
Nel suo sondaggio, IDC ha chiesto ai CISO e ai loro colleghi CIO cosa fanno effettivamente i CISO (ad esempio, se si concentrano sull'architettura strategica o se il lavoro è tattico per natura) e ha riscontrato discrepanze non insignificanti nelle risposte, indicando che anche i CISO I partner di livello C più vicini non sono totalmente sulla stessa lunghezza d'onda.
Creed ha ricordato uno di questi casi di recente, in cui “Abbiamo ordinato alcuni nuovi 737. E questi sono i nostri primi aerei e-connected. [Il consiglio] non mi ha incluso nelle conversazioni precedenti, e poi è diventata un'esercitazione antincendio che tutti i nuovi aerei connessi all'elettronica hanno requisiti di sicurezza informatica - che, in effetti, se non si dispone di un piano di sicurezza della rete approvato e accettato con la FAA in archivio, perderai la certificazione di aeronavigabilità per quegli aerei. Pensi che il consiglio, quando hanno iniziato a parlare di intraprendere questa strada del tipo “espanderemo la flotta”, abbia considerato che ci potessero essere implicazioni per la sicurezza?”
“Quindi bisogna educarli e spiegare loro: ecco perché abbiamo bisogno di un posto al tavolo. In ogni decisione strategica presa per l'azienda c'è un rischio in gioco. [. . .] Più tu includerci a sedere a quel tavolo, meglio possiamo proteggere l’azienda e valutare dove si trova il rischio all’inizio piuttosto che quando diventa un incendio”, ha affermato.
A tal fine, in un’intervista con Dark Reading, Russ Trainor, vicepresidente senior della tecnologia informatica dei Denver Broncos, ha offerto un semplice suggerimento:
"A volte inoltrerò la notizia delle violazioni al mio CFO: ecco quanti dati sono stati esfiltrati, ecco quanto pensiamo che siano costati", afferma. "Quelle cose tendono a colpire nel segno."
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/cybersecurity-operations/ciso-role-changing-can-cisos-keep-up
- :ha
- :È
- :non
- :Dove
- $ SU
- 10
- 2000
- 2024
- 22
- 7
- a
- Chi siamo
- sopra
- accettato
- presenti
- effettivamente
- Vantaggio
- consulenza
- fa
- aereo
- nello stesso modo
- Tutti
- anche
- alternativa
- an
- ed
- approvato
- architettura
- SONO
- argomento
- in giro
- AS
- chiedere
- associato
- At
- attacco
- Autenticazione
- consapevolezza
- lontano
- precedente
- BE
- è diventato
- perché
- diventare
- diventa
- stato
- essendo
- CREDIAMO
- Meglio
- fra
- tavola
- Bonus
- Parte inferiore
- violazioni
- briefing
- affari
- ma
- by
- chiamata
- Materiale
- Custodie
- Certificazione
- cfo
- il cambiamento
- cambiato
- Modifiche
- cambiando
- dai un'occhiata
- capo
- responsabile della sicurezza delle informazioni
- CISO
- collaboreranno
- Collective
- comunicare
- Comunicazione
- Aziende
- azienda
- competitivo
- Convegno
- conferito
- collegato
- conseguenza
- Conseguenze
- considerato
- Conversazioni
- Angolo
- Aziende
- Costo
- Covidien
- creato
- Cultura
- Clienti
- Cyber
- Cybersecurity
- Scuro
- Lettura oscura
- dati
- decennio
- decisione
- decisioni
- definizione
- Denver
- Shirts Department
- scrivania
- sviluppatori
- DID
- didn
- differenza
- digitale
- DIGITAL TRANSFORMATION
- do
- effettua
- don
- doppio
- giù
- spinto
- autista
- guida
- In precedenza
- più presto
- più facile
- facile
- eco
- educare
- Efficace
- in maniera efficace
- altro
- enfatizzare
- dipendenti
- fine
- Ingegneria
- abbastanza
- stabilire
- Anche
- Ogni
- si è evoluta
- di preciso
- esempio
- dirigenti
- Espandere
- ampliato
- esperimento
- Spiegare
- ha spiegato
- estensione
- FAA
- fatto
- fallimenti
- lontano
- più veloce
- compagno
- campo
- Compila il
- Antincendio
- licenziato
- Nome
- FLOTTA
- Focus
- concentrato
- seguire
- Nel
- forzato
- Ex
- Avanti
- essere trovato
- Fondazione
- franco
- da
- fondamentalmente
- ulteriormente
- la generazione di
- ottenere
- ottenere
- globali
- andando
- maggiore
- ha avuto
- Avere
- avendo
- he
- sano
- Aiuto
- qui
- nascosto
- vivamente
- Colpire
- Visualizzazioni
- tenere
- Casa
- Come
- HTTPS
- i
- IDC
- if
- ignorare
- Immagine
- impatto
- implicazioni
- importante
- in
- Incentive
- includere
- Aumenta
- sempre più
- indicando
- informazioni
- informazioni di sicurezza
- tecnologie dell'informazione
- iniziative
- insignificante
- invece
- integrato
- Internazionale
- Colloquio
- ai miglioramenti
- coinvolto
- ISN
- IT
- SUO
- Lavoro
- ad appena
- mantenere
- Dipingere
- laptop
- LAS
- Las Vegas
- posa
- capi
- Leadership
- lasciare
- piace
- Limitato
- linea
- ll
- Lunghi
- Guarda
- perdere
- fatto
- maggiore
- make
- Fare
- gestione
- molti
- Marzo
- Importanza
- me
- Utenti
- semplicemente
- Metrica
- AMF
- forza
- attenuante
- moderno
- Scopri di più
- maggior parte
- cambiano
- mosso
- molti
- my
- stretto
- Natura
- Bisogno
- Rete
- Sicurezza di rete
- mai
- New
- notizie
- GENERAZIONE
- Avviso..
- adesso
- obiettivo
- of
- offerto
- Offerte
- Responsabile
- on
- una volta
- ONE
- inizio
- or
- organizzazione
- organizzazioni
- Altro
- Altri
- nostro
- su
- ancora
- pagina
- pannello di eventi
- particolarmente
- partner
- Password
- passato
- sentiero
- filosofia
- telefoni
- raccolta
- piano
- Platone
- Platone Data Intelligence
- PlatoneDati
- punto
- Termini e Condizioni
- politica
- pool
- Piscine
- posizione
- possibile
- Presidente
- Presidenti
- stampa
- pressioni
- prevenzione
- processi
- Prodotti
- Programma
- protegge
- Domande e risposte
- domanda
- veloce
- piuttosto
- RE
- Lettura
- pronto
- rendersi conto
- veramente
- ricevuto
- recentemente
- riflette
- rapporto
- Relazioni
- relativamente
- rapporto
- rappresentare
- richiedere
- Requisiti
- Risorse
- risposta
- risposte
- responsabilità
- responsabilità
- Rivelato
- Le vendite
- Rischio
- rischi
- Ruolo
- s
- Suddetto
- Venditori
- stesso
- dire
- dice
- secondo
- problemi di
- Consapevolezza della sicurezza
- anziano
- separato
- grave
- Servizi
- spostamento
- dovrebbero
- firma
- in silenzio
- silos
- Un'espansione
- semplicemente
- da
- abilità
- So
- Social
- SolarWinds
- alcuni
- qualcosa
- a volte
- Fonte
- velocità
- Diffondere
- pila
- inizia a
- iniziato
- ha dichiarato
- step
- Ancora
- fermato
- dritto
- Strategico
- tale
- superficie
- Indagine
- tavolo
- Fai
- prende
- parlando
- Target
- team
- Consulenza
- Tecnologia
- Tendono
- di
- Grazie
- che
- I
- La linea
- loro
- Li
- si
- poi
- Là.
- Strumenti Bowman per analizzare le seguenti finiture:
- di
- cose
- think
- questo
- quelli
- anche se?
- Prosperare
- Attraverso
- tipo
- a
- oggi
- pure
- strumenti
- COMPLETAMENTE
- tradizionalmente
- Trasformazione
- trasformato
- trasparente
- viaggiare
- cerca
- TURNO
- seconda
- tipico
- capire
- e una comprensione reciproca
- us
- uso
- utilizzato
- VEGAS
- vice
- Vicepresidente
- voti
- VPN
- VPN
- vulnerabilità
- Prima
- we
- indossare
- pesare
- WELL
- sono stati
- Che
- quando
- se
- OMS
- perché
- con
- Lavora
- anno
- anni
- Tu
- Trasferimento da aeroporto a Sharm
- zefiro
