La discontinuità dei perimetri aziendali, la moltiplicazione di fattori di rischio e i nuovi obblighi di legge rendono sempre più difficile il ruolo del CISO.

Cresce senza sosta il bilancio negativo dell’azione dei cybercriminali, che imparano ogni giorno nuove modalità per guadagnare sui data breach. Il costo medio globale di ciascuno di questi attacchi, secondo uno studio del Ponemon Insitute del 2017, è di 3,62 milioni di dollari. Questo è quanto rischia l’impresa per ogni violazione.

Del resto le aziende, anche quelle più strutturate, oggi espongono ben più di un fianco al pericolo. Tutti i business sono data driven, e tutti sono caratterizzati da una molteplicità di approcci che richiedono differenti strategie di protezione, come l’uso in azienda di dispositivi personali, l’accesso a soluzioni in cloud, l’IoT e lo smart working.

Per il responsabile della sicurezza seguire le logiche di tutti questi aspetti differenti è un’impresa sempre più ardua. Anche perché nessuna dashboard integrata tiene conto delle scelte, talvolta autonome e non concordate, dei singoli reparti.

Competenze trasversali

Quello che si richiede oggi a chi si occupa di cybersicurezza, è di avere a disposizione un team di professionisti con competenze di alto livello e multidisciplinari, capaci di presidiare i diversi ambiti a cui applicare la protezione e di mantenersi più aggiornati dei criminali sulle tecniche di attacco e difesa. Gli skill richiesti non sono solo tecnici, ma devono poter comprendere il business e coinvolgere i responsabili e i dipendenti nell’azione di prevenzione e difesa.

Il team deve occuparsi anche di testare continuamente i meccanismi di protezione, individuando i punti deboli prima che questi vengano scoperti e sfruttati dai criminali.

La sicurezza andrà sempre più coinvolta direttamente anche nelle prime fasi dello sviluppo di applicazioni. In effetti si parla sempre più frequentemente di DevSecOps, ovvero dell’introduzione automatizzata di procedure di sicurezza nel workflow che porta al deployment delle applicazioni. Anche per questo sono necessarie competenze specifiche che spesso mancano in azienda.

Quanto al cloud, gli accessi indiscriminati ai dati aziendali attraverso le piattaforme più popolari  rappresentano già da tempo una sfida per i CISO, e una conoscenza approfondita di queste applicazioni diventa essenziale per prevenire furti di dati e rispettare le regole sulla privacy.

E proprio queste regole e il rinnovato rischio di dover rispondere di usi illeciti dei dati, non solo alle autorità ma anche direttamente ai singoli utenti, impone conoscenze altrettanto approfondite di tecniche di encryption e di diritto legale.

La soluzione esterna

In queste condizioni è evidente come la natura multiforme delle soluzioni per la cybersecurity, che si trovano a operare contemporaneamente in una grande azienda, sia sempre meno facile da coordinare. Aggiungere soluzioni specifiche, di vendor differenti, per andare a coprire le vulnerabilità peculiari di ogni attività aziendale è una strada senz’altro praticabile, che ha però tre controindicazioni:

  • La sensazione di sicurezza illusoria generata dal fatto di avere completato la “raccolta delle figurine” dei vendor e posizionato una difesa in ogni ambito da difendere (“ho messo in campo Firewall, End point, Intrusion Detection, Mobile Device Management, Cloud Access Security Broker, Email Protection… Posso stare tranquillo”);
  • L’uso di più soluzioni e procedure stratificate potrebbe ostacolare così tanto la normale operatività del personale da rendere difficile il lavoro, o far loro ricercare vie alternative e poco ortodosse per arrivare agli obiettivi;
  • L’aumento della complessità di gestione e monitoraggio di un arsenale così vasto e variegato.

La maggiore difficoltà consiste proprio nel reperire sul mercato del lavoro le competenze necessarie e farle lavorare assieme su attività così delicate. Naturalmente buona parte di questa gestione può essere demandata a servizi di consulenza esterni, alcuni dei quali sono realmente in grado di garantire tutte le soluzioni e capacità specifiche di cui ha bisogno un’azienda di livello enterprise che voglia veleggiare sicura in questo mare ricco di opportunità ma sempre più tempestoso.