Myrna Soto, Forcepoint: “Fondamentale comprendere le differenti necessità di tutte le business unit”
Coloro che lavorano nel settore della sicurezza informatica, solitamente si focalizzano sulla ricerca di strumenti e soluzioni per garantire che i dati, e le persone che vi accedono, siano al sicuro da violazioni o attacchi. Questo approccio, però, poteva ritenersi soddisfacente fino a quando i dipendenti si trovavano all’interno degli uffici ed effettuavano l’accesso ai dati tramite la rete aziendale.
Oggi, digital transformation, supply chain aperte e dispositivi mobili hanno cambiato questo paradigma, modificando totalmente l’approccio verso la Cyber security. Inoltre, il passaggio di massa allo smart working, causato dall’emergenza da Covid-19, ha contribuito ad aumentare drasticamente i rischi legati alla sicurezza, dovuti agli ambienti di lavoro remoti, come reti non protette e l’utilizzo di dispositivi personali non sicuri per accedere ai sistemi aziendali. Allo stesso tempo, le aziende devono fare i conti anche con criminali informatici sempre più agguerriti: solo nella prima metà dell’anno, infatti, gli attacchi di phishing sono aumentati del 667%. Se a questo dato si aggiungono i costi finanziari (le ultime ricerche mostrano che il costo medio di una violazione è di 3,92 milioni di dollari), lo scenario odierno si fa sempre più preoccupante.
È fondamentale assicurarsi di avere in azienda esperti di sicurezza che conoscano il business
I cambiamenti che il settore ha dovuto affrontare a causa della pandemia saranno irrevocabili, e vanno ben oltre la “semplice” adozione dello smart working di massa. I CISO non operano più all’interno degli stretti controlli di sicurezza dei sistemi tradizionali e devono far fronte a nuovi rischi. È ormai necessario, infatti, migliorare le competenze del personale addetto alla sicurezza informatica e formare le persone all’interno del reparto IT, in modo che comprendano come proteggere al meglio gli asset aziendali.
In una recente ricerca, Forcepoint ha rivelato che secondo il 63% dei leader della sicurezza informatica la mancanza di un vocabolario comune tra CEO e CISO può rendere difficile l’identificazione delle priorità aziendali e il 53% afferma che questa criticità rende le decisioni tecniche più impegnative.
“Nel mio precedente ruolo di CISO di Comcast, ho avuto modo di riscontrare queste problematiche in prima persona e ho creato il ruolo di Business Information Security Officer (BISO), per sviluppare una strategia di sicurezza che fosse più connessa e integrata nel business. Sebbene avessi la responsabilità ultima per la sicurezza dell’azienda, i BISO hanno contribuito a sviluppare una linea di unione tra le diverse unità aziendali. I professionisti che hanno ricoperto questo nuovo ruolo hanno sviluppato relazioni con i leader delle business unit al fine di comprendere meglio gli obiettivi di ognuno e sviluppare la migliore strategia per arrivare al successo. Il ruolo svolto dai BISO ci ha aiutato a capire che, poiché gli obiettivi, le mission e i flussi di lavoro di ogni unità erano differenti, richiedevano anche diverse soluzioni tecnologiche e di sicurezza per proteggerle”, ha spiegato Myrna Soto, Chief Strategy and Trust Officer Forcepoint.
Le competenze necessarie per diventare un BISO
Per introdurre questo ruolo all’interno di un’azienda è imprescindibile conoscere quali siano le competenze chiave per un perfetto candidato.
I BISO non solo dovrebbero essere esperti in tutto ciò che concerne le più recenti minacce e le ultime tecnologie per la sicurezza informatica, ma anche ottimi comunicatori. Dovranno essere in grado di distillare imperativi di sicurezza complessi e tradurli in termini aziendali, comprendere i rischi e l’impatto che ogni decisione può avere sulla sicurezza.
Sarebbe, inoltre, molto utile una perfetta comprensione dell’analisi dei dati o del Machine Learning. Infatti, quando si tratta di ottenere una reale visibilità dei rischi all’interno di un’azienda, tale processo non può essere fatto da sole persone: l’analisi dei dati offre sia una visione storica, sia in tempo reale degli eventi. Ciò fornisce una visione unificata delle minacce e delle violazioni della sicurezza e consente una pianificazione più intelligente, una risoluzione più rapida e un migliore processo decisionale, tutti fattori a vantaggio di un BISO.
“Validi candidati sono anche coloro che hanno avuto un ruolo operativo durante la loro carriera in cui hanno gestito un team. Ad esempio, ho assunto in precedenza BISO provenienti da esperienze di analisti finanziari che erano poi passati a ruoli tecnologici o fintech e avevano imparato i controlli di sicurezza”, continua Myrna Soto.
Non ci si può, però, aspettare che i nuovi assunti siano al passo con i principi e la terminologia aziendale, quindi, per velocizzare il loro apprendimento è consigliabile inserirli in diverse unità aziendali per “turni di lavoro”, in modo che possano comprendere come funzionano i diversi reparti. Ciò può avvantaggiare non solo l’azienda, ma anche la crescita dell’individuo, aiutandolo a capire concretamente quali siano le reali esigenze e le prospettive aziendali, formandolo a tutto tondo.
Anche il rovescio della medaglia può essere prezioso: i lavoratori tecnicamente esperti sul lato business possono essere temporaneamente inseriti nell’organizzazione della sicurezza per espandere la loro prospettiva e conoscenza. Questa sorta di “impollinazione incrociata” a tutti i livelli può solo aumentare la comprensione e aiutare la sicurezza a comprendere meglio la posta in gioco.
“I leader di maggior successo sono coloro che comprendono gli obiettivi aziendali e l’importanza della funzione della sicurezza per creare valore. Troppi professionisti della Cyber Security si concentrano sull’hardening dei sistemi, sulle richieste o sui perimetri senza chiedersi il perché. Comprendere ciò che si sta cercando di proteggere consente di effettuare l’analisi corretta basata sul rischio e scegliere le soluzioni di sicurezza più adatte per affrontare le moderne minacce”, conclude Myrna Soto, Chief Strategy and Trust Officer Forcepoint.