Oggi si chiede un più forte approccio alla cybersecurity a livello dirigenziale, il che porta i CISO ad avere un ruolo sempre più chiave in azienda. Per sfruttare questa occasione è necessario concentrarsi su quattro aree chiave.
Autore: Paolo Lossa
Lo storico Sarbanes-Oxley Act del 2002 (SOX) è stato approvato in un periodo molto tumultuoso e ha previsto una revisione della governance aziendale e l’introduzione di competenze finanziarie nei consigli di amministrazione. Oggi l’incertezza è di nuovo il tema economico dominante: più del 70% delle organizzazioni ha subito attacchi ransomware nell’ultimo anno e il 64% ammette di non essere in grado di bloccare un attacco legato alla supply chain.
Come 20 anni fa, le autorità di regolamentazione chiedono un cambiamento radicale, che questa volta prevede una maggiore divulgazione delle informazioni da parte delle società pubbliche e, in particolare, un più forte approccio alla cybersecurity a livello dirigenziale. Ancora una volta, i consigli di amministrazione sono pronti per un cambiamento, che secondo gli esperti legali porterà più CISO al tavolo delle decisioni.
Con l’ampliarsi del loro ruolo strategico, molti CISO in tutto il mondo stanno “vivendo il loro momento di gloria”, favoriti dal crescente sostegno dei vertici aziendali e da risorse aggiuntive per portare avanti le loro iniziative di cybersecurity. Ma per sfruttare al meglio questo momento - e farlo durare - è necessario concentrarsi su quattro aree chiave.
Quattro organizzazioni su cinque hanno aumentato il budget per la cybersecurity nel 2022, ma nessun responsabile della sicurezza dispone di risorse sufficienti per affrontare contemporaneamente tutte le priorità. La quantificazione del rischio è una sfida continua: un'indagine di Harvard Business Review Analytic Services, sponsorizzata da PwC, ha rilevato che meno della metà (45%) dei dirigenti è “fortemente d’accordo” sul fatto di avere un processo formalizzato per valutare i rischi informatici in linea con le priorità di business.
L’indagine mostra che un numero ridotto ma crescente di CISO si rivolge a framework, come la metodologia open-source FAIR (Factor Analysis of Information Risk), analizzando le relazioni causali negli scenari ad alto rischio o utilizzando modelli attuariali per ottenere una stima finanziaria più accurata delle minacce che le loro aziende devono affrontare. Poiché questi modelli di rischio sono forti solo quanto i dati che li alimentano, gli strumenti di sicurezza che possono migliorare la raccolta di informazioni, ampliare la visibilità e approfondire gli insight contestuali sono fondamentali per comunicare il rischio in termini di business e ottimizzare la spesa di cybersecurity.
Le minacce e le priorità aziendali cambiano, il ruolo integrale dell’identità nella catena degli attacchi informatici resta immutato. L’ultima ricerca di Identity Defined Security Alliance (IDSA) indica che il 79% delle organizzazioni ha subito una violazione legata all’identità negli ultimi due anni e il 93% ritiene che avrebbe potuto prevenire o ridurre al minimo le compromissioni della sicurezza se avesse implementato strumenti specifici per la sicurezza dell’identità.
Ogni identità, umana o macchina, situata nelle applicazioni aziendali, all’interno della forza lavoro distribuita, di workload cloud ibridi o dell’intero ciclo di vita DevOps, può essere compromessa e aprire un percorso di attacco verso le risorse più preziose di un’organizzazione.
Con questa consapevolezza, più della metà dei CISO e dei CIO ha introdotto (o prevede di introdurre) misure di Identity Security per gestire meglio gli accessi sensibili, tra cui il monitoraggio e l’analisi in tempo reale per verificare tutte le attività delle sessioni privilegiate, applicando principi di least privilege security e Zero Trust nell’infrastruttura che esegue le applicazioni business-critical e implementando processi al fine di isolare le applicazioni fondamentali dai dispositivi connessi a Internet per limitare i movimenti laterali.
I CISO possono ricoprire un potente ruolo strategico nel portare avanti iniziative digitali ad alto rischio. La chiave è inserirsi in questi progetti da subito, per educare l’IT e i responsabili delle linee di business sui rischi per sicurezza e privacy e stabilire processi coerenti e focalizzati su Zero Trust, come la protezione dell’accesso degli utenti alle stesse applicazioni che alimentano le iniziative di trasformazione. Questo può anche aiutare i CISO a mantenere l’allineamento con i principali stakeholder e bilanciare meglio gli investimenti tra iniziative digitali e protezioni critiche, al fine di evitare l’accumulo di debito di cybersecurity che può ostacolarne i progressi.
Quando gli utenti non sono in grado di navigare nel processo di sicurezza o devono confrontarsi con troppi strumenti di protezione diversi, spesso trovano soluzioni alternative, scelgono password poco robuste o compiono altre azioni che possono portare a vulnerabilità basate sull’identità, sfruttabili dagli attaccanti. L’86% dei responsabili della sicurezza afferma che l’ottimizzazione dell’esperienza utente (UX) è “importante” o “molto importante”, e molti si concentrano attentamente sull’incorporare controlli per proteggere l’accesso, indipendentemente da dispositivo, posizione o momento, mantenendo gli utenti produttivi e informati.
Intelligenza artificiale, machine learning e automazione possono contribuire a rendere i processi di Identity Security più efficaci e facili nel tempo, mappando i modelli di comportamento e i segnali contestuali e ottimizzando in modo costante i controlli in base a questi apprendimenti e ai rischi dinamici.
In un’indagine globale del 2021 sui CISO, la società di reclutamento Heidrick & Struggles ha rilevato che quasi la metà dei CISO desidera entrare a far parte del consiglio di amministrazione, ipotesi che sembra sempre più realizzabile ed essenziale per costruire la resilienza informatica di un’organizzazione. Mantenendo un approccio mirato in queste quattro aree, i CISO possono dimostrare le loro capacità strategiche, rafforzare il consiglio di amministrazione e difendersi con sicurezza dagli attacchi, ottenendo quell’accesso al board guadagnato con fatica e atteso da tempo.
Paolo Lossa è Country Sales Director di CyberArk Italia