Presentiamo di seguito un’anticipazione dei risultati della Cyber Risk Management 2018 survey, indagine svolta in Italia da The Innovation Group, tra dicembre 2017 e gennaio 2018, su un campione di 88 aziende medio grandi dei diversi settori. Sono commentate in particolare le risposte ottenute sul tema delle problematiche oggi più sentite dai CISO/Security Manager italiani. I risultati completi della Cyber Risk Management 2018 survey saranno oggetto di presentazione e discussione durante il Cybersecurity Summit 2018, organizzato da The Innovation Group il prossimo 21 marzo 2018 a Roma.

Oggi solo una minoranza di aziende italiane si è dotata di una figura con responsabilità specifica sugli aspetti di sicurezza ICT, di un Security manager o di un Chief Information Security Officer (CISO). In prospettiva però questo ruolo sarà sempre più diffuso, via via che il tema della protezione in chiave digitale sarà considerato strategico e fondamentale per la stessa sostenibilità del business.

Quale sarà in futuro il ruolo del Chief Information Security Officer?

Guardando alle best practices internazionali, si tratta di solito di un Executive di livello elevato, che riporta direttamente ai livelli apicali dell’organizzazione, guidando team cross funzionali e rispondendo su qual è, in ogni momento, l’esposizione dell’azienda ai rischi cyber. In molte grandi aziende, il CISO è oggi una figura che collabora strettamente con la corporate governance e che assicura una crescita costante del business garantendo che il rischio da lui presidiato sia gestito entro limiti di “risk appetite” accettabile. In molte aziende in cui invece l’approccio ai temi della cybersecurity è rimasto di tipo tradizionale, il CISO deve farsi carico di promuovere una cultura più allineata alle nuove sfide e ai nuovi rischi; interagisce di frequente con il top management/il Board e siede al tavolo dove sono decisi i nuovi prodotti/servizi o la strategia dell’organizzazione. È inoltre responsabile della gestione di un team di persone che operativamente garantiranno la disponibilità dei sistemi e l’integrità e la riservatezza delle informazioni. Poiché disporre di uno staff di per la cybersecurity è sempre più complicato, vista la scarsa disponibilità di queste competenze sul mercato, il CISO dovrà farsi carico della crescita delle sue risorse, tramite programmi di training, volti anche ad aumentare contemporaneamente la retention dello staff.

Se questo è a grandi linee “quello che il CISO dovrebbe essere e fare”, vediamo in base alle risposte ottenute dalla Cyber Risk Management 2018 survey qual è oggi la situazione con riferimento alle problematiche di un Security Manager/CISO italiano. Consideriamo quindi le principali sfide e le problematiche più urgenti di un CISO/Security Manager partendo da un insieme di aziende che dimostra di essere già matura su questi temi, avendo già piani consolidati ed estesi per la cybersecurity.

Come mostra la figura successiva, gli aspetti critici sono numerosi. Analizzando le prime due risposte (“Comunicare meglio al Board” e “Allineare meglio cybersecurity al business”) vediamo che le criticità maggiori risiedono non tanto nell’area della Security, quanto piuttosto nella sua relazione con il resto dell’organizzazione che le sta intorno.

FIGURA 1 – QUALI SONO OGGI LE PRINCIPALI SFIDE PER IL CISO

Il primo problema di un CISO (68% delle risposte) è quindi come rendere più partecipe, come ingaggiare meglio il top management/il Board dell’azienda comunicandogli nel modo più efficace possibile le criticità della cybersecurity che lui vede, ma che il resto dell’organizzazione non conosce o non capisce.

Il secondo problema (indicato dal 52% dei rispondenti) è invece allineare meglio gli obiettivi della cybersecurity a quelli del business. Molti responsabili della security oggi si pongono infatti il problema su quale sia il livello di sicurezza ideale per la propria realtà. Se la sicurezza sarà eccessivamente pesante, comporterà inevitabilmente una serie di misure pesanti, per i dipendenti, per i clienti, misure che potrebbero peggiorare la user experience e condizionare la competitività dei prodotti o dei servizi dell’azienda. Proibire la navigazione o l’utilizzo di device mobile ai dipendenti non favorisce di certo la crescita e l’innovazione in azienda: se i sistemi sono bloccati, le informazioni critiche messe sotto custodia, se devo imporre procedure e training ogni qualvolta incremento le misure di sicurezza, è probabile che le ricadute in termini di produttività e agilità del business saranno pesanti.

Come bilanciare quindi al meglio sicurezza e obiettivi del business? In ogni realtà in cui ci si pone questo problema le soluzioni sono spesso diverse: si tratta sostanzialmente di impostare una corretta governance.

Ulteriori considerazioni sulle problematiche incontrate oggi da un Security Manager, riprendendo i risultati della nostra survey, sono inoltre:

• Difficoltà nel far fronte alla continua crescita di processi e controlli, a una complessità crescente per la gestione della cybersecurity. Questo problema è molto sentito, si posiziona al terzo posto, con oltre la metà dei rispondenti (51% delle risposte), ed è evidente che non farà altro che peggiorare in futuro, via via che le aziende si esporranno in nuovi ambiti dell’innovazione digitale. È un tema legato alla mancanza di competenze e risorse per la security, che può essere affrontato soltanto se si lavora in un’ottica di PROGRESSIVA AUTOMAZIONE di un numero sempre maggiore di task, in modo da lasciare il tempo allo staff di concentrarsi sulle attività più critiche o a maggiore valore aggiunto. Ancora oggi moltissime attività IT (pensiamo al patching, all’e-commerce, alla gestione del cliente), sono svolte in modo manuale. Oltre a comportare maggiori rischi di errore, le attività manuali sono un collo di bottiglia: ad esempio, quando viene completato un vulnerability scan, passa moltissimo tempo prima che tutti i problemi trovati ricevano il rispettivo fix – un tempo che gli attaccanti conoscono bene, perché sfruttano queste “finestre temporali” per completare con successo le proprie azioni.
• “Sviluppo di un’efficace strategia e roadmap implementativa” (49% delle risposte); “Risposta più efficace in un contesto di minacce cyber più sofisticate” (37%) e “Sviluppo di metriche efficaci per descrivere lo stato interno” (30%). Queste tre risposte vanno attribuite alla più ampia necessità, che tutti i responsabili hanno, di dotarsi di un disegno e di un PROGRAMMA EFFICACE DI CYBER RISK MANAGEMENT. Fanno riferimento alla difficoltà che soprattutto le aziende di alcuni settori (meno toccati rispetto ad altri da regolamentazioni e da iniziative di settore) hanno nell’individuare i processi, le metodologie e le best practice specifiche per la propria realtà. Un supporto andrebbe previsto per queste realtà, e dovrebbe arrivare da un maggiore coinvolgimento delle istituzioni a livello nazionale su queste tematiche, dall’istituzioni di CERT specifici per i diversi settori.
• “Tenere il passo con i requisiti richiesti da norme/regolamentazioni” è avvertito come una priorità del Security Manager dal 48% delle aziende – conseguenza di un numero sempre maggiore di norme che hanno e avranno impatto sulla cybersecurity.
• Un numero altrettanto elevato di aziende (49%) ritiene anche che “Far comprendere il ruolo abilitante della cybersecurity per l’innovazione” sia oggi un compito critico del CISO.
• L’accesso a risorse finanziarie sufficienti per investimenti in cybersecurity è un problema solo per circa un terzo delle aziende intervistate – segnale che dove oggi l’approccio al cyber risk management è già avanzato, l’accesso ai budget non è più il primo problema di un security manager.
• “Disponibilità di cyber threat intelligence “actionable” e in near real-time” è un problema prioritario solo per un’azienda su 4.
• “Information sharing con organizzazioni del proprio settore / CERT di settore” è invece indicato come un aspetto prioritario solo da una minoranza di organizzazioni. Segnale che su questi aspetti solo poche aziende sono oggi sufficientemente pronte, li considerano ancora una sfida per il medio lungo termine, non di immediata rilevanza.

Il problema è che per ottenere una risposta a molte delle problematiche che i Security Manager e i CISO oggi incontrano (dal miglior collegamento con il top management e con la strategia aziendale, all’evoluzione della sicurezza verso una funzione perfettamente allineata con i reali bisogni dell’azienda) serve innanzi tutto un CAMBIO DI PASSO su un aspetto fondamentale: la CULTURA DELLA SICUREZZA nella propria organizzazione e fuori da essa. Fintantoché – come mostra la seguente figura – la sicurezza informatica sarà percepita più come un costo che non come un elemento che abilita l’innovazione e la trasformazione del business in chiave digitale, sarà molto difficile trovare una soluzione a tutti i problemi che oggi ancora limitano il potenziale valore della sicurezza.

FIGURA 2 – LA SICUREZZA È ANCORA PERCEPITA PIU’ COME UN COSTO CHE COME UN BENEFICIO