Che punto di vista hanno i Chief Information Security Officer (CISO), o chi occupa una posizione equivalente, in merito alla sicurezza informatica? Quali sono i problemi che devono affrontare? Per avere una risposta a questa e ad altre domande, Kaspersky Lab ha intervistato 250 responsabili per la sicurezza di tutto il mondo. Gli spunti sono davvero interessanti, anche se non posso dire di essere completamente d\u2019accordo con tutto ci\u00f2 che viene indicato dai miei colleghi.<\/p>\n
Diamo un\u2019occhiata agli indicatori principali per valutare le capacit\u00e0 di un CISO. Non sorprende che la maggior parte dei CISO partecipanti al sondaggio ritiene che il criterio pi\u00f9 importante sia la qualit\u00e0 e la velocit\u00e0 di risposta durante la gestione degli incidenti. Nelle aziende moderne si pensa che gli incidenti informatici siano un segnale di qualcosa andato storto nella sicurezza; invece, \u00e8 positivo vedere che la maggior parte degli specialisti inizia a comprendere che gli incidenti informatici sono inevitabili, e anche normali. In ogni caso, al giorno d\u2019oggi, la sicurezza informatica \u00e8 fondamentale per la sopravvivenza dell\u2019azienda.<\/p>\n
Per sopravvivenza intendiamo un livello di protezione grazie al quale, in caso di un attacco APT<\/a>, di una fuga di dati o di un attacco DDoS di massa, l\u2019azienda sia capace di tornare alla normalit\u00e0 senza subire importanti conseguenze o senza perdere pi\u00f9 di quanto prevista per casi di questo genere. Insomma, i CISO al giorno d\u2019oggi si concentrano sulla risposta agli incidenti.<\/p>\n Da un lato, si tratta di un passo in avanti importante. Solo un paio d\u2019anni fa, prevaleva il punto di vista secondo il quale la sicurezza informativa consiste nel raggiungere l\u2019obiettivo \u201cincidenti zero\u201d e che i CISO devono essere in grado di proteggere le infrastrutture dagli incidenti garantendo una difesa d\u2019acciaio. Per quanto mi riguarda, i CISO dovrebbero puntare a un certo equilibrio tra tutti gli elementi che compongono l\u2019architettura della sicurezza adattiva<\/a>: prevenzione, identificazione, risposta e previsione degli incidenti.<\/p>\n La maggior parte dei CISO concorda sul fatto che, in seguito a un incidente, il maggior rischio per un\u2019azienda ha a che vedere con la reputazione. Sono completamente d\u2019accordo, avrei risposto allo stesso modo. Il danno di immagine genera altre conseguenze, come il calo in borsa e delle vendite, perdita di fiducia dei clienti, vendite etc,<\/p>\n La reputazione \u00e8 la ragione principale per cui non veniamo a conoscenza della maggior parte degli incidenti che avvengono realmente. Se un\u2019azienda ha la possibilit\u00e0 di insabbiare incidente informatico, state certi che lo far\u00e0 anche se, in alcuni paesi, la legge esige che le aziende condividano qualsiasi informazione che riguardi i problemi di sicurezza affrontati con stakeholder<\/em> e clienti.<\/p>\n I CISO sembrano fare distinzioni tra i motivi alla base di un attacco da parte dei cybercriminali e possono determinare quali attacchi sono stati organizzati da un governo e quali per motivi economici. Dal mio punto di vista, invece, gli attacchi che provengono dall\u2019interno sono i pi\u00f9 pericolosi soprattutto in termini di perdite: l\u2019esperienza dimostra che un dipendente disonesto pu\u00f2 provocare potenzialmente pi\u00f9 danni di un cybercriminale esterno.<\/p>\n \u00c8 interessante vedere in che modo i responsabili per la sicurezza vengano coinvolti nei processi decisionali dell\u2019azienda. Sorprendentemente, ho constatato che non tutti i CISO si sentono coinvolti come vorrebbero\u2026 ma cosa significa esattamente?<\/p>\n In sostanza, esistono due strategie. I responsabili per la sicurezza supervisionano ogni passo all\u2019interno dell\u2019azienda e devono approvare tutte le decisioni prese a livello di impresa. In alternativa, possono fare da consulenti, quando l\u2019azienda richieda il loro parere.<\/p>\n A prima vista, il controllo totale sembra essere il sistema pi\u00f9 efficace e sarebbe cos\u00ec se la cybersecurity fosse l\u2019unico obiettivo. In realt\u00e0, tale approccio richiede uno staff numeroso e rallenta lo sviluppo del business; inoltre, pu\u00f2 essere molto difficile da gestire per le aziende innovative che si avvalgono di certe procedure aziendali ma che non seguono ancora delle pratiche adeguate di protezione.<\/p>\n Nel sondaggio, mi preoccupano le risposte che i CISO hanno dato alla domanda \u201cNon essendoci un ROI ben definito, come giustificate il vostro budget?\u201d. Sembra che la tattica pi\u00f9 usata sia quella di presentare report e valutazioni dei danni subiti da attacchi passati, puntando sull\u2019apprensione. \u00a0Certo, questa tattica pu\u00f2 funzionare la prima volta, o anche una seconda, ma quando si arriva alla terza volta, la risposta sar\u00e0 \u201cOk, \u00e8 vero, \u00e8 una tendenza preoccupante. Ma come possiamo gestirla?\u201d<\/p>\n \u00c8 pi\u00f9 importante apprendere da ci\u00f2 che hanno vissuto e fatto le altre aziende. Purtroppo, nell\u2019elenco delle risposte, la voce \u201cBenchmark del settore e best practice\u201d si trova solo al settimo post, anche se questo genere di informazioni sono facilmente disponibili, ad esempio grazie al nostro tool IT Security Calculator<\/a>.<\/p>\nParliamo di rischi<\/h2>\n
Influenza sulle decisioni aziendali<\/h2>\n
Giustificare il budget<\/h2>\n