{"id":18155,"date":"2019-10-23T15:23:26","date_gmt":"2019-10-23T13:23:26","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=18155"},"modified":"2019-11-27T17:56:58","modified_gmt":"2019-11-27T15:56:58","slug":"ciso-2019","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/ciso-2019\/18155\/","title":{"rendered":"La gestione dei rischi: una competenza essenziale per un CISO"},"content":{"rendered":"

L\u2019anno scorso, leggendo i feedback dei miei colleghi<\/a> sugli obiettivi e i problemi del settore, ho provato sentimenti contrastanti. Un anno dopo, i risultati della nostra nuova indagine (disponibili alla fine di questo post) sono ancora pi\u00f9 interessanti.<\/p>\n

La prima impressione che si ha guardando i risultati di questi due studi \u00e8 la seguente: la sicurezza informatica in generale, e il ruolo del Chief Information Security Officer (CISO) in particolare, stanno diventando sempre pi\u00f9 importanti per le aziende, o almeno, secondo quanto affermano circa 300 dei miei colleghi del settore infosec. \u00c8 sicuramente un buon segno. Lo stesso fenomeno \u00e8 reso evidente dal fatto che un numero sempre maggiore di intervistati abbia inserito la \u201cgestione dei rischi\u201d e altre competenze aziendali tra le capacit\u00e0 essenziali per svolgere al meglio il proprio ruolo.<\/p>\n

Tuttavia, c\u2019\u00e8 un punto sul quale non posso essere d\u2019accordo con la maggior parte dei miei colleghi. Alcuni continuano ad affermare che le competenze tecniche e la profonda conoscenza dei sistemi IT aziendali siano elementi chiave sia per il loro lavoro, sia per il loro ulteriore sviluppo. Secondo me, sebbene la conoscenza tecnica sia il requisito di base per un CISO (e che i CISO debbano avere dimestichezza con le nuove tecnologie), il settore deve rendersi anche conto che i sistemi IT moderni sono cos\u00ec complessi che i CISO non possono avere un quadro completo dal punto di tecnico, nemmeno in teoria.<\/p>\n

Inoltre, i sistemi informatici stanno diventando sempre pi\u00f9 sofisticati (cosa che si aspettano la maggior parte dei partecipanti al sondaggio). Pertanto, le competenze tecniche di un CISO, sebbene importanti, sono secondarie rispetto allo sviluppo di altre capacit\u00e0 come la gestione dei rischi, la gestione efficace dei team e la comunicazione aziendale. Oggi ci\u00f2 che conta \u00e8 il personale.<\/p>\n

Conoscere le persone, non i sistemi<\/h2>\n

In effetti, sia i sistemi IT, sia le tecnologie di sicurezza sono ora cos\u00ec sofisticati da lasciar prendere decisioni importanti per il business a professionisti altamente specializzati. Naturalmente, questo cambiamento rende la fiducia nel team pi\u00f9 importante che mai. Da un lato, il capo del dipartimento di sicurezza informatica deve potersi fidare degli specialisti del suo team. Dall\u2019altro, anche loro devono potersi fidare del giudizio e delle decisioni del CISO, non ciecamente o senza la possibilit\u00e0 di esprimere le proprie opinioni, ma avendo un obiettivo comune e il rispetto professionale reciproco.<\/p>\n

Secondo gli intervistati, ottenere aumenti di budget per l\u2019acquisto di sistemi \u00e8 a volte pi\u00f9 facile rispetto ad assumere pi\u00f9 professionisti di sicurezza informatica. Acquistare tanti pi\u00f9 sistemi possibili potrebbe sembrare una grande idea, ma \u00e8 molto pi\u00f9 importante identificare le capacit\u00e0 e le competenze chiave indispensabili per gli esperti in-house e per quelli esterni a cui ci si affida. Infatti, data la carenza di specialisti del mercato, penso che sia una buona idea considerare l\u2019outsourcing come un\u2019opportunit\u00e0 per ampliare le capacit\u00e0 del dipartimento e rispondere pi\u00f9 velocemente alle esigenze dell\u2019azienda.<\/p>\n

Dalla risposta agli incidenti alla gestione dei rischi<\/h2>\n

Anche se il ruolo del CISO ha acquisito importanza per gli stakeholder chiave (il consiglio di amministrazione o il CEO ad esempio), la maggior parte delle volte si chiede aiuto a danno ormai avvenuto. Per fortuna, questo sembra accadere soprattutto alla concorrenza o ai colleghi del settore. Tuttavia, ci\u00f2 dimostra che molte aziende non considerano la sicurezza informatica come uno strumento di gestione del rischio aziendale. E alla domanda su come il team di gestione misuri le prestazioni della sicurezza informatica, molti CISO affermano ancora che gli indicatori chiave siano il numero di incidenti o i tempi di risposta agli incidenti.<\/p>\n

Si tratta certamente di fattori importanti, ma nel moderno concetto di cyberimmunit\u00e0 che abbraccia Kaspersky, un\u2019azienda ben protetta non \u00e8 quella che si limita a minimizzare il numero di attacchi che hanno provocato danni o indagare rapidamente sugli incidenti, ma quella la cui attivit\u00e0 possa svilupparsi con successo nonostante tali incidenti.<\/p>\n

Dopotutto, i rischi tollerabili e le perdite potenziali accettabili dovute agli incidenti sono diversi a seconda delle aziende. A volte vale la pena di allentare la morsa per quanto riguarda le misure di protezione per stimolare lo sviluppo dell\u2019azienda. In altre situazioni, questa non \u00e8 un\u2019opzione. Il numero di incidenti non pu\u00f2 servire come misura assoluta delle prestazioni della sicurezza informatica. Anche il modo in cui le misure di sicurezza informatica influenzino la velocit\u00e0 di elaborazione dei compiti aziendali e i costi sono importanti. Pertanto, a mio avviso, i CISO devono soprattutto essere in grado di valutare adeguatamente i rischi e costruire sistemi di sicurezza informatica perfettamente adeguati alle loro imprese e ai loro processi aziendali, piuttosto che concentrarsi eccessivamente sulla protezione dagli incidenti.<\/p>\n

Passare pi\u00f9 tempo con gli avvocati<\/h2>\n

Un\u2019altra cosa che mi ha colpito \u00e8 stata la risposta sull\u2019importanza di comunicare con altri settori all\u2019interno dell\u2019azienda. Gli avvocati dovrebbero avere una priorit\u00e0 pi\u00f9 alta. Oggi, la crescente complessit\u00e0 dei sistemi informatici e le loro interrelazioni con i servizi esterni, da un lato, e le leggi internazionali dall\u2019altro, fanno s\u00ec che non si possano ignorare le potenziali conseguenze legali delle decisioni prese dai professionisti della sicurezza informatica.<\/p>\n

Gli intervistati hanno collocato al quarto posto i contatti con gli avvocati a livello di importanza, dopo i responsabili finanziari, il consiglio di amministrazione e i colleghi del dipartimento IT. Credo che i contatti con gli avvocati dovrebbero almeno avere una priorit\u00e0 pi\u00f9 elevata rispetto ai contatti con i responsabili finanziari. Se si considera la sicurezza informatica come uno strumento di gestione del rischio aziendale, si tratta di una decisione logica.<\/p>\n

Il sondaggio offre dati molto pi\u00f9 interessanti, quindi vi consiglio di leggere il testo integrale. Per scaricare il report, compilate il modulo sottostante.<\/p>\n

<\/form>