La gestione dell’information security in un’azienda è un processo che non può mancare. Al pari passo dell’evoluzione tecnologica, si evolvono anche i malware e gli agenti di minaccia che li governano. Il Chief Information Security Officer (CISO) è il nome del ruolo aziendale addetto alla gestione del processo di sicurezza informatica.
In origine si parlava del dato come l’elemento atomico da proteggere mentre ora abbiamo l’informazione. Questa rappresenta un’elaborazione di dati che assume un preciso significato per l’azienda e le parti interessate, ossia acquisisce valore che può essere percepito differentemente dalle parti. Il concetto, così espresso, è corretto però è vago e ciò implica una difficoltà intrinseca a identificare quando l’informazione è rilevante per l’azienda e assegnarle un valore, sempre secondo la visione aziendale.
Proprio la presenza del termine valore richiede misure di protezione adeguate, che se nel passato erano di natura prevalentemente tecnologica, oggi sono in gran parte azioni organizzative per governare olisticamente l’intero ecosistema, inclusivo di azienda, supply chain e tutte le parti interessate. Spesso nel passato si parlava di strumenti e misure minime, mentre oggi è più importante l’efficacia e misure adeguate. È prevedibile dover affrontare una crescente complessità e pertanto il singolo strumento, qualunque esso sia, non è più sufficiente. Dobbiamo implementare un sistema di protezione legato essenzialmente agli obiettivi dell’azienda, e non dell’ICT, e poi mantenerlo e migliorarlo costantemente nel tempo.
Il Chief Information Security Officer (CISO) è un ruolo necessario
Il Chief Information Security Officer (CISO) è il nome del ruolo aziendale addetto alla gestione del processo di sicurezza informatica. Ricopre la posizione organizzativa con la responsabilità (accountability) di progettare e governare il sistema di protezione delle informazioni aziendali (Information Security Management System o ISMS), basato su:
- politiche e linee guida;
- misure di sicurezza organizzative, comportamentali, fisiche e tecnologiche;
- metodologie e metodi di verifica dell’efficacia e dell’adeguatezza alle necessità aziendali e ai requisiti di legge.
La lista delle responsabilità operative necessarie alla posizione CISO è abbastanza ampia. Oltre alla progettazione, deve coordinare metodologicamente la rilevazione e classificazione delle informazioni fondamentali al funzionamento dei processi aziendali, e in particolare alla valutazione del rischio. Deve emettere la normativa di riferimento in tema di sicurezza informatica, nonché supervisionare l’attuazione dei meccanismi e alla stesura delle procedure operative. Il compito assegnato include inoltre il monitoraggio continuo dell’allineamento dell’ISMS ai requisiti del risk treatment plan (RTP).
Non deve essere dimenticato neppure il fronte della compliance. Quindi, promuovere sistemi di autocontrollo, attuare verifiche sull’effettiva protezione dei sistemi, reti e applicazioni da accessi non autorizzati od utilizzi impropri, verificare l’efficacia delle misure attuate nell’ambito di leggi attinenti il trattamento dell’informazione e gestire un periodico reporting all’alta direzione. Infine, giusto per non dimenticare un altro tema vitale, coordinare i programmi di formazione e sensibilizzazione a supporto degli utenti, interni o esterni.
Le competenze e i requisiti necessari
L’intrinseca complessità del sistema richiede una comprovata formazione su diverse aree operative. Alle necessarie capacità organizzative, comunicative, interpersonali, è essenziale una approfondita conoscenza orizzontale della tecnologia dell’informazione, delle tecniche di risk management, oltre alle tecniche di audit per compiere le verifiche di efficacia del sistema. Oltre a queste qualità, si deve ulteriormente aggiungere l’integrità morale e l’indipendenza di giudizio perché le risultanze dei controlli sono usate in decisioni aziendali che, se inadeguate, potrebbero compromettere la capacità stessa del business di operare.
Le particolarità dei vari skill richiedono esperienza e specifiche conoscenze verticali che, perlomeno inizialmente, presumibilmente non ci sono. Allora è necessario richiedere al CISO, sia l’ottenimento di certificazioni di competenze attinenti gli ambiti rilevanti nel proprio ISMS, sia la presenza di un supporto esterno qualificato per riuscire a ricoprire tutte le esigenze richieste dal ruolo. La completezza del fronte di difesa non è un’opzione. È come una diga, se c’è una sola crepa, quella diga non ha più l’efficacia voluta.
Il ruolo del CISO nella gestione delle minacce informatiche
Un aspetto dell’information security che sta sempre più emergendo è la “threat intelligence”, ossia nella creazione dello scenario di rischio, la capacità di raccogliere, elaborare ed analizzare informazioni relative ad agenti di minaccia, dei quali si cerca di comprendere le possibili motivazioni, nonché gli obiettivi e i comportamenti durante un ipotetico attacco o un uso non autorizzato di asset aziendali. Non è un lavoro che può compiere un singolo soggetto, né una singola azienda; è un complesso lavoro di continua raccolta e analisi di informazioni sulle nuove minacce, nei più svariati scenari, che viene svolto da enti o istituzioni o organizzazioni specializzate, che poi condividono pubblicamente i propri risultati.
Al CISO si richiede di partecipare attivamente alle azioni divulgative o formative sostenute da queste associazioni o gruppi di lavoro impegnati in ambito cybersecurity per la prevenzione di minacce o vulnerabilità. Oltre a ciò, deve adottare metodologie e framework internazionali perché questi sono costruiti attorno all’esperienza di molte aziende, che precedentemente sono state coinvolte in azioni di cyberattack e che poi hanno condiviso le loro esperienze. Questa condivisione della conoscenza del problema, incidente accaduto o sfiorato, è il primo passo per contribuire allo sviluppo di soluzioni di contenimento del malware. La condivisione, quando è imposta dalla legge, si chiama notifica.
Il ruolo del CISO nella gestione delle crisi
Nelle procedure dei processi di business continuity, in particolare nella gestione degli incidenti, la presenza CISO deve sempre essere inclusa. È l’autore delle policy di sicurezza e quindi, o nella catena di escalation o come supervisione, deve essere sempre coinvolto perché è parte attiva nel processo di ripristino del normale livello di funzionamento delle operazioni. Inoltre, coordina le analisi post-incidente per comprendere le cause all’origine dell’evento ed agire di conseguenza per evitare il ripetersi in futuro di quel tipo di incidente. Le risultanze dell’analisi o “lesson learnt” sono la base per la revisione delle procedure e per riattivare un ciclo di valutazione del rischio su asset, minacce e vulnerabilità individuati nell’evento esaminato.
Un altro aspetto in gestione al CISO è il ruolo di interfaccia con le autorità preposte nei casi di incidenti che rappresentano delle violazioni di leggi o regolamenti. L’incarico della gestione della segnalazione o notifica degli incidenti informatici è giustificato dal fatto che rappresenta la posizione aziendale con la visione più completa sul valore e sul livello di protezione delle informazioni.
Il CISO come punto di riferimento per le funzioni aziendali
L’ISMS viene costruito in modalità top-down, ossia si parte dagli obiettivi aziendali, si includono i principi di sicurezza nelle policy, e per mezzo delle procedure si scende a coprire ogni dettaglio a livello operativo per definire le azioni di protezione. Il CISO si posiziona come autore delle policy e come controllore della applicazione delle regole di sicurezza sull’intero perimetro aziendale, inclusivo dell’intera supply chain e della ricerca e sviluppo.
Quindi, internamente supporta i proprietari delle informazioni nella classificazione e controlla l’implementazione delle regole di protezione. Per l’esterno, fornisce supporto consulenziale sulla sicurezza delle informazioni alle funzioni aziendali nelle relazioni con clienti, partner e fornitori ed inoltre mantiene il contatto con le autorità e le organizzazioni che operano inerentemente alla tematica dell’information security. Infine, riporta periodicamente all’alta direzione il livello di sicurezza dell’ISMS per le conseguenti decisioni.
Il CISO come garante della sicurezza informatica aziendale
Nel ruolo del CISO non sono previste attività di implementazione di controlli, né quelli comportamentali in carico all’HR che sono un compito di tutti, e neppure quelli tecnologici in carico ai responsabili dei processi operativi. L’assenza di attività implementativa ma la presenza di quella progettuale dell’ISMS e di controllo dello stesso, di fatto lo rendono idoneo a ricoprire la figura di garante sulla valutazione dell’applicazione dei principi di sicurezza richiesti.
L’azione di controllo è fondamentale che sia attuata in indipendenza di giudizio per garantire la veridicità delle misure eseguite sull’ISMS. Questo perché le decisioni del top management sono influenzate dai risultati del reporting del sistema di protezione, che a sua volta viene costruito tramite indicatori di monitoraggio del controllo, dall’attività di audit e dall’analisi di rischio. La qualità dei risultati di questi processi è pertanto un fattore critico per l’azienda. Il CISO deve riportare almeno funzionalmente all’AD per garantire una comunicazione diretta, senza interferenze da possibili ritardi nella catena gerarchica, così da permettere in tempi rapidi la salita al vertice aziendale delle criticità rilevate.
Il CISO come garante della data protection (privacy)
Un tema apparentemente diverso dalla information security, ma che ne condivide in buona parte il framework implementativo, è quello della data protection o privacy. La sua importanza per le aziende è stata ampliata con l’introduzione del GDPR, regolamento che attribuisce molti compiti alle aziende per tramite delle responsabilità assegnate al titolare ma che fortunatamente possono essere associati a quelli dell’information security. Alcuni concetti sono simili e questo è un aiuto a sviluppare un unico sistema integrato, efficace ed efficiente.
Il parallelismo tra la protezione delle informazioni aziendali e quella del dato personale è evidente, ad esempio, tra gli asset organizzativi e il registro dei trattamenti, tra la sicurezza by design and default e l’equivalente concetto espresso dalla privacy, tra la determinazione dell’impatto e la DPIA, tra la figura del CISO e del DPO, e così via. Anzi, si percepisce chiaramente che i requisiti del GDPR sono inglobati nel più ampio sistema di protezione delle informazioni. Questo profondo parallelismo pone la questione di chi dovrebbe essere il DPO e se è opportuno rinunciare a questa figura in tutti i casi che la legge lo prevede come opzionale.
Per le numerose similitudini, alle aziende risulta naturale e conveniente attribuire la posizione di DPO al CISO, nei casi ove non manchino le relative competenze. Il DPO è la figura che possiede comprovate competenze per raggiungere la conformità al regolamento sulla privacy e pertanto, rappresenta un valore aggiunto perché dà evidenza della volontà dell’azienda a costruire un meccanismo integrato con l’information security, quindi qualitativamente solido.
Concentrare le azioni di compliance della protezione delle informazioni sul CISO, non deve limitarsi alla sola privacy. Ad esempio, il CISO può portare l’azienda ad autovalutarsi sul cyber risk secondo i principi della Direttiva NIS, anche se non è un’infrastruttura critica. Il costo è trascurabile, l’allineamento con un framework internazionale è indicatore dell’adozione di un approccio riconosciuto e formale, pertanto confrontabile con altre realtà aziendali. Tutto ciò, dimostrando la trasparenza nei processi interni di sicurezza, genera fiducia nel proprio ecosistema, ovvero crea ulteriore valore al business.
Sfide future
Il domani del CISO comincia oggi con l’evidenza di un ruolo già mutato da tempo. Ieri avevamo l’informatica basata sui “data cruncher” debolmente connessi tra loro con al più problemi di virus, di sicurezza fisica o di costi. Oggi abbiamo il “cloud computing”, che porta i dispositivi ad essere sempre connessi ma con un’ampia gamma di potenziali malware e di agenti di minaccia sempre più aggressivi. Se il CISO, ieri era sbilanciato sulla tecnologia e rinchiuso nell’ambito IT, l’odierno CISO deve confrontarsi con aree ben diverse tra loro come quella organizzativa, comportamentale o di compliance. Inoltre, per l’ampiezza e complessità delle nuove minacce, la tecnologia presente, anche se elevata, non sempre rappresenta la componente primaria della minaccia stessa verso l’azienda.
Un ISMS è trasversale a tutti i processi aziendali ed è un componente integrato nelle procedure degli stessi processi. La necessità di competenze molto ampie e specialistiche, come già menzionato, sempre più spesso porta ad affiancare al CISO delle figure esterne per supportarlo in attività specifiche o verticali, quali la valutazione del rischio, la privacy, l’autovalutazione del profilo di sicurezza, l’auditing, sempre aderendo a standard o framework internazionali coerenti con i requisiti del business. Il profilo ideale per supportare il CISO è una figura similare ma che sia dedita prevalentemente al supporto consulenziale tecnico, con idoneità all’auditing e sia totalmente indipendente dall’ambiente ove andrà ad operare.
Ad esempio, un auditor tecnico dotato di adeguate certificazioni, che comprovano le competenze necessarie, ha i requisiti richiesti per questo ruolo. Può assumere in contemporanea anche varie posizioni aggiuntive al puro perimetro di information security, come ad esempio quella di responsabile del risk management, oppure attestare la veridicità del profilo di autovalutazione del cyber risk secondo la Direttiva NIS, od anche di gestore del sistema di whistleblowing (Direttiva europea 2019/1937) per l’azienda. In aggiunta e non ultima la posizione di DPO, in particolare per l’idoneità al processo di privacy audit. L’incarico multiplo attribuito ad un singolo soggetto esterno, vincolato da opportuno NDA, serve a incrementare la qualità del servizio e la sua efficacia, semplificando la comunicazione con il CISO, agevolando un approccio metodologico comune ed integrato tra i processi, ed inoltre, il minor numero di soggetti autorizzati ad accedere ad informazioni sensibili riduce il rischio di esposizione non autorizzata.
Di preferenza un consulente esterno segue i processi di compliance per il maggior livello di indipendenza rispetto al CISO, il quale invece si occupa soprattutto della definizione di principi e regole, nonché della supervisione dell’ISMS nel suo complesso, di analisi e di presentazione dei risultati ai vertici aziendali. Il processo di reporting non è assolutamente un passo secondario per il CISO. Deve possedere le giuste capacità di sintesi del profilo di rischio, di evidenziazione dei punti critici rispetto agli obiettivi ed alla maturità del processo di sicurezza all’alta direzione. Questo è il rischio maggiore per il CISO. Dopo aver progettato l’ISMS, averlo reso funzionante, allineato all’evoluzione tecnologica e ai processi di business, se non ha capacità di sintesi e di comunicare quanto di interesse per gli obiettivi aziendali, ha fallito il suo compito.
Articolo originariamente pubblicato il 06 Ott 2023