Come i CISO stanno camminando sul filo del rasoio esecutivo
I CISO moderni hanno scoperto che il loro ruolo si sta spostando da quello dell’esperto di sicurezza tecnica a qualcuno che parla un linguaggio aziendale, inquadrando il loro programma di sicurezza in termini di abilitazione di risultati aziendali positivi.
Con molte funzioni di sicurezza tecnica ora condivise tra i team IT, di sviluppo e di operazioni di sicurezza, il ruolo del CISO è diventato più di un business leader rispetto al tradizionale leader della sicurezza IT del passato.
Questo significa tradurre le loro priorità e iniziative di sicurezza generale in termini di rischio che i dirigenti possono capire e sostenere.
I CISO ad alte prestazioni stanno prendendo in considerazione gli obiettivi e gli sforzi strategici del business e adattando i loro programmi di sicurezza per fornire risultati che moltiplicano la velocità del business e le entrate, invece di ostacolare il business basando un programma di sicurezza solo su minacce e vulnerabilità.
Più influenza, meno martello
Questo significa che i CISO devono anche diventare più esperti di business, aiutando a promuovere una cultura della sicurezza attraverso valori condivisi, fiducia e responsabilità, spesso più attraverso abilità di influenza che con il martello della sicurezza e della conformità.
“Stiamo vedendo il ruolo del CISO essere elevato da sotto l’ombrello IT del CIO e diventare un rapporto diretto al CEO”, spiega John Hellickson, consigliere esecutivo CISO sul campo per Coalfire. “Questo significa che ci si aspetta che portino un alto grado di acume commerciale nel modo in cui rappresentano il rischio ai loro colleghi e alle parti interessate”
Ha detto che la necessità di stabilire programmi di cybersecurity allineati al business che vanno al di là dei quadri di controllo tipici è ora la posta in gioco – la capacità di dimostrare i risultati positivi del business e il ROI delle attività e degli investimenti di gestione del rischio di sicurezza continueranno ad essere attesi negli anni a venire.
“I CISO che sono integrati nella pianificazione strategica del business e che partecipano alla crescita e al profitto dell’organizzazione sono quelli che saranno d’esempio per tutti gli altri nel ruolo”, dice.
Raggiungere un equilibrio nel ruolo di CISO
Dal punto di vista di Rapid7 CSO Iftach Ian Amit, l’equilibrio è simile a quello che deve raggiungere un CFO – assicurandosi che stiano considerando ciò che il business vuole fare e conciliandolo con ciò che il campo specifico (finanza) vuole fare.
“Trovare allineamenti tra questi e concentrarsi su aree in cui c’è un chiaro allineamento è la chiave per massimizzare l’efficacia di entrambi i risultati del business così come i risultati del campo più ristretto”, dice. “Si possono avere ottime finanze, ma il business fallirà. Lo stesso vale per la sicurezza – si può avere una grande postura di sicurezza, ma il business farà male e non sarà in grado di realizzare i suoi obiettivi”
Ha previsto che i CISO continueranno a spostarsi verso il centro aziendale man mano che più elementi di rischio e operazioni diventeranno più organicamente collegati alla sicurezza.
“Da quello legale, attraverso l’HR, la finanza, l’approvvigionamento, e naturalmente tutti gli aspetti dell’IT e dello sviluppo, i CISO si trovano ad attraversare tutte queste funzioni e devono effettivamente permettere loro di operare più liberamente per rimanere competitivi”, dice Amit.
Paesaggio delle minacce ampio e impegnativo
Hellickson fa notare che con il panorama delle minacce alla sicurezza che sta diventando così ampio e impegnativo, i CISO generalmente non possono tenere il passo con il personale necessario e il budget richiesto per affrontare queste minacce da soli.
“I partner di sicurezza di terze parti e i fornitori di servizi stanno generalmente cercando di affrontare specifiche sfide di cybersecurity per le aziende”, dice. “Possono aiutare un CISO a risolvere sfide specifiche o anche sfruttare la loro esperienza nel settore per aiutare il CISO a trovare una soluzione che ha funzionato in settori simili.”
Amit è d’accordo, notando che l’attuale panorama della sicurezza dei servizi e dei prodotti gestiti permette alle aziende di eseguire una pratica di sicurezza snella, compensando molto del lavoro umile che gli ingegneri della sicurezza erano soliti eseguire.
“Detto questo, le esigenze di un business saranno diverse da un altro, e come tale, i leader della sicurezza devono avere un rapporto di collaborazione con i loro fornitori al fine di avere un impatto sulla roadmap di prodotti e servizi”, dice
Tim Silverline, vice presidente della sicurezza di Gluware, ha detto che se i CISO possono inquadrare le loro iniziative di sicurezza dal valore incrementale che possono portare all’azienda, otterranno un successo migliore che se il focus del loro messaggio è specifico per la mitigazione del rischio.
“Gli eventi degli ultimi anni e la maggiore attenzione dei media agli incidenti di sicurezza hanno fornito abbastanza paura per chiunque presti attenzione”, ha detto. “Il CISO non ha bisogno di rinforzare la paura, ma dovrebbe invece concentrarsi sul miglioramento della postura di sicurezza in modi misurabili che possano attrarre più business e aumentare le metriche che interessano alla C-suite”
Ampiezza della responsabilità del CISO in espansione
Silverline ammette anche che l’ampiezza della responsabilità per i CISO continua ad espandersi, e insieme a questo, il set di abilità richiesto per avere successo continua a crescere.
Comunicare efficacemente con il consiglio di amministrazione, mantenere una profonda comprensione del panorama delle minacce in evoluzione, stare al passo con i regolamenti di conformità in rapido cambiamento e seguire le rivelazioni di vulnerabilità apparentemente infinite sono solo alcuni dei compiti che i CISO devono gestire efficacemente per avere successo.
“Costruire una strategia per gestire tutte queste responsabilità in un modo che funzioni bene e conti per le risorse e il personale a loro disposizione è probabilmente l’abilità più essenziale per i CISO da sviluppare man mano che crescono nella loro carriera”, dice.
Cosa leggere dopo:
MassMutual CISO parla delle priorità della sicurezza informatica
8 suggerimenti per creare una cultura della sicurezza informatica
Dove appartengono i CISO in un organigramma IT?