Il “CISO” in Europa. Chi tutela le informazioni aziendali?
30/03/2021
Il “CISO” in Europa. Chi tutela le informazioni aziendali?
In DEFENSIS abbiamo il privilegio di lavorare con alcuni dei migliori CEO, CIO, CISO, CSO, Direttori Audit, HR ed avvocati giuslavoristi e penalisti d’Italia, conducendo centinaia di indagini e attività di incident response sia a seguito di attacchi hacker, sia a seguito di frodi comportamentali, ovvero azioni sleali compiute dall’interno dell’azienda.
Questo approfondimento è rivolto ad una grande varietà di figure professionali, ai CISO/CSO, agli specialisti privacy, agli auditor, agli avvocati, agli investigatori e a chi è interessato ad una carriera nel mondo della information security.
Cos’è il CISO
Il CISO (chief information security officer) è la figura dirigenziale a cui è demandata non solo la protezione delle informazioni, ma anche il supporto nell’individuazione e nell’interpretazione dei rischi, la sensibilizzazione dell’organizzazione ai rischi cyber e l’intervento in caso di crisi ed emergenze.
Bill Sweeney in un articolo su Harvard Businss Review ha indicato come il 40% dei dirigenti dichiarino una mancanza di chiarezza nell’ambito dei CyberRisk o sul come fronteggiare un attacco.
Ogni azienda è unica, la compliance a standard obbligatori o a normative costituisce una linea guida utile per stabilire il minimo accettabile da cui partire per sviluppare il modello di security aziendaledopo aver compreso il business model, la cultura aziendale, i rischi pertinenti, i tool applicabili, la tecnologia, le persone, i budgt, i processi.
“Puoi avere security senza privacy, ma non puoi avere privacy senza security”
Questa frase è ancora più vera nel contesto italiano ed europeo, nel qual efficaci controlli a tutela della privacy e protezione dei dati sono richieste dalla normativa (GDPR, Giuslavoristica, Tutela segreti commerciali industriali, etc) che prevede ora un’impostazione di “accountability”, ovvero di responsabilità da parte di chi sceglie quali misure implementare.
Gli ambienti in cloud, virtualizzati, il fenomeno dello “Shadow IT” estendono il perimetro da proteggere ben oltre la visibilità e raggiungibilità puntuale di un CISO. Il suo lavoro infatti include anche l’allineamento con le altre funzioni aziendali e sensibilizzarle affinchè l’azienda assuma una corretta postura per l’individuazione e gestione dei rischi legati all’informazione.
La posizione nell’organizzazione del CISO
La crescente mobilità, virtualizzazione e la responsabilità derivante dalle nuove normative rende il ruolo di CISO una figura emergente necessaria.
E’ interessante notare gli esiti di una ricerca di Stan Dolberg (IANS), secondo la quale dall’analisi di oltre 1200 figure professionali quali CISO e operanti nel mondo della corporate security i CISO più di efficaci riportino funzionalmente a ruoli “business” o “Risk”, mentre i meno efficaci a raggiungereil coinvolgimnto dell’organizzazione riportano a ruoli “IT” o tecnologici.
Tale esito non fa che confermare la nostra idea che il CISO debba essere sicuramente indipendente dall’IT o da ruoli tecnici che spesso si trovano in conflitto con operazioni di security e investigation.
I primari coinvolgimento del CISO dovrebbero essere:
- Nella pianificazione e modifiche al Business Continuity Plan, ruolo che permette di entrare in contatto con le figure tecniche e con gli stakeholder businss
- Nel team/comitato di crisi, ruolo che dovrebbe essere l’ambiente naturale di un CISO
La figura del CISO è trasversale all’organizzazione, criticità possono emergere nel marketing con l’adozione di un nuovo CRM, cosi come nel legal occupato a redigere un nuovo contratto. Incontri mensili con il legal, il finance e i diversi responsabili di unità produttive e di business darà l’opportunità di confrontarsi sugli aspetti “security” delle diverse attività che l’azienda sta portando avanti, assicurandosi che la security e la tutela delle informazioni siano tenute in considerazione sin dall’avvio dei progetti.
I compiti di un CISO
1) Il CISO partecipa attivamente alla strategia aziendale, compliance, policy e architettura del business e tecnica
2) Il CISO è il responsabile della protezione dei dati, eventualmente supporta il DPO se presente, assicuri la conformità con le normative nazionali ed eventualmente internazionali
3) Il CISO è disponibile e offre supporto e suggerimenti in merito al contenuto di policy, e che attività e investimenti tecnici siano chiari al management e allineati al business e considerati nell’analisi dei rischi
4) Il CISO si confronta con gli stakeholder Legal, HR, Risk, Audit, Finance, IT… non è una figura isolata dall’azienda
5) Il CISO lavora affinchè si concretizzi il concetto di security by design (richiesto ad sempio dal GDPR) nello sviluppo delle iniziative gestite dalle diverse funzioni aziendali e nella catena del valore (Michael Porter) assicurandosi che vengano svolti adeguati controlli dai fornitori alle vendite, dagli acquisiti.
6) Il CISO deve essere aggiornato. Minacce, leggi, tecnologia e modelli di business cambiano costantemente.
7) Il CISO può validare una policy o un controllo di audit, ma non ne è l’architetto. L’attività resta in capo alla rispettiva funzione (HR, legal, audit..)
8) Il CISO è partecipe e condivide informazioni ed esperienze nelle community con i suoi pari.
Alcune organizzazioni americane richiedono che il CISO riporti al board almeno una volta l’anno.
I rischi valutati dal CISO
Il CISO analizza i rischi secondo una classificazione che può prevedere:
- Imminenza della minaccia
- Gravità delle conseguenze (costi derivanti da perdita di produttitività, reputazione, speselegali, ripristino, cancellazione di ordini, perdita di know how, sanzioni nazionali o europee…)
- Presenza o assenza di controlli
- Potenziale di interazione con altri rischi (peggiorativi, facilitativi, …)
- Probabilità di mitigazione efficace
Esistono numerose checklist di rischi (C.d. Risk Inventory) che possono guidare l’individuazione e l’assessment dei rischi, che comunque non potrà mai essere esasustiva o esatta al 100% in quanto ci sono minacce non misurabili, quantificabili o semplicemente prevedibili con sufficiente accuratezza, inoltre la crescente complessità del perimetro “cyber” dell’azienda rende incerta l’efficacia dell’utilizzo di tali checklist.
Poniamo l’esempio di un attacco DDOS che renda “offline” i sistemi informatici aziendali per i clienti, gli effetti di tali eventi potrebbero essere causati in molteplici modi e in molteplici punti dll’azienda. Concentriamoci quindi sugli effetti sul business dell’azienda e aggiungiamo all’analisi dei rischi ulteriori domande non tecniche come ad esempio quelle di cui ai punti H e seguenti del paragrafo successivo.
“Il rischio può essere gestito, ma non se ne va”
La ricerca e l’analisi dei rischi è un’attività che non ha fine. Periodicamente si decide cosa deve essere migliorato o corretto. L’ordine con il quale si procede sarà il risultato della combinazione tra priorità di ogni rischio e la confidenza che l’azione correttiva possa essere efficace e ottenuta con un budgt sostenibile entro un periodo di tempo accettabile.
Nello scenario tecnologico attuale molte aziende non sanno semplicemente dove risiedono i loro dati o le loro email (fornitori terzi, cloud, cloud in sub-appalto…) e non hanno quindi visibilità ne sono resi edotti sui rischi.
Prima di procedere all’all’analisi dei rischi è bene condurre una ricerca, catalogazione e classificazione delle informazioni (soprattutto digitali), in ordine ad esempio alla rilevanza per il business (riservatezza e know how) o ai fini privacy.
Business Question legate alla information security
Le problematiche demandate a un CISO non sono solo tecniche o informatiche, sono anche strettamente correlate al business model, il CISO è infatti per necessità e anche per le ultime normative americane ed europee in primis un Chief Business Protection Executive.
A) Quali sono i più gravi rischi di sicurezza in cui incorre l’azienda?
B) I dirigenti ne sono a conoscenza e li hanno compresi?
C) La compagine societaria ne è a conoscenza e li ha compresi?
D) [Se l’azienda è in più stati] Applicate lo stesso livello di controlli operativi e tecnici?
E) I device mobili e il cloud hanno spostato dati in ambienti non più sotto il completo controllo dell’azienda?
F) Come tecnologia e cultura stanno impattando sul business? Policy e normative come sono e come stanno cambiando rispetto a questi aspetti?
G) Sicuramente sarete dotati di ampi strati di difesa per attacchi cyber e malware, ma per i comportamenti umani?
H) Impossibilità per i clienti di fare ordini. Come può accadere, Quale è il piano B?
I) Le consegne del prodotto/servizio sono interrotte. Come può accadere, Quale è il piano B?
J) Il software delle paghe non funziona. Come può accadere, Quale è il piano B?
Somministrare un questionario di questo tipo ai dirigenti delle varie funzioni aziendali può stimolare la discussione e far emergere ulteriori spunti dalle stesse persone che gestiscono il business.
10 iniziative prioritarie per la sicurezza delle informazioni
Riportiamo 10 punti che meritano a nostro avviso attenzione e che se portate a compimento potrebbero salvare letteralmente un’azienda da un disatro derivante da un data breach o da un’attacco cyber.
1 Inventario degli asset fisici, virtuali e SAAS
2 Individuare e Classificare le informazioni
3 Account Privilegiati
4 Identità e Accessi
5 Cyber Defense : Cloud-Network-Endpoint (anche I mobili)
6 Proteggere i dati e la loro disponibilità
7 Formazione per le risorse umane
8 Team di sicurezza
9 Testing frequente
10 Gestire il traffico e lo scambio dati
Operativamente segnaliamo alcuni degli aspetti pratici che riteniamo essere cruciali visto lo scenario tecnologico attuale.
- Check policy utilizzo beni aziendali
Registro dei trattamenti (es. il fornitore che gestisce il CRM)
- Analisi dei rischi rischio (perdita e furto di dati, Log di FW, DC, antivirus… cryptolocker proof retention) - Attivazione vault per email aziendali
- Selezione di controlli e matching con 27.001
- Check delle vulnerabilità periodiche
- Sistemi di File transfer in smartworking
- Classificazione dei dati
- Gestione, policy e monitoring degli USB
- Procedure di gestione dei beni aziendali (consegna, restituzione, ruoli apicali almeno 90 gg di retention)
- Attivazione bitlocker o simili sui PC aziendali
- Attivazione MDM (appena possibile)
- Gestione VPN(log e connessioni stabili di fornitori)
Risk Management Plan
Il piano di Risk Management è richiesto dallo standard ISO 27001. Una volta sviluppato tale piano deve essere approvato, manutenuto e gestito.
Il processo di sviluppo di un Risk Management Plan può essere così riassunto:
1) Determinare i bisogni del business e degli enti regolamentari e normativi
2) Scopo, format, linea temporale e stima di costi e benefici
3) Identificazione e qualificazione dei dati e delle sorgenti
4) Designazione della supervisione e dei co-autori del piano e dei documenti collegati
5) Training, Supervisione, accesso e risorse necessarie
6) Inventario dei rischi, asset e informazioni
7) Raccogliere le risultanze, le conclusioni e dettagliare le azioni proposte
8) Inviare il report
9) Audit e revisione
10) Revision dei documenti collegati
11) Valutazione dell’efficacia del piano, end of life, modifiche e sostituzioni