Il CISO è una figura mitologica che si associa, nella fantasia aziendale, ad una mitica deità protettrice delle aziende.
Le carattersitiche antropologiche dei CISO sono analoghe agli dei minori protettori delle case, tipo i Lari latini per intenderci.
Lari (dal latino lar(es), “focolare”, derivato dall’etrusco lar, “padre”): figure della religione romana che rappresentano gli spiriti protettori degli antenati defunti che, secondo le tradizioni romane, vegliavano sul buon andamento della famiglia, della proprietà o delle attività in generale .
Come i Lari quindi non sono soggetti da adorare nei pantheon seri, dedicati alle deità maggiori, cosi i CISO generalmente sono considerati ad un livello minore dei ruoli VIP aziendali che iniziano con “C” ed il sospetto che nel caso del CISO la “C” sia per “child” viene.
La funzione principale del CISO è quella di proteggere le aziende ma non da attacchi esterni od interni, come molti pensano ingenuamente, ma dalla incompetenza del resto della azienda quanto si ha a che fare con processi che coinvolgano, in qualche modo, componenti informatizzate.
La protezione fornita è tipicamente in forma di capro espiatorio, il che significa che a fronte di un problema che sia in qualche modo riconducibile all’informatica e, nello specifico, ad un incidente di sicurezza informatica il CISO è, nei fatti, quello a cui dare la colpa.
La funzione ha preso piede prepotentemente con il crescere, negli ultimi anni, degli attacchi informatici nei confronti di aziende che hanno implementato strutture IT deprecabili e che ritengono, giustamente, che progettare sistemi e processi corretti sia uno sforzo inutile se si può utilizzare un capro espiatorio utile all’uopo.
Come si deduce da queste prime righe la figura del CISO quindi riveste un ruolo fondamentale all’interno della azienda.
La attenzione che la azienda indirizza alla sicurezza informatica, in generale, può essere dedotta dal ruolo del CISO e a chi riporta.
Pur ammettendo che queste sono generalizzazioni e quindi suscettibili di eccezioni anche considerevoli (quindi se sei CISO togliti pure l’ansia, ti puoi tiar fuori) si possono fare queste considerazioni:
- la azienda non ha un ciso
- la azienda ha un ciso
Non ho il CISO
Nel primo caso le ragioni potrebbero essere legate alla dimensione aziendale limitata che non giustifica tale figura per questioni di budget, anche se se si offrono per un DPO 500 euro all’anno, si potrebbe fare medesimo sforzo per un CISO.
Da un altro punto di vista invece la azienda potrebbe fare a meno del CISO perchè:
- non ritiene che la sicurezza informatica sia qualcosa di cui preoccuparsi
- ha dato tutte le responsabilità ad un player esterno
- assume che l’IT sia sufficiente all’uopo.
Essendo la cosa assolutamente comprensibile se proprio si volesserofare le pulci si potrebbe azzardare che:
per il punto 1 o la azienda è priva ed indipendente d qualsivoglia forma di informatizzazione o forse non ha ben chiaro dicosa si stia parlando, ma tantè…
per il punto 2 si potrebbe obiettare che esternalizzare senza avere capacità di indirizzo e di controllo è tanto sano quanto dare i propri risparmi in gestione ad un adolescente in crisi ormonale. Ora magari questa terza parte è anche eticamente corretta e tecnicamente preparata, ma se non hai strumenti di controllo interni come fai a saperlo? E con che leve giudichi o guidi l’approccio di sicurezza sul tuo business? Ammesso che il business tu cerchi di guidarlo, ovvio.
per il punto 3 potrei fare una affermazione forte, IT e security (ancorchè in salsa cyber) sono domini con alcune sovrapposizioni ma non sono la stessa cosa. E, per altro, controllore e controllato non possono assolvere alla stessa funzione.
Ho il CISO
Nel caso invece il CISO ci sia, come al punto 2, non è detto che tutto sia rose e fiori ( mai capito il detto le rose sono fiori o no? se si la frase che senso ha?)
In questo caso una prima norma di controllo è capire come funziona il CISO in termini di chi riporta e che budget ha.
in altre parole la funzione del CISO è dipendente da due variabili
CISO (riporto, budget)
ora il rapporto con il budget è solitamente direttamente porporzionale, che significa che più soldi e strutture ha più riesce a fare il suo mestiere, mentre la relazione con il riporto è di piu difficile comprensione.
Facciamo alcuni esempi
Il CISO riporta al CFO
In questo caso abbiamo il CISO riportare ad un soggetto il cui unico scopo è quello di ottimizzare i flussi di cassa e l’outlook finanziario della azienda, Solitamente un CFO considera un investimento un incidente stradale e visto che gli hanno piazzato il CISO non sa che farsene ne ha tempo di dargli retta. L’unica cosa positiva è se l’azienda in questione dipende dai suoi rating anche in funzione della implementazione della Cyber Security, nel qual caso il rapporto col CFO diventa un rapporto di odio/amore.
Le istanze del CISO verso il CFO e verso l’azienda sono, in mancanza di costrizioni legate al rating, derubricate a seccature di grado minore al motto di “parla con l’IT”.
ovviamente questa è una collocazione sub ottimale della figura del CISO che si può tradurre (fatte le eccezioni di cui sopra) in lo metto perchè serve averlo basta che non rompa.
Il CISO riporta ad CHRO
Se non ha senso il CFO il riporto ad CHR è invece inutile. Chiariamoci non che la sicurezza informatica non ricada anche sui comportamenti degli utenti e quindi, più o meno direttamente, nell’alveo delle attività di un CHRO, ma qui la componente tecnologica viene completamente evaporata, insieme a quella budgetaria. Le possibili interferenze dell’ufficio HR nella vita IT sarebbe tanto intollerabili quanto inascoltate.
Un CISO in questa condizione si ritrova ad essere ne carne ne pesce, e fondamentalmente lontano dalle linee di business, cosa ottima se si vuole che rompa il meno possibile. Ma diverrebbe un capro espiatorio fenomenale in caso di incidenti che riguardano condotte non corrette da parte dei dipendenti (tipo il manager che clicca su un link di una mail di phishing, da le sue credenziali e mette a rischio l’intera struttura aziendale).
Il CISO riporta al CIO
Occorre innanzitutto intendersi su CIO, che non è il Comitato Olimpico Internazionale
Assumiamo che il CIO sia il direttore informatico, il manager responsabile della funzione aziendale tecnologie dell’informazione e della comunicazione (non intesa come marketing).
Potrebbe apparire che tale dipendenza sia esatta. Ed in effetti e meno peggio delle due precedenti, se non chè CIO e CISO possono entrare in rotta di collisione per quello che concerne le implementazioni ed i controlli da effettuare.
Un altro problema è che in termini di sicurezza il CISO deve poter entrare anche nel merito di processi che usano l’IT, di cui l’IT è solo recettore di esigenze.
Questo è legato al fatto che la security e l’IT come si diceva prima sono domini che hanno aree di condivisione ma non si sovrappongono.
In altre parole da un lato il controllore ed il controllato non possono essere gli stessi,e se il controllato controlla il controllore non ci sono le necessarie garanzie di autonomia.
L’unica cosa buona di questa situazione è che entrambi parlano lingue simili.
Ora il fraintendimento sul fatto che il CISO possa essere una parte IT è legata all’idea che la sicurezza sia una faccenda tecnologica, cosa condivisa, purtroppo, anche da molti CISO.
Non di rado gli esperti di sicurezza sono “quelli che sanno configurare un firewall”, sigh.
Per altro se il ruolo del CISO è quello di fare risk management avrebbe più senso far dipendere l’IT da CISO e non viceversa.
Ma anche questa è una soluzione che non sarebbe ottimale, troppo forti le tensioni e sopratutto i conflitti di interesse.
Ma allora a chi deve riportare il CISO?
Siamo seri un CISO dovrebbe poter riportare al board o al CEO (discorso simile si può fare per il DPO) altrimenti vuol dire mettere la sicurezza in secondo piano e, in questo caso, il rischio maggiore è la tendenza a dare alla sicurezza i compiti di pulizia e miracolistica necessaria a coprire sistemi mal disegnati in opere ed omissioni.
Ma ho già parlato di questo.
Un aspetto importante del CISO per altro è che deve fare risk management ed essere in grado di tradurre i concetti in maniera comprensibile ad un board. La lingua del CISO è quindi molto più estesa di quella di un CIO. Tradotto al CISO non dovrebbe interessare come si configura un firewall (competenza IT), ma a cosa serve quel firewall e cosa deve fare per il bene dell’azienda.
E non tutto quello che fa il firewall, certe componenti di configurazione dovrebbero essere in carico all’IT come best practice. Lasciare netbios o SMB o RDP aperti al mondo è qualcosa che ogni IT dovrebbe considerare deleterio, non serve un esperto di sicurezza.
Del resto se non lasciamo la macchina con le chiavi inserite, il motore acceso e incustodita quando parcheggiamo lo facciamo per sicurezza anche senza essere agenti di polizia o esperti di furti… e se lo facciamo o siamo folli, o ce lo possiamo permettere (chi vive in zone di mafia ha capito cosa intendo).
Quindi il CISO ha una ottica diversa da IT ed un linguaggio diverso. Ho scritto sull’argomento in tempi non sospetti in un altro post:
si noti che autocitarmi serve a incrementare la mia autostima :-).
E se siete interessati a chi riportano CSO e\o CISO ecco un bel grafico 🙂
Son sicuro ho già deciso che da grande faccio il CISO. Ma, magari, non lo so forse faccio il CSO
E tu che CISO sei?
Nessun commento:
Posta un commento