Domanda al CISO: ma quanto siamo sicuri?

Soprattutto negli ultimi tempi, molti CISO continuano a ripetersi la stessa domanda che ricevono quotidianamente dai loro capi e colleghi: “Ma quanto siamo sicuri?”

Nonostante la semplicità della domanda, la risposta non è altrettanto semplice e non basta la condivisione di un foglio Excel con le vulnerabilità rilevate e affrontate durante l’ultima settimana. Quantificare e comunicare il livello di rischio informatico di un’Azienda in un modo che anche gli altri manager lo possano comprendere rimane una sfida per i CISO, e può rendere difficile ottenere gli investimenti in sicurezza informatica necessari per un’Azienda in crescita o che voglia rimanere a lungo sul mercato.

Secondo un recente studio condotto da Tenable-Forrester Consulting, nell’ultimo anno il 94% percento delle Aziende con presenza globale ha subito almeno un attacco informatico con impatto sul business. Lo studio, che ha intervistato 416 responsabili della sicurezza e 425 dirigenti aziendali di medie e grandi imprese, ha anche rivelato una differenza tra le aspettative dell’azienda e le realtà che devono affrontare i CISO.

Man mano che le Aziende sono passate al lavoro remoto durante la pandemia COVID-19, è diventato sempre più difficile identificare quali siano le minacce informatiche relative alla superficie di attacco e capire quali di queste rappresentino il rischio maggiore per l’Azienda. Inoltre, molti CISO devono giustificare i loro investimenti a fronte di una recessione economica in seguito ai prolungati lockdown. E questo soprattutto in un momento in cui la sicurezza informatica diventa finalmente argomento preso in considerazione a livello di consiglio di amministrazione.

Verso una Security allineata con il Business

Lo studio citato mirava a identificare le sfide chiave e aiutare i CISO verso un dialogo significativo con le loro controparti aziendali. Da qui sono emersi alcuni temi chiave:

• Le minacce alla sicurezza informatica emergono in un clima di incertezza. Il 41% dei manager intervistati ha riferito che le proprie Aziende hanno subito almeno un attacco informatico con impatto sull’azienda correlato a COVID-19 nei precedenti 12 mesi, a partire da aprile 2020.
• Non c’è relazione tra il modo in cui le aziende comprendono e gestiscono il rischio informatico. Meno del 50% dei CISO valuta le minacce alla sicurezza informatica come rischio aziendale.
• Solo la metà dei CISO (51%) afferma che il Team di security lavora con gli altri stakeholder aziendali per allineare i propri obiettivi di costi, metriche e riduzione del rischio con le esigenze aziendali. Solo 4 CISO su 10 (43%) confrontano regolarmente le metriche della sicurezza con il business.
• CDA e CEO continuano a chiedere un quadro chiaro della postura di sicurezza informatica dell’Azienda, ma i CISO faticano a fornirne uno. Solo 4 CISO su 10 possono rispondere con fiducia alla domanda: “Quanto siamo sicuri o a rischio?”
• La Cyber InfoSec deve diventare una strategia dell’Azienda. Questo può accadere solo se i CISO capiscono qual è la loro “vera” superficie di attacco: oggi solo la metà di loro ha una comprensione e una valutazione olistica dell’intera superficie di attacco dell’Azienda e meno della metà utilizza metriche contestuali delle minacce per misurare il rischio informatico della propria Azienda: ciò evidenzia il limite della loro capacità di analizzare i rischi informatici e di stabilire le priorità per la remediation in base alla criticità aziendale e al contesto della minaccia.

Conclusione

In definitiva, lo studio dimostra che quando i Manager dell’Azienda ed i loro CISO sono allineati su obiettivi, si sviluppano significativi vantaggi per l’azienda: ad esempio, si è rilevato che i CISO allineati sul business dispongono di metriche per monitorare il ROI della sicurezza informatica e l’impatto sulle performance aziendali, e sono molto più fiduciosi nella propria capacità di determinare il livello di sicurezza o di rischio dell’Azienda.

Fonte.