Esternalizzare la funzione del CISO, la risposta alla sfida tecnologica

Fino a pochi anni fa, solo l’idea di esternalizzare la figura e la funzione del Chief Information Security Officer (CISO) sarebbe sembrata strana e poco praticabile ma adesso, con i rapidi e continui progressi tecnologici, questa opzione diventa non solo fattibile, ma addirittura auspicabile per molte imprese ed organizzazioni per rispondere alle sfide del risk e della cybersecurity.

Simone Segnalini, Partner RSM Digital, Risk and Transformation Leader spiega perché e come inserire in azienda una figura di CISO virtuale può portare vantaggi tecnici, pratici, legali ed economici.

Chi è oggi il CISO (Chief Information Security Officer)?

Il Chief Information Security Officer (CISO) è il responsabile della sicurezza delle informazioni all'interno di un'organizzazione e il membro chiave della leadership aziendale che si occupa di proteggere l'organizzazione dalle minacce alla sicurezza delle informazioni, sia interne che esterne.

Le responsabilità del CISO possono includere la gestione della sicurezza delle informazioni a livello strategico, la definizione di politiche e procedure di sicurezza, la valutazione dei rischi, la gestione dei programmi di sicurezza delle informazioni, la gestione degli incidenti di sicurezza, la formazione e la sensibilizzazione dei dipendenti sull'importanza della sicurezza delle informazioni e la conformità alle normative sulla sicurezza delle informazioni.

Il CISO lavora in stretta collaborazione con altri membri della leadership aziendale, come il CIO (Chief Information Officer) e il CFO (Chief Financial Officer), per assicurare che la sicurezza delle informazioni sia integrata in tutte le attività dell'organizzazione e che ci sia un equilibrio tra la sicurezza delle informazioni e le esigenze aziendali.

Qualche anno fa, l'idea di esternalizzare la funzione di CISO poteva sembrare assurda. Tuttavia, i rapidi e radicali progressi della tecnologia hanno reso questa opzione non solo fattibile, ma addirittura auspicabile per molte organizzazioni. Una serie di vantaggi tecnici, pratici, legali e di costo possono derivare da un CISO virtuale, o “as-a-service”. Tra questi, la possibilità di gestire meglio un centro operativo per la sicurezza (SOC) e di creare un quadro di sicurezza più completo che ruota intorno alla fiducia zero.

Perché un'organizzazione dovrebbe esternalizzare la funzione del CISO?

La decisione di esternalizzare l'ufficio del CISO dipende da diversi fattori, come le dimensioni dell'azienda, il budget, la complessità dell'ambiente IT e le competenze esistenti all'interno dell'organizzazione. In generale, l'esternalizzazione dell'ufficio del CISO può offrire vantaggi come l'accesso a competenze specializzate, riduzione dei costi operativi e flessibilità nell'adattarsi alle mutevoli esigenze dell'organizzazione. 

Inoltre, considerando che la permanenza media di un CISO in azienda è di circa tre/quattro anni e che la ricerca di figure con competenze e capacità manageriali è un processo spesso complicato e tortuoso, ci si trova nella situazione difficile di deficit di conoscenze e competenze interne sia tecniche che di leadership. 

Naturalmente, ci sono anche potenziali svantaggi nell’esternalizzare la figura del CISO ed i processi di gestione della sicurezza delle informazioni, come la perdita di controllo sull'approccio da seguire, la perdita di conoscenza interna e la possibile esposizione a rischi di sicurezza delle informazioni, a causa della condivisione di informazioni sensibili con un fornitore esterno.

Prima di prendere una decisione, comunque, l'azienda dovrebbe considerare attentamente i vantaggi e gli svantaggi dell'esternalizzazione dell'ufficio del CISO e, quindi, valutare se tale scelta è quella giusta per la specifica situazione. Resta inteso che si dovrebbe cercare un fornitore esterno affidabile e competente, valutare le misure di sicurezza che adotta e stipulare un accordo di servizio che tenga conto di eventuali rischi e problemi potenziali.

Quali sfide devono affrontare oggi i CISO per svolgere il proprio lavoro?

Il panorama dei rischi per la sicurezza delle informazioni sta cambiando a ritmi vertiginosi ed anche le strategie e le tecnologie utilizzate per combattere tali rischi si stanno evolvendo. Queste includono aree come il cloud, le tecnologie emergenti, la gestione dell’identity management (IAM), la sicurezza delle applicazioni e DevSecOps. Il CISO, a tal proposito, deve rimanere aggiornato sulle ultime tendenze e tecnologie per poter proteggere l'organizzazione in maniera efficace ed efficiente.

Alcune delle principali sfide che i CISO devono affrontare riguardano anche gli eventuali limiti di budget e la mancanza di risorse interne specializzate in sicurezza delle informazioni. Entrambe tali aspetti, se non tempestivamente indirizzati, possono rendere difficile il soddisfacimento delle esigenze di sicurezza delle informazioni dell'organizzazione da parte del CISO.

Come si manifestano questi rischi?

Gli attacchi, le violazioni e i guasti possono causare perdite di fatturato, danni alla reputazione e azioni normative, comprese multe salate. Nel peggiore dei casi, i riscatti o la perdita di proprietà intellettuale possono distruggere un'azienda. Ad esempio, un'azienda canadese, che successivamente abbiamo seguito tramite una la nostra entità RSM locale, si è vista rubare le formule dei suoi prodotti, che sono stati poi riprodotti in Cina a costi inferiori. L'azienda ha finito per perdere quote di mercato, ricavi, ma soprattutto la fiducia degli stakeholders.

Come imprese ed organizzazioni dovrebbero affrontare i rischi normativi e di sicurezza?

Le organizzazioni dovrebbero affrontare tali rischi in modo proattivo e sistematico. Esistono diverse best practice che possono guidare. 

Comunque, è sempre fondamentale cominciare con una valutazione approfondita dei rischi a cui si è esposti e alle modalità con cui tali rischi sono gestiti dell’organizzazione, per capire se e dove esistono problematiche e vulnerabilità. Questo audit interno: 

  - Deve comprendere una verifica della tecnologia, dei processi e delle persone.

  - Deve concentrarsi su metriche e KRI (Key Risk Indicators) che riducano effettivamente il rischio e la potenziale esposizione ad un attacco. 

L'obiettivo alla fine non è quello di cercare di affrontare tutte le minacce alla sicurezza allo stesso modo, ma quello di concentrarsi, in via prioritaria, sulle difese che contano davvero e che permettono di indirizzare i rischi ad impatto e probabilità più elevata.

Come opera una funzione CISO in outsourcing?

Quando l'ufficio del CISO è esternalizzato, l'organizzazione affida la responsabilità della sicurezza delle informazioni e della conformità alle normative a un provider di servizi di sicurezza. In questo caso, la funzione CISO è fornita come servizio da un'organizzazione esterna. Ad esempio, esternalizzando la funzione CISO nel modello RSM-as-a-service, un'organizzazione ottiene un accesso immediato e on-demand alle conoscenze e all'esperienza. Si tratta di un rapporto che offre uno spettro di servizi, come risk assessment, pianificazione della sicurezza, IAM, SOC, formazione, audit e monitoraggio, il tutto in un quadro di servizi integrato.

In molti casi, questo approccio non solo migliora il quadro generale di protezione, ma consente anche di risparmiare sui costi.

Questo approccio migliora la valutazione del rischio?

Con il giusto fornitore di servizi a supporto di tale attività, non è più necessario preoccuparsi di fornitori, prodotti, servizi e integrazione. Non c'è più motivo di occuparsi di patch, aggiornamenti e upgrade costanti. Un fornitore di servizi di prim'ordine è in grado di eliminare gli strati di complessità e di garantire che ogni aspetto della sicurezza delle informazioni sia affrontato in maniera efficace ed efficiente. 

Ciò si traduce anche in alcuni vantaggi quali:

  - Accesso a competenze specialistiche: Il provider di servizi di sicurezza assume un team di professionisti della sicurezza altamente qualificati e specializzati, che possono apportare una conoscenza tecnica e operativa avanzata alla valutazione dei rischi e alle attività di sicurezza. Questo può migliorare la qualità della valutazione del rischio e delle attività di sicurezza in generale.

  - Esperienza in ambito di conformità normativa: Il provider di servizi di sicurezza può avere un'esperienza specifica nella conformità alle normative e nella valutazione del rischio per la conformità alle normative, aiutando l'organizzazione a garantire il rispetto delle leggi e delle normative applicabili.

  - Tecnologie e strumenti avanzati: Il provider di servizi di sicurezza può fornire strumenti e tecnologie avanzate per la valutazione dei rischi e per le attività di sicurezza in generale, migliorando l'efficacia delle attività di sicurezza.

  - Maggiore flessibilità: L'outsourcing dell'ufficio del CISO può offrire maggiore flessibilità all'organizzazione, consentendo di adattare la forza lavoro e le risorse in base alle esigenze dell'organizzazione.

  - Concentrazione sulle attività principali: L'outsourcing dell'ufficio del CISO permette all'organizzazione di concentrarsi sulle sue attività principali e sulle competenze centrali, senza dover dedicare risorse e tempo alla gestione della sicurezza delle informazioni e della conformità alle normative.

Come le aziende dovrebbero affrontare l'esternalizzazione della funzione CISO?

Facendo domande. L'esternalizzazione dell'ufficio del CISO è una decisione importante che richiede una pianificazione accurata e una valutazione attenta dei rischi e dei vantaggi. 

Si deve soprattutto capire come funziona la soluzione as-a-service e comprendere cosa si ottiene con essa. 

Un approccio CISO in outsourcing deve offrire più della tecnologia. Si tratta di adottare una struttura completa che comprenda persone, processi e tecnologia. Un fornitore di soluzioni deve avere molta esperienza nel settore, stabilire metriche, KRI e ROI chiari e disporre di certificati di azienda e di professionalità che attestino le competenze e la compliance agli standard internazionali (es. ISO 27001).