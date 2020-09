Quali sono i segnali che indicano un livello di cultura insufficiente?

Per un team di sicurezza potrebbe essere difficile cogliere questi segnali, poiché di solito valuta solo la bontà del proprio operato. Ma se, ad esempio, l'impostazione è quella di risolvere i problemi via via che si presentano, di certo esiste un problema di cultura. Concentrarsi su problemi tecnici interni, mentre l'azienda ha la necessità di proteggersi da rischi esterni per espandere il proprio business online, può creare una discrepanza difficile da individuare e, senza il giusto approccio culturale, difficile da risolvere in meno di 6-12 mesi.

Prendiamo ad esempio DevSecOps: i team di DevOps considerano i processi e i controlli di sicurezza controproducenti se non esiste collaborazione tra i reparti. Infatti ritengono dannoso l'approccio di "sbattere il codice appena sviluppato contro un muro"; eppure questo è un approccio che i team di sicurezza adottano frequentemente. Ciò è frutto di una mentalità che si basa solo sul prodotto, quando in realtà il problema è la mancanza di supporto e di follow-up per assicurarsi che gli strumenti vengano correttamente utilizzati.



Un altro segnale arriva da quei team di sicurezza che si limitano a considerare i problemi come puramente tecnologici. Di certo non è la stessa mentalità adottata dalla maggior parte dei team aziendali, che invece pongono maggiore attenzione al bilancio o alle previsioni di business. Per non incorrere in problemi è fondamentale un coinvolgimento dei team di sicurezza in tutte le tematiche d'interesse per l'azienda, in modo che siano tutti sulla stessa lunghezza d'onda.

Che cosa può fare la differenza?

Per i Chief Information Security Officer (CISO) è essenziale comprendere la psicologia, l'impatto culturale che le loro decisioni possono produrre, e la loro componente emotiva. La maggior parte delle sfide che si affrontano per promuovere iniziative hanno alla base l'incapacità di cogliere i fattori umani in gioco.



C'è bisogno di assumere le persone giuste e di capire chi ha capacità di crescita. Includendo la diversità, varietà di pensiero, approccio e opinioni. Questo dà un valore aggiunto al dibattito e, in ultima analisi, migliora l'approccio dei team di sicurezza.

Il team giusto opera da complemento per l'azienda e il suo riconoscimento può fare una grande differenza sia nel coinvolgimento che nel modo di lavorare.

Tanto per citare un esempio, anni fa abbiamo lavorato per un'azienda molto seria, in cui l'input era di basarsi su fatti e cifre. Il progetto di sicurezza che abbiamo presentato, invece, si basava sull'umorismo ed era presentato da un attore comico. Questo ha portato a un coinvolgimento molto pi√Ļ elevato in tutta l'azienda creando una forte fidelizzazione con i dipendenti. Ne parlano ancora?

Consigli su come approcciare il problema ed esempi pratici



Il suggerimento è quello di cercare di capire la differenza tra culture e come queste comunicano, e di capire il senso profondo di ciò che viene detto. Un buon esempio pratico riguarda uno dei nostri team negli Stati Uniti che lavorava con un team in Australia. Il team australiano spesso rispondeva in modo ambiguo, e non era chiaro per il team USA se la risposta fosse positiva o negativa.

Chris Voss di Black Swan Group è un ex mediatore dell'FBI, e spiega che ci sono tre modi per dire di sì - il sì di conferma, che vale solo come presa visione, il falso sì, che significa che non si darà seguito alla risposta e il sì dell'impegno, che implica un reale coinvolgimento. Nel suo libro spiega che siamo condizionati dall'ottenere una risposta positiva. Ma stiamo ottenendo il tipo di "sì" utile? In realtà, piuttosto di un "sì" inutile, sarebbe meglio ottenere un "No", perché ciò consentirebbe di affrontare il problema e di lavorare per risolverlo.



Tempo fa abbiamo lavorato in outsourcing e in diversi continenti. Abbiamo raccolto tutti i punti di vista dei vari team, spiegandone chiaramente il significato. Tutti erano allineati grazie alle direttive e indicazioni comuni che avevamo fornito.

In sostanza i CISO possono avere un maggiore impatto sulla cultura della sicurezza attraverso la comprensione delle relazioni con i propri clienti. √ą importante anche l'approccio interno all'azienda: anche se potremmo ritenere di non avere un vero cliente, la realt√† √® che tutti noi abbiamo clienti interni da servire e supportare.

Questo approccio prevede l'instaurazione di un reciproco rapporto di fiducia che coinvolga l'intera azienda, che risulta essenziale nel tempo. Senza la giusta cultura, è difficile raggiungere questo obiettivo.

Ben Carr, Chief Information Security Officer, Qualys