CISO: tra corsa contro il tempo e obiettivi di business

L'ultimo anno ha fatto crescere la tensione tra CIO (Chief Information Officer) e CISO (Chief Information Security Officer). Perché? Le nuove esigenze aziendali hanno dato vita al "paradosso del cyber-tempo".
Se la tecnologia viene vista da molti come l'unico mezzo per far proseguire le attività, aprire nuovi mercati e raggiungere una maggiore efficienza, per il CISO questo si traduce in un numero superiore di elementi da proteggere.

Il passaggio al lavoro flessibile porta con sé un volume considerevole di dispositivi connessi al di fuori del perimetro aziendale che sfruttano nuovi strumenti di collaborazione.
Questo richiede funzionalità di sicurezza che generano nuove tipologie di telemetria da comprendere e correlare per il team di sicurezza al fine di ottenere risultati concreti.
Allo stesso modo, il panorama delle minacce continua a estendersi sia in volume sia in complessità.
Questi fattori contribuiscono ad appesantire notevolmente il carico di lavoro di ogni Security Operations Centre (SOC).
La mole di attività dei team di sicurezza aumenta, mentre le aziende diventano sempre più dipendenti da processi che si sono fatti ormai digitali.
Tempi lunghi e momenti di inattività sono sempre meno tollerati, e questo crea un paradosso: meno tempo per agire, ma più lavoro per qualsiasi team SOC.

Per risolvere la situazione, è necessario quindi automatizzare meglio il SOC per aumentarne la scalabilità.
La sfida principale per molte organizzazioni resta quella di bilanciare il tempo dedicato allo spostamento di processi e capacità con la gestione del workload attuale, un po' come fare giocoleria correndo.
Non è certo un problema nuovo: semplicemente non c'è abbastanza personale di sicurezza per far fronte alle crescenti richieste di business e questo può portare i team a cercare risposte rapide per stare al passo con le attività e con la rapida migrazione al cloud.

La soluzione più rapida può anche essere la più semplice, ma non sempre è la migliore, in questo caso la sicurezza nativa fornita dal cloud.
All'apparenza semplice e immediata, questa opzione crea effettivamente il vendor lock-in, che la maggior parte dei CIO vuole evitare.
C'è anche un effetto domino sul lavoro del CISO, in quanto la sicurezza nativa è incoerente per natura: ogni soluzione cloud o SaaS ha la propria interpretazione, creando ulteriori sfide a lungo termine per il team dedicato.
Un semplice esempio è la gestione delle credenziali.
Per anni molte aziende hanno lavorato a soluzioni single sign-on per semplificare l'esperienza dell'utente.
Con la rapida adozione di soluzioni SaaS, improvvisamente è aumentata la richiesta di account multipli.
Più account aggiungono complessità, e con questa arrivano gli errori, che a loro volta si traducono in ulteriore lavoro per i team di sicurezza.

La chiave è un'ampia visibilità sul proprio ecosistema IT.
Se questa visibilità non c'è.
Diventa impossibile agire correlando i diversi sistemi IT e gli strumenti di sicurezza.
In questo caso, la soluzione più rapida diventa un ostacolo alla capacità di allinearsi alle esigenze aziendali.
Oggi, la maggior parte dei CISO si sforza di ottenere il "meglio delle soluzioni integrate", cercando di semplificare quello che è diventato un ambiente complesso.
Questo significa essere in grado di integrare i dati dagli strumenti di sicurezza utilizzati, oltre ad adottare processi realizzabili.
Tutto questo è necessario se si vogliono automatizzare alcune parti delle attività quotidiane di sicurezza.
Se non si può adeguare la capacità umana al ritmo richiesto, bisogna trovare modi più intelligenti per tenere il passo con le richieste di business.

Trovare un equilibrio

I CISO dovrebbero sempre avere una strategia a lungo termine, in grado di sostenere i piani aziendali in caso di accelerazione, come è avvenuto con la crescita del lavoro da remoto e l'incremento dello shadow IT.

Se con l'approccio legacy alla sicurezza si guardava solo dall'interno verso l'esterno, ora si devono fare entrambe le cose.
I CISO dovrebbero seguire tre imperativi per affrontare il problema del paradosso del cyber-tempo e lo spostamento a sinistra sempre più distribuito del mondo cloud:
1 - Semplificare la cybersecurity - Molti CISO pronunciano il mantra "per ogni nuova soluzione, rimuovine due legacy", ma in termini di costi e scala, la vera chiave è il consolidamento.
2 - I team ricevono più alert di quanti ne possano elaborare - Essere in grado di correlare, consolidare e, ancora più importante, convertire gli alert in risultati utilizzabili è fondamentale.
3 - L'automazione è una risorsa - Sono molte le procedure che seguono ogni incidente e che possono essere automatizzate.
L'automazione però non è solo un pulsante STOP/GO, ma molto di più in termini di aumento delle competenze umane.

I team devono prima identificare le azioni altamente ripetitive in ogni processo che possono essere automatizzate per ridurne la timeline.
In questo momento, molte organizzazioni sono in fase di trasformazione digitale, con cambiamenti tecnologici e infrastrutturali più rapidi del normale.
Per garantire che le esigenze di sicurezza siano adeguatamente soddisfatte, sono necessari aggiornamenti più frequenti sull'eventuale impatto sui rischi, spesso amplificati dall'interoperabilità di questi cambiamenti.
Mentre i CISO vogliono costruire una fiducia digitale, i CIO sono preoccupati per la continuità la velocità e l'agilità del business. Con la migrazione al cloud tra le loro priorità, è interesse eludere il paradosso del cyber-tempo, ma non sempre si rendono conto delle difficoltà affrontate dal team di sicurezza a gestire i dati e tenere il ritmo.
Pertanto, il mezzo più efficace per eliminare le tensioni tra i responsabili aziendali è comprendere il linguaggio dei loro interlocutori per avere una conversazione di valore, tenendo sempre presente che ogni azienda, in ogni suo livello, ha le proprie priorità e procedure.

Raphael Marichez, CSO SEUR di Palo Alto Networks