Nell’articolo che condividiamo oggi, Paolo Cecchi, Sales Director della Mediterranean Region di SentinelOne evidenzia quanto sia importante che i CISO, oggi figure chiave delle strategie aziendali, comprendano i capisaldi di una gestione del rischio fondata sui risultati e integrata a livello aziendale, che consenta alle imprese di agevolare l’operatività e il relativo sviluppo del business.
Buona lettura!
Il nuovo ruolo del CISO per una corretta gestione del rischio
Le tecnologie innovative hanno portato i CISO ad assumere un ruolo strategico per la crescita dell’azienda, diventando veri e propri key decision-maker e guidando la propria organizzazione attraverso le complessità dell’era moderna. I CISO stanno gradualmente passando dall’essere esperti tecnici in architetture, reti e operations delle security a visionari in materia di cybersecurity strategica e sviluppo aziendale. Nel corso di questa transizione, è sempre più importante che i CISO comprendano i capisaldi della gestione del rischio.
Sebbene molti elementi di gestione del rischio siano già in uso nelle organizzazioni come parte del processo di mitigazione del rischio o, a causa dei requisiti normativi e di conformità, alcuni elementi fondamentali di gestione del rischio devono essere ancora compresi a fondo dai CISO che assumono questi ruoli strategici. È importante infatti che i CISO adottino i fondamenti del rischio informatico mentre collaborano con gli altri executive per adottare misure di sicurezza olistiche per tutte le funzioni interne. In questo articolo vengono offerti approfondimenti su come i principi fondamentali della gestione del rischio possano aiutare i CISO attuali e futuri ad agire con successo.
La sfida di una gestione centralizzata del rischio in tutta l’organizzazione
Tradizionalmente, la gestione del rischio è percepita come una competenza non tecnica che esula dall’ambito tradizionale di un professionista della sicurezza. Sebbene la gestione del rischio non sia un concetto nuovo è spesso considerato un territorio sconosciuto per i professionisti dell’IT e della sicurezza. Per i leader della sicurezza, i temi legati alla gestione del rischio sono in genere scarsi o inesistenti nella propria formazione e molti sviluppano tali abilità sul luogo di lavoro, mentre si trovano ad affrontare il problema della frammentazione delle responsabilità e dei requisiti in materia di rischio, distribuiti sulle varie unità aziendali.
In base alla maturità informatica delle organizzazioni, i team di Cyber Governance, Risk & Compliance (GRC) assumono in genere la leadership nella gestione del rischio informatico. Tuttavia, spesso lo fanno in modo isolato rispetto alle ampie attività di gestione del rischio aziendale, il che può creare una disconnessione tra i team di sicurezza e la strategia aziendale complessiva. Ciò che manca è un approccio olistico che allinei le decisioni che vengono prese sul rischio all’intera organizzazione e, questo gap di conoscenze diventa più evidente quando i CISO si confrontano con i dirigenti e, il compito di tradurre il rischio informatico in termini aziendali, mette in secondo piano il resto della discussione.
Dalle PMI alle grandi imprese – Integrare il rischio informatico nella strategia aziendale
In genere, la gestione del rischio è una direttiva dettata dai team finanziari o legali per soddisfare i requisiti di conformità standard. Questo vale soprattutto per le piccole e medie imprese (PMI), dove non c’è un team dedicato e neppure hanno le risorse disponibili che aiutino a centralizzare la gestione del rischio in tutte le unità aziendali.
In queste situazioni, la sicurezza viene affrontata in modo isolato e i responsabili spesso non cercano di collegare la gestione del rischio con le misure di mitigazione. Questo scollamento può impedire ai team di sicurezza di assicurarsi il budget necessario e il supporto dell’alta direzione. A volte, la gestione del rischio informatico viene discussa solo dopo che si è verificato un incidente di sicurezza o quando emerge improvvisamente un nuovo rischio nel quadro delle minacce informatiche.
Queste sfide e queste lacune sono più evidenti oggi che in passato, poiché i CISO entrano sempre più spesso nelle conversazioni strategiche. I CISO possono facilitare la collaborazione tra i vari reparti e garantire che i controlli di sicurezza siano implementati in modo efficace e allineati agli obiettivi generali dell’organizzazione.
Risolvere le lacune nella gestione del rischio d’impresa
Data l’evoluzione del contesto di rischio e la rapida adozione della tecnologia in tutti i settori, l’aumento della dipendenza dai sistemi tecnologici fa sì che la valutazione dei rischi cyber rientri di diritto tra i compiti della strategia di rischio dell’organizzazione. L’integrazione del rischio informatico nel rischio aziendale è uno sforzo collaborativo in cui i leader dell’organizzazione stabiliscono una gestione centralizzata del rischio, che poi si ripercuote a valle e supporta le unità aziendali nell’implementazione di sotto-strategie di risposta al rischio specifiche per le loro responsabilità.
Le nuove normative impongono l’Enterprise Risk Management (ERM) per identificare e comprendere i tipi di rischio che un’azienda deve affrontare. Ciò include la determinazione della probabilità che tali rischi si verifichino e la stima del loro impatto potenziale. Per essere efficace, un programma ERM richiede il contributo di tutti i team e la presenza di un ciclo di vita di gestione del rischio. Il rischio informatico è parte integrante dell’ERM e ha acquisito importanza a causa della crescente digitalizzazione.
Se all’interno dell’organizzazione non c’è un approccio razionale alla funzione di gestione del rischio, i CISO possono collaborare con gli altri reparti (come quello finanziario e legale) per analizzare le necessità di un programma di gestione del rischio.
Conoscere la terminologia, i concetti di rischio e il ciclo di vita della gestione del rischio
- Propensione e tolleranza al rischio: questa è stabilita dalla direzione e fornisce indicazioni nella definizione di strategia e obiettivi. La tolleranza al rischio è la disponibilità dell’organizzazione o degli azionisti a sopportare il rischio rimanente dopo aver risposto o considerato il rischio per raggiungere i propri obiettivi. Questi termini sono alla base del processo decisionale del CISO e contribuiscono a definire le ragioni per cui vengono prese determinate decisioni di risposta al rischio e le modalità di allocazione delle risorse per l’attuazione di tali misure.
- L’importanza di un registro dei rischi: è uno strumento che funge da documento completo che raccoglie e organizza i rischi attuali, emergenti e potenziali dell’organizzazione. Funziona valutando tutti i rischi identificati, inclusa la loro descrizione, l’impatto potenziale, la probabilità che si verifichino e le strategie di mitigazione esistenti per combatterli.
- Il ciclo di vita della gestione del rischio: fornisce un approccio strutturato e continuo all’identificazione, alla valutazione, alla gestione e al monitoraggio dei rischi all’interno di un’organizzazione. Il processo assicura che tutti i rischi, compresi quelli informatici, siano capiti e gestiti in modo proattivo in funzione degli obiettivi aziendali generali.
Strategie di risposta al rischio per i CISO
Le principali strategie di risposta al rischio sono:
- Accettazione del rischio – Riconoscere l’esistenza di un rischio di livello basso e decidere di mantenerlo senza intraprendere alcuna azione specifica per mitigarlo, in quanto il costo della mitigazione supera il beneficio e, l’organizzazione può affrontare le conseguenze quando il rischio si dovesse concretizzare.
- Mitigazione del rischio – Quali strategie e azioni adottare per ridurre la probabilità o l’impatto di un rischio che prevede l’implementazione di controlli di sicurezza, lo sviluppo di piani di emergenza o l’adozione di misure per ridurre la gravità del rischio.
- Trasferimento del rischio – Trasferendo il rischio a un individuo o a una entità l’organizzazione riduce la propria esposizione al potenziale impatto negativo del rischio, anche se può ancora mantenere un certo livello di rischio residuo. Ad esempio, l’acquisto di un’assicurazione sulla sicurezza informatica per coprire i costi di una violazione dei dati è una forma di trasferimento del rischio.
- Evitare il rischio – Eliminare l’esposizione a un rischio specifico non intraprendendo le attività che lo generano. Ciò può significare scegliere di non perseguire un particolare progetto, adottare tecnologie diverse o modificare i processi aziendali per evitare del tutto la possibilità che il rischio si verifichi. Sebbene sia efficace, evitare un rischio può anche portare a limitare le opportunità e la crescita se applicato in modo eccessivo.
Conclusioni
Affinché la gestione del rischio informatico sia efficace all’interno di un’organizzazione, è essenziale il supporto della dirigenza, che stabilisce uno standard e definisce la cultura generale e la consapevolezza del rischio dell’organizzazione. Entrambi, cultura e consapevolezza del rischio, giocano un ruolo chiave nel supportare le organizzazioni nell’approccio alla cybersecurity. Un approccio dall’alto verso il basso stabilisce il tono e aiuta a delineare la sicurezza come parte integrante del business e i dipendenti sono ben consapevoli dei rischi di cybersecurity, costruendo così difese efficaci contro le minacce.
Poiché i CISO continuano a passare da ruoli tecnici a ruoli strategici, la comprensione e l’applicazione dei fondamenti della gestione del rischio saranno la chiave del loro successo. Una volta che questi fondamentali saranno ben radicati nell’ecosistema organizzativo, è più facile per i CISO adattarsi alle nuove tendenze e migliorare i processi di gestione del rischio attraverso l’automazione. In definitiva, l’obiettivo è quello di passare da un approccio segmentato, basato sui controlli, a una strategia di gestione del rischio più difensiva, fondata sui risultati e integrata a livello aziendale, che consenta alle organizzazioni di gestire meglio i rischi e agevolare l’operatività.
di Paolo Cecchi, Sales Director Mediterranean Region di SentinelOne
