Sette Segnali di una Forte Cultura della Sicurezza

Digitree - Disruptive technologies for secure smart workers / Sicurezza informatica  / Sette Segnali di una Forte Cultura della Sicurezza
cultura-sicurezza3

Sette Segnali di una Forte Cultura della Sicurezza

Traduzione dell’articolo di Ericka Chickowski, pubblicato su Securityboulevard.com, 02/10/2018

L’importanza di una forte cultura aziendale sulla sicurezza informatica per l’efficacia globale dell’operato del dipartimento di sicurezza IT non può essere sottovalutata. È costantemente menzionata dai dirigenti come un ingrediente fondamentale per il successo della gestione dei rischi informatici.

Per quei dirigenti e security manager che si domandano che cosa ci voglia esattamente per creare questo tipo di cultura, l’(ISC)2 ha recentemente pubblicato uno studio che fa al caso loro. Lo studio The Building a Resilient Cyber Security Culture  considera alcune pratiche e caratteristiche comuni in 250 organizzazioni con una solida storia di cybersecurity.

Secondo questo studio, vengono confermati molti dei saggi consigli che i security evangelist ripetuto per anni, in particolare quando si tratta di assumere e mantenere un team di sicurezza.

“Le compagnie che stanno ancora combattendo con strategie di sicurezza non focalizzate, con l’incertezza nel loro essere pronte ad affrontare un incidente di sicurezza o che sono incapaci di trattenere i membri del loro staff di sicurezza dovrebbero prendere in considerazione il fatto di imitare il modello di queste organizzazioni” suggerisce il rapporto.

Ecco alcuni dei punti chiave emersi dai risultati dell’indagine.

cultura-sicurezza1

 Supporto da parte del Board e dei dirigenti di vertice

Fondamentale per una resistente cultura della sicurezza è il supporto dall’alto. La maggior parte degli esperti concordano sul fatto che è fondamentale per consentire la diffusione della sicurezza in tutta un’impresa, per due ragioni importanti.

In primo luogo, il supporto da parte dei dirigenti di alto livello è di solito necessario per dare il benestare ai grossi investimenti richiesti da una sicurezza forte. Secondariamente, aiuta il team di sicurezza a mantenere quel tipo di autorità necessario affinché tutti all’interno dell’impresa abbandonino la mentalità del “questo è il modo in cui abbiamo sempre fatto” quando si tratta di apportare modifiche significative ai processi.

Lo studio di (ISC)2 ha confermato la saggezza di lunga data secondo la quale il ‘la’ alla sicurezza informatica viene dato dall’alto. Tra le organizzazioni con la più solida storia di sicurezza, il 97% afferma che il top management comprende l’importanza di una forte cybersecurity ad il 96% dichiara che le loro policy di gestione dei rischi sono in linea con le strategie di cybersecurity del consiglio di amministrazione. 

Robuste Policy di Gestione dei Rischi

A proposito di policy, sono anch’esse un tema ricorrente tra le organizzazioni che hanno le più buone prestazioni in tema di sicurezza. Secondo gli esperti di Deloitte, è fondamentale stabilire delle policy in modo da determinare livelli base di prestazione.

“Che tu stia creando oppure migliorando una policy di sicurezza, è importante per i risk manager di un’azienda determinare un obiettivo di ‘maturità informatica’” scrivono Stephane Hurtaud e Roland Bastin, partner della divisione Information & Technology Risk di Deloitte, in un recente articolo sul rischio informatico.

Secondo l’indagine dell’(ISC)2, il 58% delle organizzazioni ‘cyber-resilient’ hanno policy per la gestione dei rischi molto forti. Ciò è importante perché senza buone policy non è possibile determinare processi ripetibili che risultino efficaci anche rispetto alle sfide poste da attacchi ed incidenti di sicurezza nel mondo reale.

“Inviare messaggi significativi sulla sicurezza informatica nel contesto di un’organizzazione può aiutare ad accrescere il flusso informativo quando ci sono incidenti o problematiche di sicurezza,” sostengono Hurtaud e Bastin. “Ma una chiara definizione degli eventi scatenanti e dei livelli di soglia, così come i concreti processi per veicolare l’informazione al management può fare la differenza tra funzionale ed efficace.”

Una Chiara Definizione dei Compiti di Sicurezza

Secondo alcuni studi precedenti dell’(ISC)2, una delle principali lamentele di chi cerca lavoro nel campo della sicurezza informatica, è la mancanza di chiarezza nella descrizione delle mansioni nelle posizioni aperte. In un precedente rapporto di quest’anno, oltre metà degli intervistati afferma che la scarsa chiarezza degli annunci dimostra che le organizzazioni non comprendono veramente come funziona la sicurezza.

“Non tutti i candidati possono avrete tutte le capacità necessarie, quindi un approccio onnicomprensivo alla descrizione di una mansione” scrivono gli esperti dell’ (ISC)2. “è una cosa che spegne ogni desiderio dei professionisti esperti che cercano lavoro.”

Secondo lo studio pubblicato di recente, il 52% di quelle organizzazioni che hanno una forte cultura della sicurezza stilano chiare descrizioni dell’impiego quando vogliono assumere. E tra queste organizzazioni cyber-resilient, le prime tre caratteristiche che cercano quando assumono o ampliano il team di sicurezza sono:

  • Abilità e conoscenza delle loro tecnologie (72%)
  • Conoscenza delle buone pratiche di sicurezza (65%)
  • Comprensione dei loro processi, flussi di dati e controlli (63%)

“La principale lezione per i datori di lavoro è riconoscere che devono essere realistici relativamente a quello che un singolo candidato è in grado di offrire ed essere abbastanza intelligenti da creare un’affiatata squadra di cybersecurity integrando insiemi di competenze diverse” sostengono gli esperti dell’(ISC)2.

Focus su Formazione e Certificazione

È un po’ come il dilemma dell’uovo e della gallina la relazione tra cultura della sicurezza e sviluppo professionale dello staff di sicurezza. È avere uno staff di persone formate e certificate che può promuovere la cultura della sicurezza o, viceversa è una forte cultura della sicurezza che attira queste persone? Probabilmente, entrambe le cose.

A prescindere, la correlazione è indubbiamente presente. Secondo l’indagine, tra le organizzazioni cyber-resilient;,

  • 70% forma internamente,
  • 70% assume professionisti di sicurezza certificati,
  • 57% offre formazione e certificazioni ai dipendenti, e
  • 55% forma sia su competenze che responsabilità di sicurezza.

Ciò contrasta enormemente con quanto accade in un’organizzazione tipica. Secondo un’indagine di Cybrary, soltanto circa il 15% dei datori di lavoro attualmente rimborsa le spese di formazione dei loro impiegati nella sicurezza.

 Ruolo del CISO Ben Definito

Che lo si creda o no, quasi metà delle imprese ancor oggi non hanno un C-level responsabile per la cybersecurity. Gli esperti di PWC hanno condotto uno studio quest’anno che ha dimostrato che appena il 52% delle organizzazioni globali ha un Chief Information Security Officer (CISO). Nel contempo, lo studio dell’(ISC)2 suggerisce fortemente l’importanza del ruolo del CISO nel fondare la cyber-resilience. Circa l’86% delle organizzazioni con una solida cultura della sicurezza ha un CISO.

Con chi il CISO si rapporta varia considerevolmente. In circa il 43% dei casi direttamente con il CEO, mentre circa il 35% si rapporta con il CIO. Circa il 14% ha un rapporto diretto con il consiglio di amministrazione, ed infine circa il 7% si relaziona con altre figure come COO e CFO.

cultura-sicurezza4

 Formazione sulla Security Awareness degli Utenti

Gli esperti di sicurezza hanno ripetutamente dimostrato che l’utente business medio è l’anello più debole della cybersecurity.

“Non importa quanto solida sia la tua infrastruttura, ricorda che tutti i tuoi sforzi possono venire vanificati, deliberatamente o accidentalmente, dai tuoi dipendenti” ha recentemente scritto il Dr. Rao Papolu di Cavirin Systems per Forbes.

Consideriamo alcune statistiche chiave:

  • 91% dei data breach partono da email di phishing,
  • 55% degli executive dichiara che un impiegato negligente è la miccia più probabile per scatenare un attacco informatico
  • 70% dei dipendenti statunitensi non hanno alcuna consapevolezza su privacy e sicurezza

Non c’è da stupirsi se tra le organizzazioni cyber-resilient, una delle principali caratteristiche di cui vanno alla ricerca in un candidato del team di sicurezza è la sua “capacità di educare gli utenti sulle buone pratiche di sicurezza” (53%).

Team di Sicurezza Durevoli

La carenza di personale qualificator nella cybersecurity sta mettendo in seria difficoltà la ‘longevità’ dei team di sicurezza. È sicuramente difficile assumere dipendenti capaci – una stima afferma che solo un’organizzazione su dieci riesce a coprire una posizione vacante entro un mese e soltanto metà delle organizzazioni riescono a farlo entro sei mesi. Ma cosa ancor più difficile è tenere stretti questi impiegati una volta ‘catturati’. Circa metà dei professionisti di sicurezza sostengono che i recruiter chiamano almeno una volta alla settimana, il che pone una grande pressione a rivolgersi verso più verdi pascoli.

La cosa degna di nota comune alle organizzazioni con una forte cultura della sicurezza è la loro notevole capacità di conservare il proprio security staff. Circa il 79% di queste aziende afferma che i loro dipendenti nella security mantengono il loro impiego in media per tre anni ed il 37% sostiene che la durata dell’incarico è superiore ai cinque anni.

“Considerando che i professionisti di sicurezza vengono contattati dai recruiter su una base regolare, questo è un risultato significativo” afferma il rapporto.

Il fatto incontrovertibile è che gli intervistati spendono meno tempo a sudare per trattenere gli impiegati di quello che hanno ad affrontare minacce reali.

“È un’indicazione che avere persone competenti ed esperte permette loro di focalizzarsi su quello che è importante: proteggere l’organizzazione” spiega il rapporto.

Se vuoi leggere l’articolo in lingua originale, qui sotto trovi il link:

Seven Signs of a Strong Security Culture

No Comments
Post a Comment