Abbondano gli articoli che constatano quanto la permanenza dei CISO nelle aziende sia relativamente breve. Non viene quasi mai affrontato il problema del perché sia così e se sia possibile cambiare qualcosa
Partiamo da una amara constatazione: il turnover dei responsabili della cybersecurity è, purtroppo, abbastanza frequente. Numerose statistiche, ma anche l’evidenza che ciascuno di noi può avere dalla propria cerchia di conoscenze, ci confermano che l’impiego di un CISO va grosso modo da una crisi a quella successiva. Alcuni CISO purtroppo vengono allontanati, nonostante abbiano cercato di svolgere al meglio la propria funzione; altri lasciano volontariamente la loro posizione ritenendo di avere fallito la propria missione. Non mancano nemmeno i casi di chi se n’è andato dopo una crisi importante per la difficoltà di sostenere la pressione dei media – chiaramente “affamati” di clic e in cerca di uno scoop.
La riflessione che nasce in modo naturale è che forse questi CISO non sono correttamente sostenuti dall’azienda e attrezzati per gestire gli incidenti di cybersecurity, i quali continuano ad avvenire nonostante tutti i nostri sforzi e anzi – come testimoniato da tutte le statistiche – sono in costante aumento.
Forse, tutto nasce da un fraintendimento. Quando avviene un incidente di sicurezza, l’azienda sostiene dei danni ingenti: volendo evitare che questo succeda di nuovo, decide di assumere una persona che se ne occupi. Naturalmente, l’azienda darà mandato di evitare qualsiasi altro incidente nel futuro, e la persona neoassunta, sull’onda dell’emozione e del legittimo orgoglio per essere stata scelta, dirà “va bene”. In tanti accettiamo questa sfida impossibile, sentendoci forse un po’ il nuovo sceriffo che va finalmente a portare ordine nella città. La realtà, che ha la pessima abitudine di essere molto più prosaica, ci costringe invece immediatamente a misurarci con la quantità di cose da fare e la ristrettezza dei mezzi concessi. Cercheremo quindi di fare più cose possibile con i pochi mezzi a disposizione, sperando naturalmente di meritarci, con i buoni risultati, più spazio nel prossimo budget.
Peccato che questo non succeda mai. Nel migliore dei casi, tutto funziona. Le contromisure scelte prevengono o mitigano fortemente il problema, quindi non succede praticamente nulla, e nulla si ha da mostrare se non qualche grafico che verrà accolto dal board con ampi sbadigli e qualche pacca sulle spalle. Prima o poi, purtroppo, visto che non si può prevedere tutto, un incidente si verifica, e si precipita nel baratro. Come sappiamo tutti, invece, la risposta iniziale dovrebbe essere: «Mi dispiace, ma non posso promettere che un qualche incidente non capiti di nuovo. Però, possiamo prepararci in modo da limitare i danni quando succederà, e ripartire nel modo migliore non appena il problema sarà sotto controllo». In questo modo, potremmo chiedere subito più investimenti per irrobustire i processi, formare le persone, e magari anche inserire tecnologia dove serve (e solo dove serve); in breve, potremmo preparare l’organizzazione per quando qualcosa succederà davvero. In questo modo, al prossimo incidente saremmo già preparati, e sapremmo come reagire. Ci sarebbe un piano di resilienza (per esempio, backup offline pronti e disponibili e team allenato a farne il ripristino); sapremmo chi deve parlare con i giornali e cosa deve dire esattamente; potremmo contenere l’incidente e ripristinare l’operatività nei tempi promessi al board. Mi piacerebbe provare, almeno una volta, questa seconda strada, per vedere se funziona.
Mauro Cicognini comitato direttivo CLUSIT
