La cybersecurity ha bisogno della collaborazione tra CIO e CISO
I ruoli del CIO (o IT Manager nelle realtà più piccole) e del CISO in Italia sono spesso espletati con modalità differenti e sovente insufficienti. Solo nelle grandi strutture le due funzioni sono formalizzate e hanno il dovuto peso, cosa che permette di supportare e proteggere il Sistema Informativo al fine di consentire la continuità operativa dell’impresa (business continuity).
Siamo ormai tutti nella società dell’informazione, che è un asset di rilevanza crescente in ogni settore, e tutti i sistemi informativi sono su Internet: tale apertura espone i sistemi , sempre più complessi e sofisticati, a numerosi rischi, aumentati nell’ultimo periodo con la pandemia Covid e con l’invasione dell’Ucraina, che ha elevato anche per le imprese italiane il rischio a livello geopolitico nell’ambito della sempre più attiva guerra informatica.
Gli attacchi digitali intenzionali ai sistemi informativi in Italia crescono significativamente sia in termini di diffusione, sia di sofisticazione, con le conseguenti difficoltà di individuazione e contrasto. Secondo diverse fonti specializzate, l’Italia risulta essere tra i primi paesi più bersagliati nel mondo con un incremento significativo delle piccole e medie imprese coinvolte, ossia quelle che non hanno un budget dedicato alla sicurezza informatica e che non si sono dotate di competenze specifiche in materia per gestire questo genere di rischi.
L’Italia è tra i primi paesi più bersagliati nel mondo, con un incremento significativo nelle piccole e medie imprese coinvolte
In Italia, si vedano i dati ISTAT, il 95% delle imprese private ha meno di dieci dipendenti; e anche nella Pubblica Amministrazioni, le amministrazioni locali (PAL) sono per la maggior parte organizzazioni piccole. Come approfondito anche nelle indagini annuali di AIPSI sugli attacchi digitali e le misure di sicurezza digitale in essere e in particolare nell’ultimo rapporto pubblicato le piccole e le micro imprese, pubbliche e private, non sono l’obiettivo principale di attacchi “targeted” (attacchi specifici e mirati) al fine di realizzare frodi, ma vengono spesso colpite da attacchi “massivi” su settori merceologici specifici o randomici, dovuti a hacktivismo, alla guerra informatica e talvolta al tentativo, nella massa, di trovare sistemi sprotetti da parte di hacker alle prime armi che sperano di poter realizzare qualche piccola truffa informatica, per esempio sfruttando il ransomware.
Per far fronte a questo contesto di altissima vulnerabilità, le funzioni del CIO e del CISO devono, o dovrebbero, operare in stretta ed efficace collaborazione soprattutto nelle realtà di grandi dimensioni e notorietà, oltre a quelle, pubbliche e private, che hanno specifiche conformità normative e di compliance da rispettare e che tipicamente rappresentano operatori di servizi essenziali come energia, trasporti, settore bancario e infrastrutture dei mercati finanziari, come istituzioni bancarie e governative, sanità e fornitura e distribuzione di acqua potabile.
Separazione delle funzioni IT/security: i framework di riferimento
È in queste realtà che i loro ruoli sono definiti e ufficializzati negli organigrammi in modo tale da garantire una chiara separazione delle responsabilità, la così detta “separation of duties” (SoD), per quanto rigurda la sicurezza digitale. Un tipico esempio di “non SoD” è il CISO che gerarchicamente e funzionalmente dipende dal CIO invece di essere in staff con la Direzione Generale.
Il tema delle responsabilità dipende anche dalla chiara definizione di quali attività e compiti sono in carico all’uno o all’altro dei due ruoli. Da tempo questi temi sono noti e discussi, e per maggior chiarezza ENISA, l’Agenzia europea per la cybersicurezza, ha recentemente pubblicato ECSF, European Cybersecurity Skills Framework, con due rapporti, il primo che specifica dodici ruoli per la sicurezza digitale, il secondo che fornisce indicazioni (User Manual) su come attuarli e gestirli nelle proprie organizzazioni (fig. 2). Per le specifiche competenze per ciascuno dei 12 ruoli previsti, ECSF fa riferimento allo standard e-CF, European Competence Framework (EN 16234-1:2019); così come ne fa riferimento il documento “Linee Guida per la qualità delle competenze digitali nelle professionalità ICT” di AgID per le Pubbliche Amministrazioni.
ECSF e d e-CF sono framework molto utili per ben definire compiti, competenze, ruolo e responsabilità per CIO e CISO e più in generale per gli altri ruoli nell’ambito dell’ICT. Ruoli con competenze in continua evoluzione data la parallela evoluzione delle tecnologie informatiche e dei processi aziendali, e che dovrebbero essere qualificati anche attraverso autorevoli certificazioni individuali: sul mercato ne esistono molte con validità internazionale, a partire da quelle relative ad e-CF.
Entrambi i ruoli di CIO e di CISO richiedono competenze interdisciplinari e manageriali, oltre che tecniche: competenze rare e costose, e per questo motivo il più delle volte vengono acquisite persone prevalentemente tecniche. Ma un amministratore di sistemi ICT e cosa ben diversa da un CIO, così come gli amministratori del firewall e degli antivirus sono diversi da un CISO. La scarsità di personale con competenze specialistiche nell’ICT in Italia è un problema ben più ampio e grave, confermato dall’indagine europea DESI sulla digitalizzazione dell’economia e della società dei vari paesi dell’Unione Europea che pone l’Italia ultima in tutta l’Europa proprio per le competenze specialistiche ICT.
Fig. 2 ENISA ECSF, European Cybersecurity Skills Framework
Al di là delle grandi organizzazioni, nella maggior parte delle medie e piccole, ed ancor più per le piccolissime, sia private che pubbliche, i ruoli di CIO e CISO o non ci sono o sono espletate a livello solamente tecnico, quando non sono direttamente delegate a consulenti o società informatiche. Il CIO opera di fatto quale IT Manager, ossia di gestore operativo del sistema informativo, che il più delle volte deve occuparsi pure della gestione degli strumenti di cybersicurezza. La questione più preoccupante è che l’IT Manager, e talvolta anche i CIO ed ancor più i CISO, non sono coinvolti nelle decisioni strategiche sull’informatica da parte del vertice aziendale, che considera l’ICT solo come un costoso problema tecnico e/o come una “commodity”.
Quanti sono i CIO in Italia che riportano direttamente al Direttore Generale e/o che fanno parte del “board of directors”? E quanti sono i CISO che riportano funzionalmente, se non gerarchicamente, all’area legale? Il problema di fondo è la quasi generale mancanza di consapevolezza, da parte del vertice dell’azienda/ente, dell’importanza del sistema informativo e della sua sicurezza per il funzionamento dell’azienda/ente: è un problema culturale, che associazioni come AIPSI e CIOClub Italia cercano (e cercheranno sempre più) di colmare con le loro attività ed iniziative.
CIO e CISO in ousourcing: temporary management e MSSP
La mancanza di competenze interne è compensata con il ricorso a consulenti esterni o a società specializzate: ma non avendo, soprattutto al vertice, un minimo di competenza in merito a questi argomenti, talvolta si scelgono come esperti dei millantatori, inesperti, se non veri e propri truffatori. E l’idonea sicurezza digitale rimane un’area scoperta che in caso di incidenti (tra cui i temibili data breach e soprattutto il ransomware) rappresentano per qualunque realtà un danno non solo diretto – legato alla perdita dei dati e, frequentemente, al loro recupero previo pagamento di un riscatto – ma possono portare anche e soprattutto a ingenti danni di immagine e disservizi che possono arrivare al blocco totale dell’operatività per settimane, se non per mesi.
In Italia, almeno per organizzazioni medio grandi private, si ricorre talvolta al “temporary management” per il ruolo di CIO e, pur più raramente, anche per il CISO: l’esperienza di un temporary manager in diverse aziende/enti può portare il valore aggiunto necessario in termini di sensibilità sull’argomento, autorevolezza e linguaggio appropriato nell’esposizione al management e risolutezza nel portare a termine un eventuale progetto di miglioramento (tempi, risorse, budget, azioni). Il mercato degli Interim in Italia ancora non è decollato come nei paesi anglosassoni e del nord Europa, spesso a causa della diffidenza delle medie imprese per i lavoratori non dipendenti (e quindi difficili da gestire in via gerarchica).
Analogamente a quanto avviene nel resto del mondo, per far fronte a questi problemi “di personale” per la cybersicurezza, stanno crescendo i MSSP, Managed Security Service Provider, per la terziarizzazione della gestione operativa della sicurezza digitale, tipicamente erogata da uno o più consulenti, o da una o più aziende specializzate, e i CSaaS, CyberSecurity as a Service, erogati in cloud e che possono essere direttamente gestiti ed utilizzati dall’azienda/ente o dalle terze parti che forniscono i MSSP.
Questi servizi rappresentano una efficace soluzione soprattutto dove mancano, o non possono esserci, specifiche competenze interne, come nelle piccole e micro organizzazioni: consentono, e consentiranno sempre più nel prossimo futuro, di realizzare l’idoneo livello di cybersicurezza, e non solo per le piccole realtà.
Se il CIO fa anche il CISO
Al di là dei problemi di SoD evidenziati in precedenza, il CIO può anche svolgere le funzioni del CISO, come sovente avviene in realtà medio grandi, grazie alle competenze eterogenee che possiede (o che dovrebbe possedere): tecniche, organizzative, manageriali esecutive e di coordinamento. Governa infatti sia le parti applicative, infrastrutturali e di gestione dei dati, e di conseguenza è in grado di implementare programmi per la sicurezza degli asset informativi e di seguire best practice per limitare il più possibile i rischi legati al cybercrime. Non sempre questa soluzione può essere ottimale in quanto non tutti i CIO (tipicamente di estrazione applicativa) possiedono la giusta sensibilità sull’argomento e quindi sviluppano le competenze specifiche necessarie.
CIO e CISO non sono due ruoli in contrapposizione o incompatibili tra di loro. Piuttosto, collaborando effettivamente ed indipendentemente dal loro posizionamento nell’organigramma dell’azienda/ente, rappresentano un binomio che può fare la vera differenza per rendere sicuro, affidabile e resiliente il sistema informativo.
Entrambi hanno, o dovrebbero avere, capacità manageriali e conoscere la realtà del processi e del business/attività delle organizzazioni, oltre che del sistema informativo. Il CIO ha visione e responsabilità più ampie, a 360 gradi, della realtà in cui opera, dalla infrastruttura ICT agli ambiti applicativi, dagli utenti ai fornitori ICT e la relativa supply chain; il CISO ha una responsabilità ed una specializzazione verticale sul suo ambito molto più di quanto possa averla il CIO.
Diventa indispensabile, infatti, saper riconoscere le nuove minacce, intercettare i sempre più avanzati vettori di attacco, ma anche individuare le evoluzioni normative, orientate all’adozione di misure intese a rafforzare la sicurezza.
Tra i principali compiti del CISO troviamo: definire e far rispettare la normativa di sicurezza dell’azienda, prevenire e individuare eventuali debolezze, reagire con prontezza a qualsiasi incidente di cybersicurezza, formare l’organizzazione in materia di sicurezza informatica.
Questa figura dovrebbe essere istituzionalizzata in azienda alla stessa stregua del Responsabile del servizio di prevenzione e protezione (RSPP), con relativi compiti e budget specifici assegnati, o acquisita dall’esterno, ma con persone ed aziende effettivamente competenti in materia: e le certificazioni, individuali ed aziendali, di queste “terze parti” possono essere un primo indicatore qualificante delle competenze ed esperienze necessarie.
Autori:
