Nasce la figura del Biso (Business Information Security Officer), un ruolo che guarda alla protezione degli asset aziendali da nuovi rischi e minacce ma senza perdere di vista il business dell’azienda. Una sorta di anello di congiunzione tra le business unit.
E’ questo il parere di Myrna Soto, Chief Strategy and Trust Officer Forcepoint, che spiega: “Nel mio precedente ruolo di CISO di Comcast, ho avuto modo di riscontrare queste problematiche in prima persona e ho creato il ruolo di Business Information Security Officer (BISO), per sviluppare una strategia di sicurezza che fosse più connessa e integrata nel business. Sebbene avessi la responsabilità ultima per la sicurezza dell’azienda, i BISO hanno contribuito a sviluppare una linea di unione tra le diverse unità aziendali. I professionisti che hanno ricoperto questo nuovo ruolo hanno sviluppato relazioni con i leader delle business unit al fine di comprendere meglio gli obiettivi di ognuno e sviluppare la migliore strategia per arrivare al successo. Il ruolo svolto dai BISO, anello di congiunzione tra le business unit, ci ha aiutato a capire che, poiché gli obiettivi, le mission e i flussi di lavoro di ogni unità erano differenti, richiedevano anche diverse soluzioni tecnologiche e di sicurezza per proteggerle”.
Quali competenze deve avere il BISO?
Per introdurre questo ruolo all’interno di un’azienda è imprescindibile conoscere quali siano le competenze chiave per un perfetto candidato.
I BISO, che sono l’anello di congiunzione tra le business unit, non solo dovrebbero essere esperti in tutto ciò che concerne le più recenti minacce e le ultime tecnologie per la sicurezza informatica, ma anche ottimi comunicatori. Dovranno essere in grado di distillare imperativi di sicurezza complessi e tradurli in termini aziendali, comprendere i rischi e l’impatto che ogni decisione può avere sulla sicurezza.
Sarebbe, inoltre, molto utile una perfetta comprensione dell’analisi dei dati o del Machine Learning. Infatti, quando si tratta di ottenere una reale visibilità dei rischi all’interno di un’azienda, tale processo non può essere fatto da sole persone: l’analisi dei dati offre sia una visione storica, sia in tempo reale degli eventi. Ciò fornisce una visione unificata delle minacce e delle violazioni della sicurezza e consente una pianificazione più intelligente, una risoluzione più rapida e un migliore processo decisionale, tutti fattori a vantaggio di un BISO.
“Validi candidati sono anche coloro che hanno avuto un ruolo operativo durante la loro carriera in cui hanno gestito un team. Ad esempio, ho assunto in precedenza BISO provenienti da esperienze di analisti finanziari che erano poi passati a ruoli tecnologici o fintech e avevano imparato i controlli di sicurezza”, continua Soto.
Non ci si può, però, aspettare che i nuovi assunti siano al passo con i principi e la terminologia aziendale, quindi, per velocizzare il loro apprendimento è consigliabile inserirli in diverse unità aziendali per “turni di lavoro”, in modo che possano comprendere come funzionano i diversi reparti. Ciò può avvantaggiare non solo l’azienda, ma anche la crescita dell’individuo, aiutandolo a capire concretamente quali siano le reali esigenze e le prospettive aziendali, formandolo a tutto tondo.
Anche il rovescio della medaglia può essere prezioso: i lavoratori tecnicamente esperti sul lato business possono essere temporaneamente inseriti nell’organizzazione della sicurezza per espandere la loro prospettiva e conoscenza. Questa sorta di “impollinazione incrociata” a tutti i livelli può solo aumentare la comprensione e aiutare la sicurezza a comprendere meglio la posta in gioco.
Cosa è cambiato rispetto a prima?
Coloro che lavorano nel settore della sicurezza informatica, solitamente si focalizzano sulla ricerca di strumenti e soluzioni per garantire che i dati, e le persone che vi accedono, siano al sicuro da violazioni o attacchi. Questo approccio, però, poteva ritenersi soddisfacente fino a quando i dipendenti si trovavano all’interno degli uffici ed effettuavano l’accesso ai dati tramite la rete aziendale.
Oggi, digital transformation, supply chain aperte e dispositivi mobili hanno cambiato questo paradigma, modificando totalmente l’approccio verso la cybersecurity. Inoltre, il passaggio di massa allo smartworking, causato dall’emergenza da Covid-19, ha contribuito ad aumentare drasticamente i rischi legati alla sicurezza, dovuti agli ambienti di lavoro remoti, come reti non protette e l’utilizzo di dispositivi personali non sicuri per accedere ai sistemi aziendali.
Allo stesso tempo, le aziende devono fare i conti anche con criminali informatici sempre più agguerriti: solo nella prima metà dell’anno, infatti, gli attacchi di phishing sono aumentati del 667%. Se a questo dato si aggiungono i costi finanziari (le ultime ricerche mostrano che il costo medio di una violazione è di 3,92 milioni di dollari), lo scenario odierno si fa sempre più preoccupante.
I cambiamenti che il settore ha dovuto affrontare a causa della pandemia saranno irrevocabili, e vanno ben oltre la “semplice” adozione dello smartworking di massa. I CISO non operano più all’interno degli stretti controlli di sicurezza dei sistemi tradizionali e devono far fronte a nuovi rischi. È ormai necessario, infatti, migliorare le competenze del personale addetto alla sicurezza informatica e formare le persone all’interno del reparto IT, in modo che comprendano come proteggere al meglio gli asset aziendali.
In una recente ricerca, Forcepoint ha rivelato che secondo il 63% dei leader della sicurezza informatica la mancanza di un vocabolario comune tra CEO e CISO può rendere difficile l’identificazione delle priorità aziendali e il 53% afferma che questa criticità rende le decisioni tecniche più impegnative.