Un nuovo ruolo per la sicurezza: il Business Information Security Officer (BISO)

Ecco perché dovreste prendere in considerazione l'assunzione di Business Information Security Officer (BISO) per sviluppare strategie di sicurezza più connesse e integrate nel business.

Business Information Security Officer

Tradizionalmente, coloro che lavorano nel settore della sicurezza informatica si sono focalizzati sulla ricerca di strumenti e soluzioni per garantire che i dati e le persone che vi accedano siano protetti da violazioni o attacchi. Quando ancora un’intera azienda era ospitata in modo sicuro in uffici corporate e sulla rete aziendale, questo approccio funzionava bene.

Tuttavia, la trasformazione digitale, le supply chain aperte e i dispositivi mobili hanno cambiato questo paradigma da tempo e stavamo tutti iniziando a cambiare il nostro approccio. Il 2020 aveva però altro in serbo e le modifiche resesi necessarie a causa della pandemia di coronavirus hanno accelerato esponenzialmente queste tendenze, portando nuove complicazioni nella valutazione e nel bilanciamento del rischio.

Il passaggio di massa al lavoro remoto ha notevolmente aumentato i rischi per la sicurezza non gestiti dell’ambiente di lavoro remoto, dalle reti non protette all’utilizzo di dispositivi personali non protetti per accedere ai sistemi aziendali. Allo stesso tempo, i criminali informatici continuano a fare il loro sporco lavoro, tanto che abbiamo assistito a un aumento di oltre il 667% degli attacchi di phishing nella prima metà di quest’anno. Se a questo si aggiungono i costi finanziari (le ultime ricerche mostrano che il costo medio di una violazione è di 3,92 milioni di dollari), ecco che lo scenario odierno si fa sempre più preoccupante.

adv
Cloud Communication Business

Nell’era digitale il centralino va in Cloud

La telefonia di nuova generazione è in software-as-a-service: non richiede di installare centralini hardware, gestisce fisso e mobile, e consente di attivare nuove linee o filiali con un clic, abilitando Smart Working e Unified Communication. SCOPRI DI PIÙ >>

I cambiamenti che il settore IT ha dovuto apportare a causa della pandemia saranno irrevocabili e andranno molto più in profondità del lavoro domestico di massa. I CISO non operano più sotto gli stretti controlli di un sistema di sicurezza tradizionale e hanno nuovi rischi per la sicurezza non gestiti da affrontare. Ora dobbiamo migliorare le competenze del personale della sicurezza informatica e trovare e formare le persone all’interno di un reparto IT, in modo che possano consigliare il modo migliore per proteggere gli asset aziendali.

Una recente ricerca di Forcepoint ha rilevato che secondo il 63% dei leader della sicurezza informatica la mancanza di un vocabolario comune tra CEO e CISO può rendere difficile l’identificazione delle principali priorità organizzative e il 53% afferma che rende le decisioni tecniche più impegnative.

“Nel mio precedente ruolo di CISO di Comcast, ho riscontrato in prima persona questi problemi e ho creato il ruolo di Business Information Security Officer (BISO) per sviluppare una strategia di sicurezza più connessa e integrata nel business. Sebbene avessi la responsabilità ultima per la sicurezza dell’azienda, i BISO hanno contribuito a sviluppare una linea di unione tra le diverse unità aziendali” ha dichiarato Myrna Soto, Chief Strategy and Trust Officer di Forcepoint.

ciso

I professionisti della sicurezza in questo ruolo hanno sviluppato relazioni con i leader delle business unit al fine di comprendere meglio i loro obiettivi. “Il ruolo svolto dai BISO ci ha aiutato a renderci conto che poiché gli obiettivi, le missioni e i flussi di lavoro di ciascuna unità aziendale erano diversi, richiedevano soluzioni di sicurezza e tecniche diverse per proteggerli”, continua Soto.

Se state pensando di implementare i BISO nella vostra azienda, dovrete conoscere le competenze chiave che rendono un candidato adatto al ruolo. I BISO non solo dovrebbero essere esperti nelle ultime minacce e tecnologie per la sicurezza informatica, ma anche ottimi comunicatori. Dovranno essere in grado di distillare imperativi di sicurezza complessi e parlarne in termini di business, con la capacità di comprendere i rischi e l’impatto delle decisioni sulla sicurezza.

Una comprensione dell’analisi dei dati o del machine learning sarebbe utile. Quando infatti si tratta di ottenere una reale visibilità dei rischi all’interno di un’organizzazione, tale processo non può essere fatto da sole persone: l’analisi dei dati offre sia una visione storica, sia in tempo reale degli eventi. Ciò fornisce una visione unificata delle minacce e delle violazioni della sicurezza e consente una pianificazione più intelligente, una risoluzione più rapida e un processo decisionale migliore, qualcosa di cui trarrebbe vantaggio un BISO.

“Validi candidati sono anche coloro che hanno avuto una sorta di ruolo operativo durante la loro carriera in cui hanno gestito un team. Ad esempio, ho assunto in precedenza BISO provenienti da esperienze di analisti finanziari che erano poi passati a ruoli tecnologici o fintech e avevano imparato i controlli di sicurezza”.

Non ci si può comunque aspettare che i nuovi assunti siano completamente al passo con i principi e la terminologia aziendale, quindi si potrebbe considerare di velocizzare il loro apprendimento incorporandoli in diverse unità aziendali per “turni di lavoro” per capire come funzionano i diversi reparti. Ciò può avvantaggiare non solo l’azienda ma anche la crescita dell’individuo, aiutandolo ad aprire gli occhi di fronte alle esigenze e alle prospettive aziendali e a renderlo un dipendente e un dirigente più a tutto tondo.

Anche il rovescio della medaglia può essere prezioso: i lavoratori tecnicamente esperti sul lato business possono essere temporaneamente inseriti nell’organizzazione della sicurezza per espandere la loro prospettiva e conoscenza. Questa sorta di “impollinazione incrociata” a tutti i livelli può solo aumentare la comprensione e aiutare la sicurezza a comprendere meglio la posta in gioco.

“I leader della sicurezza di maggior successo comprendono gli obiettivi aziendali e la funzione della sicurezza nel consentire e proteggere la creazione di valore. Troppi professionisti della sicurezza informatica si concentrano sull’indurimento di sistemi, richieste o perimetri senza chiedersi il motivo. Capire cosa si sta cercando di proteggere consente di effettuare la corretta analisi basata sul rischio e di scegliere le soluzioni di sicurezza corrette per affrontare i problemi di sicurezza più urgenti di oggi”, conclude Soto.