Negli ultimi mesi, Cisco si è impegnato in una serie di tavole rotonde con IT Decision Maker in cui sono emerse 9 criticità che saranno presenti nel 2022. Se queste tavole rotonde fossero state fatte nello stesso periodo in cui Log4J ha iniziato a diventare un problema crescente, la gestione delle vulnerabilità avrebbe potuto arrotondare l’elenco a dieci. Quindi, per ora, ecco i primi nove.
#1 - Migliorare la Comunicazione con il Board
È possibile ottimizzare la comunicazione tra i team dirigenziali, i comitati consultivi, i team di leadership esecutiva e i CISO.
Mentre alcuni hanno riferito di avere adeguate opportunità di interazione, la maggior parte dei CISO ha affermato che le conversazioni che hanno sono spesso non strutturate e non hanno una cadenza regolare.
Non sorprende che ci sia anche la sensazione che il ruolo del CISO sia apprezzato solo nel momento in cui si presenta una problematica e, al contrario, spinto in basso nell'elenco delle priorità quando non si verifica un incidente.
Secondo Cisco, sono tre le modalità con cui si potrebbe far fronte a questa criticità:
- un modello di governance strutturato con una rappresentanza di alto livello;
- un insieme concordato di KPI che riflettono i requisiti aziendali;
- opportunità regolari per dimostrare come la sicurezza sia un fattore abilitante per il business.
#2 - Assicurarsi che la Sicurezza sia Resiliente ai Cambiamenti di Business
La resilienza è un argomento sempre più importante, ed è quindi essenziale che la sicurezza si adatti al cambiamento e possa muoversi con il business.
Ciò può essere ottenuto pianificando in anticipo le attività di continuità aziendale/disaster recovery e condividendone la proprietà.
I CISO dovrebbero essere inclusi in tali attività, poiché il loro contributo è ancora essenziale in questo processo, ma c'è una chiara necessità di più azioni come un esercizio tangibile per includere la gestione aziendale nella discussione.
#3 - Il Rischio Dovrebbe Essere un Problema Condiviso
Stabilire la proprietà e il riconoscimento del rischio con i colleghi di lavoro può essere spesso difficile, ma per mitigare i rischi futuri, è necessario identificare i diversi proprietari del rischio nell'azienda e non semplicemente delegarlo al CISO.
#4 – Prepararsi per “The Great Resignation”
La ricerca di nuovo personale in questo settore è complessa e, anche con requisiti ampi, possono essere necessari mesi per identificare una nuova assunzione, il che spesso porta alla situazione indesiderabile di lavorare con team snelli.
Al momento si sta scrivendo molto sulle "grandi dimissioni", che probabilmente continueranno a sconvolgere tutti i settori mentre ci avviciniamo al nuovo anno. Quindi, è giusto dire, è probabile che questo problema peggiori invece di migliorare.
Alcuni CISO vedono il lavoro a distanza come una potenziale soluzione; i team distribuiti sono visti come una necessità in alcune circostanze, ma è anche necessario che i team si incontrino faccia a faccia su base regolare.
#5 – Non Tenere l’IT all’Oscuro
Un problema crescente che deve essere affrontato riguarda il fatto che il team di sicurezza molto spesso non è informato su tutte le nuove soluzioni che vengono implementate in nuove aree, anche quando all'interno dell'azienda vengono stabilite linee guida chiare che vietano tale comportamento.
Troppo spesso la velocità e la disponibilità tendono a prevalere sui fattori di sicurezza. Di conseguenza, devono affrontare costantemente il problema del cosiddetto "IT shadow", che sarà esacerbato man mano che sempre più aziende passeranno al cloud.
La risoluzione delle sfide dell'IT shadow inizia con l'usabilità, prevenendo soluzioni alternative rischiose rimuovendo gli ostacoli che le invitano.
#6 – Luce in Fondo al Tunnel per la Gestione dei Rischi di Terze Parti?
Questo si sta già rivelando un problema, soprattutto per quanto riguarda le valutazioni di terze parti che sono spesso molto lunghe, in un formato non standard e con tempi di risposta molto brevi.
La buona notizia è che si sta lavorando per produrre framework che garantiscano un'attestazione standardizzata per terze parti come nel settore dei servizi finanziari del Regno Unito con il Supervisory Statement della Banca d'Inghilterra - SS2/21: Outsourcing e gestione del rischio di terze parti, che entrerà in vigore il 31 marzo 2022.
I progressi in quest'area sono destinati ad essere molto apprezzati, data la quantità di CISO che necessitano di fare affidamento su processi testati, ma i CISO devono comunque garantire che il loro ambito di rischio sia sufficientemente ampio da includere qualsiasi fornitore o dipendente che possa loggarsi da remoto a qualsiasi applicazione aziendale.
#7 – Focus su Dati e Privacy
Questo è un problema in cui il valore dei dati non viene riconosciuto. La privacy sta diventando sempre più regolamentata con l'entrata in vigore di normative regionali e locali. La sentenza Schrems richiederà inoltre ai CISO di concentrarsi maggiormente sui dati e sul luogo in cui vengono archiviati.
Negli ultimi anni c'è stata un'enorme attenzione alla normativa GDPR dell'UE che ha sottolineato le aree in cui i CISO hanno concentrato le loro energie quando si è trattato di dati e privacy. In generale, questi includono la verifica dell'identità dell'utente, il controllo dello stato di salute di tutti i dispositivi dell'utente e la protezione dell'accesso a qualsiasi applicazione.
#8 – Gestione del Debito di Sicurezza
I CISO hanno chiarito che il tema del debito tecnico o del debito su titoli sta acquisendo importanza. La necessità di gestire i sistemi più vecchi adattandosi al nuovo ambiente e il rischio e il costo che ciò comporta è particolarmente importante da considerare nell'area della tecnologia operativa (OT).
Inoltre, alcuni sistemi OT non possono essere facilmente patchati o persino avere strumenti di sicurezza di base come anti-malware installati su di essi. Questo problema è particolarmente pertinente quando i sistemi utilizzano ancora software di fine vita (EOL – End Of Life) che rimane fondamentale per l'organizzazione.
Secondo Dave Lewis, Global Advisory CISO di Cisco:
“Per tenere traccia e far fronte al debito di sicurezza, le organizzazioni devono sviluppare e implementare processi definiti e ripetibili. Dovrebbero guardare a strategie come il modello zero-trust, fidarsi ma verificare, sanificazione di input e output e, naturalmente assicurarsi di eseguire patch invece di passarle alla persona successiva.
#9 – Ransomware, Ransomware, Ransomware
Questa è la principale problematica che riguarda i CISO di cui abbiamo già sentito parlare. Ciò è in linea con la preoccupazione che la velocità del compromesso sia più rapida di prima, con conseguente riduzione dei tempi di risposta.
Prevedibilmente, considerando i punti sollevati nel punto 9, questa forma di attacco è stata di maggiore preoccupazione per coloro con sistemi legacy.
Tuttavia, esistono una serie di strumenti e tecniche per rendere significativamente più difficile e costoso l'accesso per gli hacker, anche se si stanno muovendo più velocemente.
L’elenco indicato da Cisco fornisce degli ottimi spunti sulla direzione di marcia da prendere nel 2022.
Se vuoi scoprire di più su quali solo le soluzioni che Cisco ha pensato per la protezione della tua azienda invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250. Visita la pagina dedicata sul nostro sito per ricevere ulteriore materiale informativo o per richiedere una demo gratuita.
In alternativa, puoi compilare il form sottostante con la tua domanda.