La rapida adozione di ambienti IT multicloud e il passaggio a una forza lavoro ibrida richiedono una nuova dinamica nella C-suite: un'alleanza più stretta tra CIO e CISO.
Unendo le forze, CIO e CISO possono trovare un sano equilibrio tra spingere il ritmo dell'innovazione tecnologica e mitigare i rischi. Il passaggio al cloud, in particolare agli ambienti multicloud più complessi, può avvenire in modo più rapido ed efficiente.
I team DevSecOps possono ridurre i rischi dell'onboarding di nuove applicazioni software. Con una maggiore collaborazione, CISO e CIO possono valutare congiuntamente le sfide operative e i rischi per la sicurezza quando si utilizzano nuove tecnologie.
Tuttavia, il raggiungimento di tutto ciò richiede che i due dirigenti si assumano un'agenda di obiettivi condivisi. Ad esempio, i CIO devono aspirare a incorporare la sicurezza in tutti i nuovi investimenti tecnologici, mentre i CISO non possono lasciare che l'avversione al rischio rallenti il ritmo della trasformazione digitale.
Per molte organizzazioni è una sfida complicata, ma che può essere realizzata solo con la comprensione comune che innovazione e sicurezza sono inestricabilmente intrecciate.
"Devi affrontare molti ostacoli",
afferma Tressa Springmann, CIO di LifeBridge Health, un'organizzazione sanitaria senza scopo di lucro.
Aggiunge Rick Miller, CISO di LifeBridge:
"Di solito, ci si incontra nel mezzo per ottenere il giusto equilibrio tra sicurezza e operazioni".
Fare Compromessi Intelligenti
Al LifeBridge, che impiega più di 12.000 persone e gestisce sei ospedali a Baltimora, nel Maryland, gli investimenti in nuove tecnologie IT- cartelle cliniche elettroniche, strumenti di telemedicina virtuale e soluzioni diagnostiche genomiche - possono comportare anche ulteriori rischi per la sicurezza.
La sicurezza informatica nel settore sanitario è già una questione critica, poiché gli attacchi informatici hanno paralizzato le reti ospedaliere e influito sull'assistenza ai pazienti. Secondo i rapporti federali USA, più di 40 milioni di cartelle cliniche di pazienti sono state esposte a violazioni dei dati lo scorso anno.
In che modo i principali leader tecnologici stanno affrontando le crescenti minacce?
Nonostante i rischi,
"I budget nel settore sanitario non sono necessariamente progettati per investire in strumenti costosi necessari per proteggere i dati",
afferma Miller.
Questo può costringere a compromessi difficili. Quando Miller ha proposto di segmentare la rete IT dell'ospedale per ridurre la possibilità di una violazione, è apparso chiaro che il cambiamento sarebbe stato costoso e avrebbe richiesto un maggiore supporto IT.
Springmann ha sfidato Miller a fornire più dati sul progetto per giustificare la spesa.
"Quando CISO e CIO lavorano insieme per garantire che l'economia funzioni per un'organizzazione, invece di entrare in conflitto, puoi realizzare un valore significativo",
afferma Miller.
In un altro caso, Springmann e Miller hanno collaborato alla valutazione dei sistemi IT di una recente acquisizione. La responsabilità principale di Springmann era quella di esaminare l'hardware e il software dell'azienda acquisita, mentre il ruolo di Miller era quello di condurre una valutazione del rischio per la sicurezza.
Ma invece di inadempiere a un processo contraddittorio comune in altre organizzazioni, dice Miller, i due hanno lavorato insieme per garantire che l'acquisto andasse avanti e che i rischi fossero mitigati.
"Ciò ha consentito una visione basata sui principi dell'acquisizione",
afferma Springmann.
Aggiunge Miller:
"La funzione di sicurezza è integrata in tutto ciò che facciamo qui in LifeBridge Health".
Alla Scoperta dei Payoff Congiunti di DevSecOps
L'implementazione di DevSecOps, una pratica organizzativa che condivide la responsabilità della sicurezza tra i team di sviluppo, sicurezza e operazioni IT durante la creazione di nuove applicazioni software, è un luogo logico per CIO e CISO per rafforzare le relazioni di lavoro.
Per entrambi, garantire che il software sia resistente agli attacchi informatici è importante tanto quanto farlo funzionare rapidamente.
DevSecOps come pratica sta crescendo, secondo i dati del sondaggio di 451 Research, parte di S&P Global Market Intelligence, che ha rilevato che il 48% dei team di sviluppo ha utilizzato strumenti di sicurezza delle applicazioni nel 2020, rispetto a solo il 29% nel 2015.
"Immagina i potenziali vantaggi se team e processi fossero più collaborativi",
afferma Gagan Singh, Product Marketing VP di Elastic.
“I dati di osservabilità potrebbero aggiungere più contesto ai team di sicurezza mentre lavorano per rilevare e rispondere rapidamente alle minacce. Allo stesso tempo, gli sviluppatori che hanno conoscenze anche in ambito sicurezza potrebbero ridurre l'attrito nello sviluppo proteggendo fin dall'inizio".
Passare al Cloud
La migrazione al cloud è un'altra area in cui le organizzazioni traggono vantaggio da una più stretta collaborazione CIO-CISO. Il cloud offre un valore aziendale sostanziale nel modo in cui le organizzazioni utilizzano e condividono le informazioni e cambia in modo significativo la natura dei rischi informatici.
Ciò può essere particolarmente vero quando si tratta di ambienti multicloud, che possono ridurre alcuni livelli di minaccia aggiungendo al contempo l'onere del monitoraggio di tutto ciò che accade nel cloud e tenendo traccia di più controlli e autorizzazioni.
Anche se le organizzazioni traggono vantaggio da una maggiore collaborazione tra CIO e CISO, i due ruoli continuano ad avere priorità e responsabilità separate. Ciò aumenta ulteriormente l'importanza di una comunicazione regolare tra le due posizioni. Springmann e Miller, ad esempio, si incontrano regolarmente ogni due settimane e si contattano quasi ogni giorno tramite SMS o telefono.
"Gran parte della nostra collaborazione riguarda la comunicazione e le relazioni personali, e se non ti occupi di queste due cose, le cose possono andare storte",
afferma Mark Settle, ex CIO e autore di Truth from the Valley.
"Le persone che sono brave a comunicare e anticipare i problemi e i bisogni degli altri possono evitare la maggior parte degli attriti che possono verificarsi tra due gruppi".
Una maggiore collaborazione tra C-suite tra il Chief Information Officer e il Chief Information Security Officer è essenziale per le aziende che desiderano accelerare l'innovazione tecnologica riducendo i rischi per la sicurezza.
Tale confusione di ruoli può essere difficile, ma con obiettivi condivisi, impegno per la comunicazione e supporto organizzativo, CIO e CISO possono aiutare a garantire che le loro aziende realizzino in sicurezza la loro trasformazione digitale.
L’obiettivo di Elastic continua a essere quello di offrire un ottimo prodotto con soluzioni efficaci. In ogni fase, gli CIO e CISO in che modo i miglioramenti che stanno apportando a Elastic andranno a beneficio dei clienti che utilizzano Elastic Cloud.
Florence Consulting collabora con Elastic per lo stesso obiettivo: la soddisfazione dei propri clienti. Se vuoi scoprire di più su Elastic invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250.
Visita il nostro sito per ricevere ulteriori informazioni oppure compila il form sottostante con la tua domanda.
