I CISO delle imprese non vogliono di certo essere considerati come metaforiche Cassandre o come quelli che remano contro l'innovazione. Ma sanno bene, spesso per esperienza, che molti componenti, approcci e tecnologie della digitalizzazione in cui i loro colleghi manager - CIO compreso - vedono grandi potenzialità positive, si portano dietro questioni di cybersecurity più o meno complesse che non possono essere ignorate.

"Se guardiamo a come si sono mosse le imprese negli ultimi anni - commenta Haider Pasha, CSO Emea & LatAm di Palo Alto Networks - vediamo che le loro priorità di business in fondo non sono cambiate. Quello che certamente è cambiato è il ruolo, sempre più prominente, dei CIO nel contribuire a raggiungerle. Le inziative digitali dei CIO sono, così, sempre più allineate ai risultati di business che si vogliono ottenere".

Il motivo di questa evoluzione è ben noto: il management delle imprese vede nelle tecnologie del digitale strumenti utili per fare passi avanti decisivi in diversi ambiti del business d'impresa. Tanto per fare qualche esempio: i processi si possono ottimizzare usando la Business Intelligence, le esperienze dei clienti si possono migliorare con gli analytics e nuove tecnologie interattive, i dipendenti possono diventare più produttivi ma anche fedeli offrendo workspace migliori e opportunità di hybrid working.

La tecnologia offre queste, e molte altre, possibilità. Ma ogni componente tecnologico che il CIO e l'azienda in generale possono scegliere di implementare ha implicazioni importanti per i CISO. Che anche e soprattutto per questo si sono dovuti "evolvere" rapidamente. In origine erano soprattutto network security manager, poi man mano si sono focalizzati anche su data security, application security, IAM, SecOps, cloud security, endpoint security e molto altro ancora.

"Quello di cui il board e gli stessi CIO spesso non si rendono conto - spiega Pasha - è che se il CIO ha davanti una serie ben definita e limitata di sfide tecnologiche, il CISO vede in ciascuna di esse una moltitudine di problemi che richiedono altrettanti strumenti per essere affrontati. Anche da qui nasce la frammentazione dei tool di cybersecurity: ne contiamo una decina per ciascuna iniziativa digitale 'vista' dal CIO. Questo è forse il principale problema che oggi i CISO devono affrontare".

È vero che oggi anche i manager non tecnici hanno una maggiore consapevolezza riguardo la cybersecurity: vogliono comprendere i rischi che l'azienda corre e la capacità che ha di gestirli in modi e tempi appropriati. Ma in generale resta vero che avere una buona prospettiva sulla digitalizzazione non vuol dire averla anche sulla cybersecurity. È una questione, in fondo, di punti di vista: i vari CXO hanno priorità differenti riguardo al digitale e quindi approcci diversi alla cybersecurity.

"Oggi il CEO - spiega Pasha - è quello che definisco un 'digital advocate': spinge la digitalizzazione e della cybersecurity è interessato a come impatta sul successo aziendale. Il CEO è un 'enterprise value creator': le iniziative tecnologiche devono portare valore, lato sicurezza la questione principale è se l'azienda è resiliente dal punto di vista operativo. Il CFO è il 'dividend partner': si chiede se l'impresa stia facendo i giusti investimenti economici in cybersecurity. Che, ricordiamolo, non ha un ROI palese: se le soluzioni di sicurezza funzionano, non accade e non si vede nulla".

In tutto questo il CISO diventa, nelle definizioni di Pasha, il "cyber risk facilitator": cerca di minimizzare il rischio digitale e di fare in modo che i team di sicurezza possano rispondere sempre più velocemente agli (immancabili) incidenti. In più deve saper tradurre i rischi cyber nei loro impatti sul business, perché molte decisioni in campo sicurezza possono essere prese, o prese meglio, solo se sono in qualche modo economicamente quantificabili.

Un viaggio non breve

Sembra tutto chiaro e fluido, e infatti le analisi di Palo Alto Networks indicano che la larga maggioranza (78%) delle aziende della regione EMEA/LatAm riconosce l'importanza della "cyber resilience". Intesa come la capacità di gestire i rischi di business, misurare l'efficienza operativa e la sicurezza dei processi, rispondere alle minacce sempre presenti.

Ma passare dalla consapevolezza della cyber resilience alla sua concretizzazione non è banale. I problemi segnalati dai CISO sono diversi: il 70% non ha in casa risorse e skill adeguate, il 50% ha troppi prodotti di sicurezza che non si integrano, il 43% non può valutare bene la sua "security posture" perché non ha metriche adeguate. E anche quel 38% delle aziende che si vede a un elevato livello di cyber resilience, poi solo nel 28% dei casi testa regolarmente i suoi processi di sicurezza.

L'impressione è che spesso manchi una chiara strategia per arrivare alla resilienza. Più tecnicamente, manca la strada verso una sorta di circolo virtuoso che parte dalla visibilità sui dati operativi, vi unisce le informazioni di threat intelligence e definisce una roadmap per l'evoluzione dell'esistente verso uno stato in cui la capacità di resilienza e risposta è superiore. Per poi ricominciare da capo, in un miglioramento continuo.

Miglioramento che non è fatto solo di tecnologia, ricorda Haider Pasha. Se si vuole davvero migliorare in termini di resilienza - e oggi è decisamente necessario farlo - servono "sia l'impegno mirato del board, sia una vera e propria cultura della resilienza e della cybersecurity, che dia la giusta priorità ai risultati delle iniziative legate alla sicurezza".