La figura del Ciso as a Service: Matteo Mazzei racconta la sua esperienza
Sono Matteo Mazzei, dell’azienda VCISO, partner strategico per la società Aksilia Srl. L’esperienza ventennale maturata nel settore ICT a difesa del patrimonio informativo mi consente oggi di proporre servizi di CISO as a Service, conosciuto anche come Virtual CISO.
Da sempre parliamo di sicurezza informatica, ma negli ultimi anni l’interesse per questo argomento è aumentato.
Cosa è cambiato?
La sicurezza informatica si è sviluppata con l’Industry 4.0: una nuova rivoluzione industriale guidata dall’evoluzione delle tecnologie IoT, dai Big Data e dalle telecomunicazioni.
La diffusione delle nuove tecnologie di connettività ha dato accesso a aziende e a nuovi utenti. Questo ha permesso da un lato lo sviluppo e la diffusione di nuovi modelli di business, ma dall’altro sono avvenuti l’aumento della superficie di attacco e la proliferazione delle minacce per la sicurezza delle informazioni.
Le tecniche e gli strumenti utilizzati per proteggere il patrimonio informativo sono in continuo cambiamento ed evoluzione.
Le informazioni sono degli asset aziendali, e come tali vanno protette adeguatamente.
Per difendere il patrimonio informativo è necessario prima di tutto effettuare un risk assessment, individuando e valutando tutti i rischi che possono impattare sul business dell’organizzazione.
Vengono stabiliti i rischi accettabili e quelli non accettabili: per questi ultimi è importante individuare delle azioni opportune per il loro trattamento, in compatibilità con il budget stanziato. Queste operazioni saranno in linea con i requisiti di business dell’azienda, affinché il rischio residuo sia portato ad un livello accettabile per l’organizzazione.
Rispetto a pochi anni fa sono aumentati l’incidenza e l’impatto economico degli attacchi informatici ai danni di tutte le tipologie di organizzazione; oggi il cybercrime sottrae le informazioni, le vende e ricatta le aziende.
Un Data Breach per un’azienda è devastante sia in termini di costi diretti, come le spese legali, gli eventuali rimborsi ai clienti, il sentiment negativo e i danni reputazionali, che indiretti, come l’interruzione della produzione o dell’operatività dell’azienda. Una delle conseguenze per le aziende a seguito di un data breach è la forte riduzione del fatturato, a causa della perdita di clienti consolidati e della mancata acquisizione di nuovi clienti.
Per questo ritengo che la sicurezza delle informazioni sia da tenere in considerazione dal management delle aziende al momento della definizione della strategia di business. Tutte le aziende si devono rivolgere a figure con competenze specifiche, che le aiutino a definire una strategia efficace per la gestione della sicurezza del proprio patrimonio informativo.
“Perché dovrebbero prendere di mira me?”
Molto spesso le piccole e medie aziende se lo chiedono. Il cybercrime, come tutti i business, ha obiettivi di ricavo, e sceglierà con cura le sue potenziali vittime, valutando quelle che possano garantire un ritorno dell’investimento rapido e con il minor sforzo possibile.
Chiunque entri in contatto con delle informazioni o banalmente ha un conto corrente è attaccabile
Da qui nasce l’esigenza di una figura specifica, come il CISO, che si occupi di sicurezza a tutto tondo, definendo una strategia di sicurezza che sia in linea con gli obiettivi di business definiti dalla direzione e che sia l’unico punto di riferimento responsabile per tutti gli aspetti di sicurezza legati all’azienda.
Il mio percorso di studi e lavorativo sono stati essenziali per formare la figura del CISO
Sono laureato in Ingegneria delle Telecomunicazioni. Ho cominciato la mia carriera lavorativa come tecnico di rete, esperto di network per poi diventare responsabile di un Soc/Noc fino a rivestire i ruoli di CTO e COO, sviluppando sia competenze tecniche che di gestione.
Alla mia vita lavorativa ho affiancato la formazione: ho conseguito un Master in Economia e Management Aziendale, un Master Executive in Gestione strategica dell’innovazione digitale e sto proseguendo con il MIP al Politecnico di Milano. Inoltre ho appena conseguito la certificazione ISIPM in Project Management.
In Aksilia ho voluto mettermi in gioco, per portare avanti un progetto imprenditoriale, improntato sulle mie esperienze di sicurezza informatica e sulla figura del CISO.
Parliamo del CISO, come figura manageriale che si occupa degli aspetti di sicurezza in azienda
Grazie alla mia esperienza in cybersecurity maturata sul campo e al corso Certified-CISO della E-Council oggi posso proporre servizi come Virtual CISO, o CISO as-a-Service.
Il CISO (Chief Information Security Officer) è una figura che non si concentra esclusivamente sugli aspetti tecnici, ma soprattutto sulle esigenze del business. All’interno dell’azienda il CISO è un C-level: un manager al pari del CIO, del CFO e di altri C-level. Il suo compito è controllare le operation di sicurezza; è una figura il più possibile autonoma e indipendente nel suo lavoro, e riferisce all’ AD e/o al Board tutti gli aspetti del lavoro legati alla sicurezza.
Le caratteristiche di un CISO efficace sono:
Per questo la figura del CISO non può avere solo forti skills tecnici, ma deve essere in grado di porsi con un approccio consulenziale, utilizzando una forte leadership per potersi interfacciare efficacemente con un CFO o con un amministratore delegato.
A causa delle competenze specifiche e di mancanza di budget, la figura del CISO fino ad oggi è stata presente solo nelle realtà più grandi.
Quello che noi vogliamo fare è introdurre questa figura nelle piccole medie imprese, il Virtual CISO
Con il Virtual CISO, o CISO as-a-Service, vogliamo abbattere le barriere che sono all’ingresso della figura del CISO nelle realtà piccole e medie, permettendo di accedere agli stessi livelli di competenza e supporto delle organizzazioni che dispongono di maggiori mezzi a un costo gestibile.
È un CISO in outosourcing, identificato come un Temporary Manager all’interno di un’azienda, con il compito di gestire e governare tutti gli aspetti legati alla sicurezza delle informazioni dell’organizzazione.
Deve avere la piena consapevolezza delle problematiche di cybersecurity e degli obiettivi di business dell’azienda per cui lavora, in modo da individuare tutti i rischi legati alla sicurezza delle informazioni e definire un piano per trattarli efficacemente.
Il Virtual CISO deve impostare le linee guida e le policy, collaborare con il DPO dell’azienda ed essere una figura super partes ed indipendente. Svolgendo una funzione di controllo avrà una sua identità ed autonomia, rispondendo al CEO o al Board.
Perché ho deciso di ricoprire la figura del Virtual CISO
Lavorando nella sicurezza informatica nei settori tecnici mi sono accorto che l’approccio italiano alla sicurezza non è ancora efficace. Spesso infatti si punta alla soluzione più semplice: risolvere il problema solo tecnicamente, acquistando un prodotto o un servizio. Spesso però questo approccio non funziona. Mi sono chiesto: perché?
La risposta che mi sono dato è che la sicurezza non è fatta solo dalla tecnologia (hardware e software), ma dal prodotto di 3 fattori: persone, processi e prodotti. Buoni processi portano ad avere persone formate e informate e alla scelta di buoni prodotti utilizzati bene, ma non è vero il contrario! Acquistare prodotti, anche ottimi, senza integrarli nei processi che governano la sicurezza dell’organizzazione e senza formare le persone portano a sprechi di tempo e risorse.
L’idea giusta consiste nel cambiare approccio, capire il modello di business utilizzato nelle aziende e come può impattare la sicurezza.
Solo in questo modo avverrà l’allineamento della sicurezza al business, fornendo gli strumenti giusti per quella data azienda.
Ad esempio possiamo pensare alla formazione delle persone, ai processi e alle procedure, oppure alla parte tecnica fornendo i prodotti e i servizi allineati agli obiettivi di business.
I miei compiti come Virtual CISO sono svariati
Il mio primo compito è far capire all’azienda quanto sia importante la sicurezza.
Le difficoltà che incontrano i clienti sono: i data breach, gli investimenti che non hanno avuto un buon esito, e la mancanza di risorse specifiche.
Il cliente vuole identificare i rischi, i gap da colmare rispetto alle best practice, progettare l’architettura di sicurezza efficace, identificando prodotti e servizi da acquistare e fornitore, allineare la sicurezza alle best practice e alle normative e formare e informare le persone.
Come Virtual CISO definisco: la strategia per la sicurezza informatica, gli asset aziendali per sviluppare un business sicuro, i processi e le procedure per limitare al massimo la probabilità di data breach o data leak, e la conformità alle normative.
Il lavoro di un CISO consiste nell’implementare il SGSI (Sistema di Gestione della Sicurezza Informatica), un framework di controlli, processi, procedure e strumenti che gestiscono la sicurezza informatica dell’organizzazione a 360°, compresa la definizione di un piano di formazione aziendale di Security Awareness.
La sicurezza informatica e la figura del CISO da oggi non sono più esclusivamente accessibili solo alle realtà più grandi e strutturate, ma nella modalità as-a-service, tale servizio è accessibile anche alle organizzazioni medie e piccole, che avranno l’opportunità di innalzare il livello di sicurezza con cui sono gestite le informazioni e i dati all’interno della propria azienda.
La figura del Virtual-CISO consente alle organizzazioni di rimanere concentrate sulla propria attività conferendo ad esperti il mandato di proteggere l’organizzazione e mantenendo al tempo stesso i costi bassi.
Il Virtual Ciso è dunque un modo conveniente per colmare il gap tra i nuovi requisiti della sicurezza di una organizzazione e la sua necessità di un unico punto di riferimento in grado di dar loro una risposta che sia sempre presente e disponibile.
Se sei interessato ad approfondire, o il tuo business ha bisogno di una figura come il Virtual-Ciso, contattaci.
Matteo Mazzei, CISO @Aksilia Srl
