I migliori CISO pensano come Batman, non come Superman(*)
(*) libera traduzione di un articolo di Christopher Muffat su HelpNet-Security
Molti CISO si vedono come Superman, che vola in alto col mantello che svolazza, pronto a intervenire per salvare la situazione in un attimo se si verifica una crisi. Ci sono stati interi summit e cerimonie di premiazione basati sull'idea dei CISO come supereroi. C'è persino uno strumento web che i CISO possono utilizzare per scoprire il proprio alter ego da "supereroe della sicurezza".
Ma i migliori CISO non sono supereroi, o almeno non supereroi fatti della stessa stoffa dell'Uomo d'Acciaio. La realtà è che se un Security Officer pensa che il suo lavoro sia quello di essere un eroe universalmente amato e oggetto di incondizionata gratitudine e ammirazione da parte di coloro che protegge, allora vuol dire che non sta svolgendo bene il suo compito.
Quando ci si vede attraverso quell'obiettivo, è fin troppo facile iniziare a prendere decisioni che soddisfano le persone a breve termine, ma non riuscire poi a prendere le decisioni più difficili necessarie per tenerle al sicuro nel lungo periodo.
Come ogni CISO sa, la sicurezza informatica è un lavoro duro che raramente riscuote granché in termini di ringraziamenti o riconoscimenti. In effetti, ai CISO di maggior successo viene spesso richiesto di agire in modo da renderli profondamente impopolari. Per fare bene il tuo lavoro, in altre parole, devi adattarti ad essere un antieroe - e questo significa imparare a pensare meno come Superman e più come Batman.
Pensa come un Cavaliere Crociato
Perché i CISO dovrebbero imparare a pensare come Batman? Per cominciare, Batman sa che combattere il crimine non è un concorso di popolarità e non si aspetta ringraziamenti dalle persone che sta cercando di proteggere. Allo stesso modo, i CISO dovrebbero accettare che se sono popolari, probabilmente stanno facendo il loro lavoro nel modo sbagliato.
Le persone dovrebbero provare un po’ di angoscia quando l'ombra del CISO si allunga sulla loro scrivania, perché il CISO deve spingerle a prendere decisioni scomode, insistendo affinché facciano meglio e impedendo loro di accontentarsi. Il suo ruolo non è rendere felici le persone, ma tenerle al sicuro nonostante le lamentele e i borbottii che i suoi sforzi ispirano.
Batman sa anche che non si può combattere il crimine crogiolandosi al sole. Bisogna invece frequentare i bassifondi della città e combattere criminali e gangster sul loro stesso terreno. Allo stesso modo, i CISO dovrebbero vivere con un piede nell’inferno. È solo comprendendo il modo in cui i criminal hacker pensano e operano che possono sperare di mantenere la loro Organizzazione al sicuro. Questo significa sapere come aggirarsi negli angoli più oscuri del dark web e dedicare molto tempo a monitorare gli script, le strategie e gli altri sporchi trucchi utilizzati dai “Black-Hat” (gli Hacker cattivi). Superman sarà anche in grado di fare il suo lavoro volando sopra la metropoli, ma i CISO devono scendere nelle fogne per stanare i criminali informatici.
L'approccio chiaro e diretto di Superman nella lotta al crimine contrasta con il modo più cupo e sgradevole usato da Batman. Superman è idealista e fiducioso; Batman è un realista con una sana dose di paranoia. Allo stesso modo, i CISO devono vedere la maggior parte delle persone, dei processi e delle tecnologie come potenziali fonti di rischio. Invece di cercare il meglio nelle persone, devono presumere il peggio, in modo da poter essere preparati a contrastare le vulnerabilità e rispondere rapidamente alle violazioni della sicurezza quando si verificano.
Vale poi la pena di ricordare che Superman è nato con una forza incredibile, una visione a raggi X e altri superpoteri spettacolari che gli permettono di sconfiggere quasi tutti i nemici senza alcuna fatica. Al contrario Batman deve affrontare i cattivi solo con la sua astuzia e una Bat-caverna piena di gadget innovativi.
Così i CISO non possono presumere di essere automaticamente in grado di sconfiggere qualsiasi minaccia. Ci vuole duro lavoro e preparazione per sconfiggere il crimine informatico e i CISO devono rimanere aggiornati su tutte le ultime innovazioni in materia di sicurezza informatica per assicurarsi di avere sempre gli strumenti giusti a portata di mano.
Sii un antieroe, ma non un cattivo
Cosa significa tutto questo in pratica? Beh, significa che come CISO devi abituarti all'idea che le persone in genere non esultano quando arrivi tu. Potresti anche ricevere qualche occhiataccia, soprattutto se hai appena cassato un progetto che avrebbe introdotto una vulnerabilità critica o hai implementato nuove misure di sicurezza che complicano il flusso di lavoro delle persone e richiedono di cambiare le abitudini di comportamento. È sgradevole, ma è anche un segnale che stai facendo bene il tuo lavoro.
C'è una linea sottile, ovviamente, tra l'essere un antieroe ed essere un cattivo. I CISO dovrebbero riconoscere che il loro compito li rende impopolari e che molte delle misure di sicurezza che introducono rischiano di complicare la vita delle persone, ma dovrebbero assolutamente evitare l'idea di dilettarsi a rendere infelici gli altri.
Batman potrà anche far sanguinare alcuni nasi per mantenere Gotham al sicuro, ma opera secondo un codice di condotta che non mette mai in pericolo le persone che deve proteggere. E’ proprio perché spesso sono costretti ad adottare misure impopolari che i CISO hanno la responsabilità di spiegare a tutti la necessità delle politiche che introducono e di garantire che le contromisure che decidono di adottare siano sempre proporzionate alle minacce che stanno cercando di contrastare.
In conclusione i CISO sono dei supereroi, ma non possono aspettarsi consensi o gratitudine. Svolgono un compito ingrato che richiede loro di proteggere la loro Organizzazione senza tanti riconoscimenti, usando l'astuzia e il know-how tecnologico per cogliere le vulnerabilità che sono sfuggite ai controlli e per prevenire crisi incombenti che altri non riescono a individuare o si rifiutano di riconoscere.
Come il Cavaliere Oscuro che veglia su una Gotham ingrata, i CISO non vinceranno mai nessuna medaglia per i loro sforzi, ma sono gli eroi di cui abbiamo bisogno durante questi tempi turbolenti.
Cordialmente Vostro,
Autostoppista Cyber Galattico.