Come professionisti della sicurezza, non siamo noti per la nostra leggerezza. È vero, spesso ci troviamo a combattere incidenti gravi con conseguenze potenzialmente profonde per l'organizzazione e per le nostre prospettive di carriera. Ma i nostri rapporti con gli altri sono di solito caratterizzati dall'azione di polizia e dall'applicazione della legge, piuttosto che dal coinvolgimento e dal sostegno.
Questa situazione deve cambiare. E deve iniziare dal CISO.
Il mondo è cambiato
Perché molti dipendenti non amano i colleghi della funzione di cybersecurity? Perché la prima e spesso unica esperienza di interazione con la sicurezza è quella di sentirsi dire che stanno facendo qualcosa di sbagliato e che ci vorrà del lavoro extra per risolverlo. Questa non è la base per un rapporto di lavoro produttivo.
Parte del problema deriva dal fatto che la sicurezza opera con un certo ritardo rispetto al resto dell'organizzazione. I CISO spesso gravitano tra gli addetti alle infrastrutture e alle reti, che sono anche lontani da dove si svolge l'azione. Ciò rende la sicurezza reattiva e rafforza la nostra reputazione di funzione di polizia. Quando i CISO assumono questa posizione, tendono a fare eccessivo affidamento sui processi sbagliati.
La verità è che le organizzazioni moderne sono agili, orientate alle funzionalità e ai prodotti. Le cose accadono più velocemente. Ci sono più squadre coinvolte che utilizzano strumenti intuitivi per supportare lo sviluppo e la distribuzione rapidi. Questo è un mondo non controllato dagli stessi processi su cui si basa la sicurezza.
Vieni alla festa
Come possono i CISO risolvere questa tensione? In primo luogo, riconoscendo che questi processi sono cambiati, che DevOps è arrivato e che il mondo IT intorno a loro è ora fondamentalmente diverso. I giorni in cui i progetti monolitici venivano sottoposti alla sicurezza per l'approvazione sono finiti. I progetti sono più numerosi e fluidi. Ciò richiede ai leader della sicurezza un maggiore coinvolgimento quotidiano nelle modalità di creazione e spedizione dei team. In passato, l'elenco delle relazioni professionali del CISO all'interno dell'organizzazione era probabilmente piuttosto breve, ma tali relazioni erano profonde. Il modo in cui l'IT funziona oggi richiede una serie di relazioni molto più ampia, con i team della piattaforma e i tecnici dell'affidabilità del sito.
In queste nuove relazioni, dobbiamo essere dei collaboratori e non dei guardiani. I team di sicurezza si impegneranno a fondo per capire come la sicurezza possa dare un contributo positivo a ciò che l'azienda sta cercando di ottenere, al di là di "sicurezza e protezione". Comprenderanno i processi di engineering abbastanza bene da offrire gli strumenti giusti alle persone giuste al momento giusto. Di fatto, diventeranno più simili a venditori interni o evangelisti della sicurezza che a revisori.
Ciò richiederà ovviamente un grande cambiamento di atteggiamento che molti CISO e i loro team troveranno impegnativo. Ma dobbiamo cambiare. Si tratta di costruire relazioni forti basate sulla fiducia reciproca e di presentarsi con il sorriso sulle labbra. La musica sta suonando, quindi smettete di stare nell'angolo e venite alla festa.
Questo blog è stato pubblicato per la prima volta su The Register.