Come professionisti della sicurezza, non siamo noti per la nostra leggerezza. È vero, spesso ci troviamo a dover affrontare incidenti gravi con conseguenze potenzialmente profonde per l'organizzazione e per le nostre prospettive di carriera. Ma i nostri rapporti con gli altri sono solitamente caratterizzati da controlli e misure coercitive piuttosto che da impegno e sostegno.
Questo deve cambiare. E deve iniziare dal CISO.
Il mondo è cambiato
Perché molti dipendenti non amano i loro colleghi che lavorano nella sicurezza informatica? Perché la prima e spesso unica esperienza che hanno con la sicurezza è sentirsi dire che stanno facendo qualcosa di sbagliato e che ci vorrà un lavoro extra per risolvere il problema. Non è proprio la base per un rapporto di lavoro produttivo.
Parte del problema deriva dal fatto che la sicurezza opera in modo leggermente arretrato rispetto al resto dell'organizzazione. I CISO tendono spesso a gravitare attorno al personale addetto alle infrastrutture e alle reti, anch'esso lontano dal centro dell'azione. Ciò rende la sicurezza reattiva e rafforza la nostra reputazione di funzione di controllo. Quando i CISO assumono questa posizione, tendono ad affidarsi eccessivamente a processi sbagliati.
La verità è che le organizzazioni moderne sono agili, orientate alle funzionalità e ai prodotti. Le cose avvengono più rapidamente. Ci sono più team coinvolti che utilizzano strumenti intuitivi per supportare lo sviluppo e l'implementazione rapidi. Questo è un mondo che non è controllato dagli stessi processi su cui si basa la sicurezza.
Vieni alla festa
Come possono i CISO risolvere questa tensione? Innanzitutto, riconoscendo che questi processi sono cambiati, che DevOps è ormai una realtà e che il mondo IT che li circonda è ora fondamentalmente diverso. I giorni dei progetti monolitici sottoposti all'approvazione della sicurezza sono contati. I progetti sono più numerosi e fluidi. Ciò richiede ai responsabili della sicurezza un maggiore coinvolgimento quotidiano nel modo in cui i team sviluppano e distribuiscono i prodotti. In passato, l'elenco delle relazioni professionali del CISO all'interno dell'organizzazione era probabilmente piuttosto breve, ma tali relazioni erano molto profonde. Il modo in cui funziona oggi l'IT richiede una rete di relazioni molto più ampia, con i team delle piattaforme e gli ingegneri addetti all'affidabilità dei siti.
In queste nuove relazioni, dobbiamo essere contributori, non guardiani. I team di sicurezza lavoreranno duramente per capire come la sicurezza possa dare un contributo positivo a ciò che l'azienda sta cercando di raggiungere, andando oltre la semplice "sicurezza e protezione". Comprenderanno i processi ingegneristici abbastanza bene da offrire gli strumenti giusti alle persone giuste al momento giusto. Di fatto, diventeranno più simili a venditori interni o evangelisti della sicurezza che a revisori.
Questo richiederà ovviamente un cambiamento radicale nell'atteggiamento, che molti CISO e i loro team troveranno difficile. Ma il cambiamento è necessario. Si tratta di costruire relazioni solide basate sulla fiducia reciproca e di presentarsi con il sorriso sulle labbra. La musica sta suonando, quindi smettete di stare in un angolo e unitevi alla festa.
Questo blog è stato pubblicato per la prima volta su The Register.