Silos-hacking: infiltrarsi nell’organizzazione per rafforzarla

Superare le barriere, introdursi nei processi ed esfiltrare conoscenze per integrare la sicurezza

A cura di Manuela Italia

Con l’evolversi delle dinamiche sociali, economiche e normative, in un contesto sempre più digitalizzato, la rete di interdipendenze tra i vari attori e fattori nel contesto aziendale è diventata sempre più fitta. In tutte le organizzazioni, ogni elemento, dal più semplice al più strategico, è parte di un ecosistema complesso, dove ogni cambiamento ha ripercussioni a catena.

L’Information Security si muove all’interno di questa rete di interconnessioni sempre più intricata, in cui organizzazioni complesse, funzioni, persone, processi, tecnologie, minacce e normative evolvono costantemente e si influenzano generando un vero e proprio effetto domino sulla postura di sicurezza aziendale.

Secondo un’indagine di PwC*, il 75% dei dirigenti ritiene che la complessità all’interno delle proprie organizzazioni possa creare rischi significativi per la cybersecurity. Questa percezione è ben fondata. Di fronte a questa complessità, l’introduzione di funzioni e processi sempre più specializzati indirizza diverse sfide, mentre ne introduce di nuove. Le aree specializzate, infatti, focalizzandosi sui propri ambiti di competenza ed obiettivi, rischiano di perdere la visione d’insieme, operando in modo frammentato e contribuendo alla formazione di silos operativi. Questo approccio può avere conseguenze dirette sull’efficacia e l’efficienza del sistema di gestione della sicurezza delle informazioni.

  • Un esempio particolarmente emblematico e maldipancia quotidiano di ogni Chief Information Security Officer è la mancanza di allineamento tra la funzione di Information Security e le altre aree aziendali su strategie, iniziative e progetti critici. Quando questi vengono avviati senza considerare le implicazioni di sicurezza e le iniziative già in corso, non solo si moltiplicano i costi legati alla cybersecurity*, ma si compromette anche l’efficacia complessiva delle misure esistenti.
  • La stessa funzione di Information Security spesso cade nella trappola dell’isolamento. Le strategie cyber sviluppate senza un adeguato input da parte del business e da altre funzioni rilevanti, composte da iniziative focalizzate principalmente ad implementare controlli tecnici standard e processi dedicati, risultano inconsistenti e disconnesse dalle reali esigenze aziendali.
  • Un altro caso rilevante si verifica quando diversi team dell’azienda (es. Information Security, Privacy, Physical Security, Business Continuity, Finance) conducono valutazioni dei rischi senza linee guida comuni e coordinamento. Questo approccio genera spesso sovrapposizioni nelle aree di rischio e di controllo di ambito information security e rende difficile rappresentare i rischi in modo coerente e consolidato. A tal proposito, il Ponemon Institute, nel suo “Cost of a Data Breach Report 2021”, ha evidenziato come le organizzazioni con un approccio frammentato alla gestione del rischio subiscano in media costi del 51,8% superiori in caso di violazioni dei dati rispetto a quelle con un approccio integrato.
  • Le verifiche di audit e compliance rappresentano un altro terreno di sfida. Quando queste vengono definite senza una pianificazione condivisa e basate esclusivamente su requisiti normativi senza contesto, rischiano di diventare ridondanti, time-consuming e di non rispondere alle reali priorità, lasciando indisturbate le vulnerabilità più importanti.
  • La disconnessione può estendersi fino alle interazioni tra Information Security e le funzioni che gestiscono gli aspetti legali. L’assenza di un linguaggio comune e la percezione di distanza tra queste funzioni (i tecnici da una parte, gli avvocati dall’altra), unita alla mancanza di dialogo costruttivo con regolatori e istituzioni, potrebbe generare errori nell’interpretazione dei requisiti normativi a svantaggio dell’azienda.

Quelli elencati sono solo alcuni dei fenomeni generati da un approccio a silos, ma gli esempi potrebbero essere molti altri: metriche e indicatori disomogenei, cambiamenti organizzativi definiti senza consultare le aree impattate, fino agli inventari degli asset non condivisi e a campagne di awareness che diffondono messaggi ridondanti e disorganici.

Tra le conseguenze più significative della frammentazione, in primo luogo, vi è l’incapacità di fornire alla leadership una visione coerente e consolidata, che porta a processi decisionali incoerenti e inefficaci. In secondo luogo, viene drasticamente limitata l’efficacia della prevenzione e risposta agli incidenti di sicurezza. Infine, come evidenziato dal “(ISC)² Cybersecurity Workforce Study”, la mentalità a silos contribuisce a generare culture organizzative malsane, burnout e squilibrio tra lavoro e vita privata.

Di fronte a queste sfide, è chiaro che l’Information Security, per operare correttamente, necessiti di essere integrata nell’organizzazione in modo armonioso, condividendo obiettivi, processi e risorse con tutta la value chain. Quando questo approccio non è ancora consolidato in azienda, non è esplicitamente incluso nel mandato della funzione, o non viene promosso dalla leadership, è comunque necessario impegnarsi nella promozione di un cambiamento culturale. Per farlo, è fondamentale studiare a fondo il contesto e le dinamiche aziendali, identificare i punti di accesso che possano facilitare un dialogo e procedere con spirito critico, proattività e pazienza, riadattando continuamente le proprie tattiche.

A tal proposito, framework e standard autorevoli come il NIST Cybersecurity Framework (NIST CSF), lo standard ISO/IEC 27001 e la recente NIS2 Directive forniscono linee guida preziose per una gestione strategica e integrata della sicurezza delle informazioni, favorendo un linguaggio comune tra diversi dipartimenti e facilitando la collaborazione. Il processo di hacking dei silos può essere agevolato dall’adozione di tali standard e normative, accompagnata da sforzi e azioni pratiche che i professionisti del settore devono attuare nella loro operatività quotidiana. Di seguito sono elencate alcune di queste azioni, che possono essere implementate in base al contesto e alle esigenze specifiche di ogni organizzazione:

  • Impegno collettivo: la strategia di Information Security deve essere progettata e condivisa su vasta scala. Questo, non solo permette di raccogliere input preziosi, ma crea anche un senso di impegno comune. Cross-department meeting, aggiornamenti periodici e iniziative di comunicazione su strategia e iniziative sono cruciali per mantenere vivo questo impegno e intercettare cambiamenti e informazioni utili.
  • Un team che include tutti: è fondamentale ripensare e promuovere l’Information Security come una responsabilità distribuita in un team che si estende su tutta l’organizzazione. La mappatura delle intersezioni tra le diverse funzioni aziendali, utilizzando strumenti come le matrici RACI, aiuta ad identificare gap o sovrapposizioni nelle responsabilità. In molti casi, è utile nominare dei “champion” o rivacy, Physical Security e modelli 231”evangelist” all’interno delle funzioni per fornire supporto diretto e diffondere le best practice, creando un network capillare di competenze che rafforza il sistema complessivo e la sua resilienza.
  • Fornire esperienze: le sessioni di formazione tradizionali non sempre sono l’opzione più efficace. Può essere opportuno organizzare iniziative di formazione più coinvolgenti ed esperienziali che favoriscano la partecipazione attiva, come simulazioni di incidenti, workshop e discussioni di case study. L’implementazione di meccanismi di raccolta continua di feedback è utile ad orientare meglio le scelte.
  • Operare nel contesto: è fondamentale che i professionisti cybersecurity (e per quanto possibile, anche i fornitori) siano costantemente aggiornati sulla strategia e le principali iniziative aziendali, conoscano i processi, i crown jewels e le normative applicabili. Questo permette di adattare gli sforzi quotidiani al contesto e di gestire al meglio le priorità nel proprio ruolo.
  • Parlare la stessa lingua: nel dominio Governance, Risk and Compliance (GRC), è essenziale utilizzare metodologie condivise (es. framework, controlli, owner, tassonomie) e linguaggi comuni, come glossari, su scala aziendale. Diversi assessment, se mappati adeguatamente, possono essere centralizzati in un repository comune a disposizione di più funzioni per la creazione di viste specifiche. Ad esempio, i framework di maturity level assessment sui domini Information Security, Privacy, Physical Security e modelli 231, tipicamente contengono alcuni controlli simili o equivalenti.
  • Non solo IT: anche le modifiche organizzative, alle procedure operative di business e i nuovi investimenti sono elementi che richiedono un’attenta valutazione degli aspetti di sicurezza. Allo stesso modo, la criticità dei fornitori deve essere valutata tenendo conto dell’impatto che questi hanno sui processi di business. È essenziale instaurare una collaborazione attiva e continua tra Information Security e le funzioni che gestiscono i fornitori e i fornitori stessi per creare un allineamento di intenti basato sul reciproco interesse.
  • Alleanze importanti: il panorama normativo di Information Security è in fermento. È richiesto un forte allineamento con le funzioni legali, sia nel linguaggio che nelle prospettive, e una connessione con le specifiche autorità e associazioni di settore.
  • Trovare soluzioni: di fronte ad un’esigenza rischiosa, rispondere subito con un NO in nome della policy, senza fornire spiegazioni adeguate, potrebbe rendere la vita del professionista cybersecurity apparentemente semplice. In realtà, questo atteggiamento, oltre a non essere collaborativo, incentiva lo shadow IT, spesso legato alla percezione di policy troppo rigide. Collaborare attivamente con i colleghi per individuare soluzioni pratiche ed equilibrate è una scelta che fa la differenza.
  • Trasparenza: la creazione di portali aziendali dedicati all’Information Security, contenenti policy, procedure, linee guida, news, canali dedicati e contatti è un modo efficace per aumentare la trasparenza. L’utilizzo di piattaforme di collaboration e knowledge sharing rafforza ulteriormente la collaborazione tra i team e assicura un accesso rapido e centralizzato alle risorse.

In conclusione, un approccio all’information security sistemico, integrato e capillare, che superi le barriere dei silos, consente alle organizzazioni di destreggiarsi in un panorama di minacce in continua espansione e di reagire rapidamente e in modo coordinato agli attacchi cyber. Per affrontare le sfide attuali e future, è più che mai necessario promuovere una cultura di collaborazione e responsabilità condivisa che conduca ad un posizionamento dell’Information Security non solo come una questione tecnica, ma come un elemento integrato della strategia aziendale, che richiede il coinvolgimento e l’impegno di tutta l’organizzazione. Affinché questo approccio diventi effettivo e sostenibile, è essenziale una leadership forte e competente. Chief Information Security Officer qualificati e dotati di giuste leve e risorse rappresentano un fattore determinante per orientare l’organizzazione verso un modello di sicurezza resiliente e pienamente integrato nella governance e nell’ecosistema aziendale.