È fondamentale implementare correttamente nuovi programmi tecnologici

Banche e cyberattacchi: +238% nei primi mesi della pandemia

Per combattere la criminalità informatica il settore bancario spende il 40% in più di qualsiasi altro settore: in media, tutte le banche investono 18,5 milioni di dollari l’anno per i costi diretti causati dagli incidenti. Considerando che i cyberattacchi portati alle banche sono aumentati del 238% durante i primi mesi della pandemia, è evidente che questo sia un problema prioritario che necessita di supporto dall’alto.

Probabilmente siamo d’accordo sul problema, ma molto meno sulla sua soluzione. Siamo tutti allineati sul fatto che sia necessario difendersi dai cyberattacchi, ma non sempre sulle migliori modalità di farlo. Spesso, chi tenta di adottare nuovi approcci si trova di fronte a prospettive culturali differenti e spesso concorrenti come implementarli.

Cosa serve per cambiare il pensiero obsoleto e implementare un cambiamento duraturo? Perché alcune iniziative su larga scala “partono”, mentre altre sembrano non riuscire a decollare?

Molte implementazioni tecnologiche complesse sono fallite, spesso perché le persone non hanno abbracciato il cambiamento con la convinzione e la profondità necessarie, non capendo nella sostanza il significato del programma, l’allineamento alla strategia aziendale, o non avendo una direzione chiara sulle priorità. Questo tende a creare una componente di dissenso – persone che non hanno ritenuto necessario il cambiamento, o che ritengono abbia avuto un impatto negativo. Se in modo consapevole o meno, sono proprio queste persone ad aver ostacolato un’implementazione di successo.

Affinché il progetto prenda piede, l’iniziativa deve essere guidata da chi ricopre posizioni dirigenziali in azienda, con comunicazioni chiare a tutti i livelli, e una responsabilità condivisa per il risultato. La gestione del cambiamento organizzativo deve essere guidata dalle persone.

Il supporto dei manager C-Suite è una priorità assoluta

Secondo Owens, l’espressione “ottenere il consenso” quando si parla dell’implementazione di nuovi programmi tecnologici è irritante e sarebbe necessario anche eliminare il termine “programmi tecnologici”, perché di fatto sono programmi di trasformazione aziendale che tendono a interrompere i processi operativi.

Finché questi programmi non sono considerati prioritari – ma opzionali – le organizzazioni continueranno ad affrontare difficoltà per farli accettare e adottare da tutta la linea gerarchica aziendale. È importante per i CISO avere l’attenzione dei CEO e dei membri del consiglio di amministrazione e che comprendano irischi a cui l’azienda è esposta e i programmi di sicurezza necessari a proteggerla.

Pensiamo ad esempio a programmi come la gestione degli accessi privilegiati, che oggi dovrebbero essere prioritari nelle aziende. È necessario essere chiari: le credenziali e gli account privilegiati rappresentano una delle maggiori superfici di attacco per le organizzazioni oggi. Non è un rito di passaggio, bensì spiegando che questo sarà il nuovo modello operativo aziendale.

C’è un unico metodo reale per attuare il cambiamento operativo e farlo crescere e prosperare: attraverso la trasparenza dall’alto verso il basso. Quando si stanno implementando progetti così complessi che coinvolgono numerosi processi, applicazioni e infrastrutture tecnologiche, diventa importante non solo la responsabilità di chi vi accede, ma anche la sua condivisione con le altre persone.

Per far sì che la sicurezza sia vista come una responsabilità condivisa in tutta l’organizzazione, è possibile delineare alcune strategie chiave:

  • Fate sì che sia un’urgenza, non un’opzione. I dirigenti devono capire lo stato di vulnerabilità in cui si trova l’organizzazione in questo momento e le relative conseguenze. Il passaggio di massa – e improvviso – al lavoro remoto nell’ultimo anno ha esteso e messo alla prova le risorse, e sta solo accelerando l’urgenza di forti protocolli di sicurezza. La recente violazione SolarWinds è l’ultimo esempio di come le credenziali e gli account privilegiati rimangano incredibilmente vulnerabili agli attacchi. C’è la necessità di definire una mentalità di crisi, prima che la crisi si verifichi.
  • Stabilite il vostro caso. Create una narrazione a livello di business per mostrare agli stakeholder più importanti che l’accesso privilegiato non protetto è una sfida alla sicurezza che comprende l’identità di ogni singolo utente, applicazione e macchina, e ha il potere di sconvolgere le attività. Allineare la protezione a chiari obiettivi aziendali e alla propensione al rischio, delineando le metriche che definiscono il successo, tenendo conto anche delle potenziali interruzioni, aiuterà a garantire che la sicurezza non sia vista come un’aggiunta o uno strumento utile, ma come parte integrante della crescita e del mantenimento del business.
  • Non fare tutto da soli. Per ottenere lo slancio all’accettazione e implementazione, i CISO devono “interfacciarsi con i giusti livelli di influenza all’interno dell’organizzazione”. È importante parlare con il gruppo di rischio, in modo che possa aiutare a fare escalation alla leadership in parallelo e guidare l’urgenza tra i decision maker aziendali e coinvolgere anche le persone con influenza a ogni livello, come le risorse umane, che possono aiutare a trasmettere il messaggio di come la sicurezza sia responsabilità di tutti.
  • Preparate un report conciso. Il progetto dovrebbe essere riassunto in una sola pagina per garantire che venga letto e compreso. Se non si è grado di spiegare in una sola pagina come si stia procedendo, quale sia la situazione, o dove sia necessario supporto, non ci si merita quel ruolo.

La sicurezza può diventare parte del DNA di un’organizzazione solo quando c’è un senso di responsabilità condiviso, comunicato dall’alto, per rendere ogni processo più fluido. Questo accade quando le organizzazioni si rendono conto che la sicurezza informatica non è un lavoro, ma una parte integrante di tutte le attività, che diventa sempre più importante anno dopo anno.

A cura di CyberArk, in collaborazione con Gerry Owens, CEO e fondatore di GOTAB IT RISK inc.