I lockdown imposti dalla pandemia sono stati un catalizzatore di molti cambiamenti. In Italia e nel mondo, l’isolamento ha messo in moto nuove tendenze. Le persone hanno riconsiderato ciò che è importante, manifestando un rinnovato interesse per le questioni ESG (ambiente, sociale, governance) e hanno anche riconsiderato le proprie ambizioni, come si è visto con il fenomeno delle Grandi Dimissioni. In breve, che si tratti di loro stessi o di altri, hanno iniziato a pensare di più alle persone.
Oggi, in tutti i ruoli, vediamo una maggiore enfasi sull’esperienza dei dipendenti (employee experience, EX). D’altronde, come possiamo proteggere i nostri talenti dalle Grandi Dimissioni se non incontrandoci con i dipendenti a metà strada? Spesso si pensa all’EX nel contesto della trasformazione digitale: dobbiamo dare ai dipendenti gli strumenti necessari per essere produttivi, ispirati, stimolati e soddisfatti. In realtà, ogni responsabile delle risorse umane sa che occorre andare oltre, accogliendo tutti gli aspetti della vita lavorativa e domestica dei dipendenti. La dirigenza a tutti i livelli deve consentire e monitorare la nuova idea di “portare tutto se stesso al lavoro” e gestire con equilibrio e attenzione le controversie interdipartimentali. Una di queste dispute secolari che sta venendo alla ribalta nel nuovo ambiente di lavoro ibrido è quella tra i professionisti della cyber sicurezza e davvero tutti gli altri.
Nella moderna azienda fondata sul digitale – con i suoi dati sensibili e i suoi workload critici – i professionisti della sicurezza sono agenti di polizia, spie, vigili del fuoco e medici, tutti insieme. Ma sono raramente visti come eroi dai propri colleghi. Molti professionisti della sicurezza – talenti vitali che le aziende digitali devono imparare ad attrarre e trattenere – sembra che vengano notati solo quando si verifica un incidente negativo o quando cercano di istruire i colleghi sulle best practice. Ironia della sorte, gli altri tendono a incolparli proprio per gli incidenti che stavano cercando di prevenire invitando al rispetto delle best practice.
Produttività vs rischio
La triste verità è che le best practice di sicurezza possono essere fastidiose per coloro il cui ruolo non comprende la gestione del rischio. La produttività di questi ultimi, che si basa sui dati e sui workload che i cyber-professionisti si impegnano a proteggere, deve venire prima di tutto. Quindi, prendono scorciatoie o ignorano i consigli, provocando ulteriori scontri.
È giunto il momento di un cambiamento culturale, il cui campione deve essere il CISO. Il suo ruolo nel nuovo ambiente IT, complesso e frenetico, deve essere quello di coinvolgere e supportare, piuttosto che di sorvegliare e imporre. La suite tecnologica è cambiata. I dipendenti, ovunque lavorino, devono fare i conti con la necessità di fornire i loro risultati in modo efficiente e affidabile in un ambiente di lavoro sconosciuto. Quando i membri del team di sicurezza dicono loro che stanno facendo qualcosa di sbagliato, tendono a non essere d’accordo. Il loro lavoro consiste nell’inviare le fatture entro le 17.00, nel rendere felice il cliente o nel preparare quel rapporto; il compito della sicurezza è di tenerli al sicuro mentre lo fanno. Allora perché la sicurezza dice loro che sono in errore? Non dovrebbe essere la sicurezza a fornire… sicurezza?
Questa è la mentalità che il CISO e il suo team devono superare. La security deve rinunciare alla pratica di dire agli utenti quanto lavoro hanno creato per il personale di sicurezza e adottare invece un approccio più conciliante. Discussioni conflittuali avvengono anche tra la sicurezza e le altre funzioni che si occupano di tecnologia: al giorno d’oggi, la capacità di sfornare rapidamente miglioramenti su miglioramenti alle esperienze digitali è il modo in cui i team DevOps dimostrano il proprio valore, ma i team che si occupano di sicurezza possono esprimere preoccupazioni per la mancanza di governance nel processo di sviluppo, con conseguenti conflitti.
“Rapidamente” vs “attentamente”
La transizione è difficile. I team di sicurezza sono addestrati a reagire ai rischi. E se determinano che un collega è la fonte di tale rischio, ogni istinto li spingerà a commentare, sia di persona che via e-mail o con altri mezzi. L’agilità è importante per la moderna azienda digitale. La minaccia di perderla può essere esistenziale quanto quella di un attacco ransomware. I team DevOps e altri dipartimenti devono lavorare velocemente per lanciare sul mercato la prossima grande novità.
Questi rapidi spostamenti sono in netto contrasto con i metodi lenti e costanti, ma attenti degli specialisti di cybersecurity. Tuttavia, i CISO devono riconoscere che i tempi sono cambiati. DevOps non è il futuro, ma un dogma consolidato per le aziende digitali. È impraticabile pensare di ottenere l’approvazione della sicurezza su ogni progetto prima che venga distribuito. In primo luogo, spesso ci sono troppi progetti e troppi pochi professionisti della sicurezza in un’organizzazione per permetterlo. In secondo luogo, il processo di sviluppo moderno è così fluido che ogni analista della sicurezza dovrebbe quasi lavorare a tempo pieno per approvare le richieste di modifica di una manciata di progetti.
Il modo migliore per superare questo problema è quello di coinvolgere maggiormente gli analisti della sicurezza nei metodi che i team DevOps utilizzano per costruire e distribuire, in modo che DevOps diventi più autonomo per quanto riguarda l’implementazione delle best practice di sicurezza. Il CISO deve instaurare nuove relazioni in cui i membri del suo team diventino collaboratori anziché guardiani, andando oltre la loro missione principale per diventare promotori di produttività e innovazione all’interno delle stesse esperienze digitali e mettendo a disposizione delle persone giuste gli strumenti giusti al momento giusto.
Un cambiamento culturale, dunque. È quello che sta avvenendo in tutte le imprese e anche all’interno delle agenzie governative. Un settore dopo l’altro si è reso conto che gli atteggiamenti devono essere trasformati prima di guardare alle nostre capacità digitali. Sarà una sfida per i CISO e i loro team, radicati come sono nella metodologia e nei processi di individuazione dei rischi. Ma se invece daranno priorità alla creazione di relazioni solide, potrebbero trovare molte più strade per raggiungere la sicurezza che hanno giurato di fornire.
di Massimiliano Galvagna, Country Manager per l’Italia di Vectra AI
