Un anno da CISO: l’esperienza di Brian Spanswick di Cohesity

I team ITOps e SecOps lavorano a stretto contatto e sono co-proprietari dei risultati di resilienza informatica secondo i framework NIST e CIS.

ciso

Brian Spanswick, Chief Information Security Officer di Cohesity, racconta le sfide e le numerose attività realizzate nel corso del suo primo anno da CISO in azienda.

Nell’aprile del 2021 Cohesity ha annunciato di aver nominato Brian Spanswick Chief Information Security Officer (CISO), una nuova posizione all’interno dell’azienda. A più di dodici mesi dall’inizio del lavoro, cosa è riuscito a fare Spanswick in questa organizzazione? Quali sono state le sfide, i traguardi più importanti e cosa possono imparare altre organizzazioni da questa esperienza?
di

Quando sono entrato a far parte di Cohesity, l’organizzazione si stava espandendo a livello globale, un numero maggiore di dipendenti si stava inserendo in scenari di lavoro a distanza e stavamo ampliando le nostre partnership basate su SaaS. Stavamo attivando regioni per le nostre offerte di Data Management as a Service, ad esempio in EMEA e APJ, dove recentemente abbiamo aggiunto Bahrain e Singapore. Questo maggiore livello di maturità ha rappresentato un importante punto di svolta per l’azienda.

Il nostro obiettivo, fin dall’inizio, è stato quello di raggiungere un livello di resilienza informatica che ci permettesse di ottenere risultati di business durante un evento informatico perpetrato in maniera malevola, come ad esempio un ransomware o un furto di dati. L’obiettivo iniziale era valutare i controlli di sicurezza informatica, fondamentali per comprendere il nostro livello base di security hygiene – le basi della postura di sicurezza di qualsiasi organizzazione. Queste aree devono essere affrontate in modo approfondito: conoscere le risorse e i dati, disporre di una strategia di patch efficace, eseguire una scansione delle vulnerabilità note, assicurarsi che i dati siano crittografati in transit e at rest, adottare un approccio che preveda l’accesso con il minimo privilegio ed educare gli utenti a stare attenti alle minacce di social engineering e a gestire i dati critici.

La collaborazione rafforzerà la posizione di sicurezza

Fin dall’inizio ho avuto il privilegio di gestire i team SecOps e ITOps. Le organizzazioni non devono perseguire la “sicurezza”, ma concentrarsi sulla conduzione sicura del business. A tal fine è necessaria una stretta collaborazione tra queste funzioni.

Quando un’organizzazione supera un approccio alla sicurezza informatica basato sulla conformità e, in una certa misura, sul rischio, la postura di sicurezza sarà più completa e si concentrerà sia sulla protezione dei dati (spesso una priorità per le organizzazioni IT) sia sulla prevenzione degli attacchi e sulla limitazione dell’impatto potenziale di un attacco (team InfoSec). In una recente indagine condotta da Cohesity abbiamo riscontrato un gap nella collaborazione tra questi team. I responsabili delle decisioni in materia di IT e security dovrebbero assumersi congiuntamente la responsabilità della strategia di sicurezza dei dati della loro organizzazione. Una strategia completa per la sicurezza dei dati unisce questi due mondi e colma questo divario fin dall’inizio.

La mia priorità successiva è stata quella di stabilire un quadro di controlli comuni che definisse la nostra postura di sicurezza mirata per le diverse superfici di attacco. Abbiamo combinato i framework NIST e CIS per garantire la completezza dei nostri controlli mirati. Poiché questi framework si concentrano sul funzionamento dei controlli, abbiamo dovuto definire indicatori di prestazione chiave (KPI) che misurassero l’efficacia di ciascun controllo e stabilire un accordo sul livello dei servizi (SLA) che definisse la nostra postura di sicurezza mirata nel nostro framework di controlli comuni.

cohesity-fortknox

Sfide CISO: rendere misurabili i progressi della sicurezza

I framework standard di settore come il NIST e il CIS sono completi e rappresentano un buon punto di partenza. Il problema di entrambi è che la descrizione dei controlli è basata sulle attività e non descrive come misurare l’efficacia del controllo. Il passo successivo è stato quello di riscrivere la definizione dei controlli in modo da descriverne l’intento (non l’attività di funzionamento) e chiarire come misurarne l’efficacia. Per molti controlli è semplice: “il controllo è efficace o non è efficace”, cioè i vostri dati sono criptati. Per altri esiste una gamma di efficacia in cui i KPI e gli SLA sono definiti come “efficace”, “prevalentemente efficace”, “parzialmente efficace” e “non efficace”. Questa flessibilità si traduce in una valutazione più accurata della postura di sicurezza.

Passare da un approccio basato sulla conformità a uno basato sul rischio

È essenziale che personale dirigente e consiglio di amministrazione abbiano una comprensione accurata della propria posizione di sicurezza e del livello di rischio esistente, in modo da poter prendere decisioni aziendali informate su come gestire al meglio tale rischio in linea con gli obiettivi aziendali. Come la maggior parte delle organizzazioni, “valutiamo” il rischio utilizzando la formula (probabilità * impatto), ma definiamo queste due componenti in modo diverso. Misuriamo l’impatto in dollari, indipendentemente dalla tipologia (brand equity, soddisfazione dei clienti, posizione di mercato). Questo crea un linguaggio comune e reale per gli imprenditori, a differenza di valutazioni concettuali come “critico”, “alto”, ecc.

La seconda modifica che apportiamo alla formula del rischio riguarda la probabilità. Quando valutiamo la probabilità, non stiamo valutando la probabilità di un fallimento del controllo o addirittura la probabilità di una violazione, ma stiamo valutando la probabilità che l’impatto si realizzi nei 12 mesi successivi. Concentrandosi sulle conseguenze r dell’impatto in dollari e collocandolo in un arco temporale di 12 mesi, si rende reale il livello di rischio di cui si è consapevoli.

Misurare la postura di sicurezza attuale in base alla superficie di attacco

Non esiste una sola superficie di attacco all’interno di un’organizzazione. Ne esiste più di una, ognuna con i propri controlli di sicurezza che creano posture di sicurezza specifiche. Quando identifichiamo una superficie di attacco, lavoriamo per comprendere i controlli pertinenti e le modalità di valutazione di tali controlli. Quindi, implementiamo un processo di valutazione continua che indica al team InfoSec l’efficacia dei controlli.

Questi dati confluiscono in una dashboard che fornisce una visione consolidata della postura di sicurezza sulle diverse superfici di attacco. Tale approccio supporta la comunicazione accurata della nostra attuale postura di sicurezza e dell’impatto che gli investimenti hanno avuto sul rafforzamento della stessa. Ciò consente di discutere con i responsabili aziendali il livello di rischio accettabile rispetto agli obiettivi aziendali e permette di valutare gli investimenti in sicurezza informatica rispetto ad altre opportunità di investimento.

CISO – Rafforzare la postura di sicurezza in un mondo multi-cloud

La maggior parte delle aziende, compresa Cohesity, segue una strategia cloud-first/SaaS first. Questo approccio può essere stressante per i CISO, poiché estende la postura di sicurezza al di là di ciò che possono controllare direttamente. Ciò richiede una stretta collaborazione con il business owner interno e con il partner, perché è possibile esternalizzare i controlli di sicurezza, ma non è possibile esternalizzare la responsabilità o il rischio. Assicurarsi che i partner cloud/SaaS soddisfino i requisiti di sicurezza è fondamentale: queste relazioni possono facilmente diventare l’area più debole della sicurezza. I partner devono rispettare le stesse policy e gli stessi standard di sicurezza degli operatori interni. Seguendo questo approccio, il CISO diventa un facilitatore per l’azienda e, parallelamente, rimane responsabile della postura di sicurezza. In questo modo, si affronta anche la proliferazione dello shadow IT.

Guardare al futuro

Abbiamo implementato una strategia cloud first che guiderà i nostri investimenti IT. Il piano è investire sul passaggio al cloud dove ciò ha senso: come molti leader e organizzazioni IT, abbiamo un livello di debito tecnologico da affrontare che ulteriori transizioni verso il cloud e lo sfruttamento delle capacità del cloud potrebbero aiutare a risolvere.

Dopo un anno di esperienza come CISO di Cohesity, posso affermare che siamo stati in grado di creare un’ottima base per costruire le nostre capacità di sicurezza informatica. I nostri team ITOps e SecOps lavorano a stretto contatto e sono co-proprietari dei risultati di resilienza informatica secondo i framework NIST e CIS. Continuiamo a rafforzare la nostra capacità di fornire risultati aziendali durante un incidente informatico, mantenendo un atteggiamento fortemente orientato sugli obiettivi RPO e RTO. Collaboriamo a stretto contatto con i responsabili aziendali e gestiamo efficacemente il rischio per la nostra organizzazione.