Quando i CISO sono destinati a fallire e come aumentare le tue possibilità di successo

C’è una barzelletta che piace raccontare al crittografo Jon Callas: CISO sta per Chief Intrusion Scapegoat Officer, “perché i CISO sono spesso gettati in una posizione in cui non possono avere successo”. Callas, che è il direttore della tecnologia di interesse pubblico presso la Electronic Frontier Foundation, afferma che gli agenti di sicurezza sono spesso “contemporaneamente responsabili e impotenti”. Sanno cosa dovrebbero fare per mitigare i rischi, ma non possono ottenere abbastanza supporto.

Questa situazione minaccia di sopraffarli. Quasi il 90% dei CISO si considera sottoposto a stress moderato o elevato e molti cambiano spesso lavoro. Secondo il sondaggio globale di Heidrick & Struggles 2022, quasi un quarto dei CISO ha mantenuto la posizione precedente per meno di due anni e il 62% ha ricoperto il ruolo attuale per meno di un anno.

“È importante riparare le buche, perché prima o poi qualcuno cadrà nella buca”, dice Callas. “La maggior parte delle minacce che dobbiamo affrontare sono, in effetti, statistiche; stanno solo aspettando che qualcuno inciampi”.

Nonostante i miliardi di dollari persi ogni anno a causa della criminalità informatica, molte organizzazioni pensano ancora che l’assunzione di un CISO non sia altro che una casella da spuntare. Una volta che lo fanno, funzionano come se la sicurezza fosse risolta. “Le aziende devono capire che è a loro vantaggio sostenere il CISO”, aggiunge Callas. “E anche i CISO devono guadagnarsi la fiducia.”

I responsabili della sicurezza delle informazioni possono utilizzare strategie per aumentare le loro possibilità di successo e identificare le bandiere rosse. Ecco qui alcuni di loro:

Cerca i segni di un cattivo lavoro CISO

A volte, i candidati CISO possono individuare un cattivo datore di lavoro durante il processo di colloquio. “Non stai solo cercando di convincerli che sei la persona che dovrebbero assumere, ma li stai intervistando”, dice Callas. Il processo di reclutamento è proprio come la prova a conoscenza zero, perché nessuna delle parti vuole essere in anticipo su ciò che sta succedendo. Una delle priorità di Callas è capire quanto l’azienda si preoccupa della sicurezza, e lo fa ponendo domande dirette. Una volta, un dirigente con cui ha parlato ha ammesso che la direzione non voleva una protezione migliore.

Una tipica domanda che vengono poste ai potenziali CISO è cosa potrebbero fare in una situazione difficile come una violazione. Quando Callas sente questo, sorride e dice: “È successo davvero?” A volte dicono: ‘Oh, no, no, no’, in un modo che sai significa sì”, aggiunge, “e ogni tanto trovi la persona che si guarda intorno e dice: ‘Lascia che te lo dica cosa sta succedendo davvero.'”

Un’altra priorità dovrebbe essere capire a chi riferisce il CISO: il CEO, il CFO, il CTO o anche l’ufficio legale. “[This] ti racconta un po’ cosa si aspettano che tu faccia”, dice Chip Gibbons, CISO di Thrive.

Anche il ruolo della persona che conduce l’intervista può essere rivelatore. “Se vengo intervistato solo da persone all’interno della funzione IT e non da leader adiacenti, come il CFO o il chief people officer o il chief revenue officer, sarebbe una grande bandiera gialla per me”, afferma Eric Noonan, fondatore di CyberSheath e ex CISO per BAE Systems. “Non sono ancora arrivati ​​in termini di impegno culturale sulla questione della sicurezza informatica”.

È anche utile chiedere informazioni sulla posizione di rischio dell’organizzazione perché potrebbe aiutare a capire se la direzione ha pensato ai rischi per la sicurezza. “Voi [might] ottenere questo sguardo lontano nei loro occhi: ‘Eh, sì, quindi rischi per la sicurezza…'”, afferma David Stapleton, CISO di CyberGRX.

Altre domande potrebbero essere incentrate sul budget, sulle dimensioni del personale e sulla fidelizzazione dei dipendenti.

Negozia i KPI di sicurezza realizzabili e usa i numeri

Una delle prime cose che i CISO dovrebbero fare dopo aver ottenuto un lavoro è negoziare gli indicatori chiave di prestazione (KPI) e “assicurarsi che siano realizzabili”, afferma Michael Hamilton, co-fondatore e CISO di Critical Insight. “Un buon insieme di KPI realizzabili sta eliminando tutte le cose che devi fare ogni anno”.

Quindi, il CISO deve comprendere il livello di rischio tollerabile per quell’organizzazione. Devono anche fare una valutazione del rischio e tradurre in numeri i problemi che devono essere risolti. “Quando conduci una valutazione del rischio, trovi lacune nei controlli, e quindi dici: abbiamo un milione di record nel database qui, quindi abbiamo una potenziale responsabilità di $ 200 milioni”, afferma Hamilton. “Chiederò finanziamenti per i controlli per dimezzare quel rischio. Stiamo parlando di $ 100 milioni di riduzione del rischio per un esborso di $ 50.000”.

Le proposte per ridurre i rischi dovrebbero essere in linea con la missione dell’organizzazione e dovrebbero avere la priorità. “Devi inquadrare la tua richiesta in termini di cosa c’è in essa per quella persona e non per te”, afferma Trevin Edgeworth, direttore delle prove della squadra rossa di Bishop Fox.

Usa la conformità per sostenere la spesa per la sicurezza

I membri del consiglio di amministrazione e i dirigenti di livello C sono spesso difficili da convincere a destinare più fondi alla sicurezza informatica e parlare dell’importanza dell’autenticazione a più fattori potrebbe non sciogliere il loro cuore. Tuttavia, includere la conformità nella conversazione potrebbe dare peso a una proposta, perché tutti i manager, dalle risorse umane all’ingegneria, sanno che la conformità è essenziale per il business. “Cerco sempre di incoraggiare i CISO a raccontare la storia attraverso la lente della conformità, perché tutti comprendono la conformità”, afferma Noonan.

Trova persone che vogliono supportare il CISO

Ogni organizzazione ha persone che credono nella sicurezza e vogliono supportare il CISO. Il consiglio di Callas è di trovarli, lavorare con loro e aiutarli ad avere successo. Suggerisce anche di rivolgersi a un responsabile del dipartimento benevolo, chiedendo loro di assegnare una persona per un paio d’ore alla settimana per assistere il dipartimento di sicurezza. “I capi di solito dicevano: ‘Oh, sì, posso affrontare cinque ore'”, dice Callas. “Trova le cose che tutti concordano dovrebbero essere aggiustate, eppure nessuno lo sta facendo.”

Ogni progetto che un CISO aiuta dovrebbe essere visto come un’opportunità e dovrebbe essere celebrato. Come ha detto Callas, “trova un piccolo successo e inizia a capitalizzarlo”.

Questa strategia è in linea con quella di Tonia Dudley, promossa internamente a CISO presso Cofense. “Quando ho assunto questo ruolo per la prima volta, ho avuto immediatamente un paio di persone [within the company] allunga una mano e dì: ‘Ehi, vogliamo entrare in contatto con te'”, dice. “Quindi, una delle prime cose che ho detto loro è che parlo di collaborazione e partnership perché voglio assicurarmi di essere entrambi di successo”.

Lavorare come CISO significa anche essere di volta in volta un “terapista”. “Le persone verranno da te con le loro storie dell’orrore e senza sapere cosa sta succedendo, e devi lasciare che alleggeriscano i loro problemi”, dice Callas. “Devi dire, ‘Sì, è terribile, ma non sei una persona cattiva [because of that mistake]. Lavoriamo per renderlo migliore.'”

Impara ad avere conversazioni difficili sulla sicurezza

A nessuno piace contraddire una persona influente all’interno dell’organizzazione, ma a volte è necessario. “Devi imparare come entrare in una stanza e conversare davvero”, afferma Renee Guttmann, ex CISO di Coca-Cola, Time Warner e Campbell Soup. Ha suggerito la seguente struttura della frase: “Capisco la tua posizione. Penso che possiamo essere entrambi d’accordo su X, ma forse non siamo d’accordo su Y”. Un altro modo per dirlo è: “Posso vedere il tuo punto di vista, ma ecco un altro modo di vederlo”.

Guttman ha persino adottato una strategia per le situazioni in cui non è d’accordo con la persona a cui fa riferimento. Ogni volta che ciò accade, programmano un incontro con il CFO e il capo dell’ufficio legale, invitandoli a rompere il pareggio. A volte, il pensiero di affrontare un tale incontro può dissuadere il suo avversario.

Cerca voci dall’esterno

Nonostante le migliori intenzioni del CISO, a volte non riescono a farsi sentire. Quando ciò accade, un’idea è quella di contattare gli esperti. “A volte devi far emergere una voce dall’esterno per aiutarti a portare avanti la tua causa”, dice Guttmann.

Gibbons è d’accordo, aggiungendo che voci rispettate all’interno della comunità della sicurezza e consulenti possono sostenere i CISO, proprio perché sono al di fuori delle organizzazioni. “L’assunzione di consulenti è un buon modo per ottenere altre opinioni e convincere il consiglio di amministrazione o i dirigenti di livello C a fare ciò che deve essere fatto”, afferma. “Questo può sicuramente aiutare, anche se le persone si innervosiscono nel portare consulenti, che capisco”.

È anche positivo se il CISO ha un alto profilo all’interno della comunità della sicurezza informatica. “Sii rivolto verso l’esterno; fatti conoscere dai media e a livello regionale come relatore”, afferma Hamilton. “Più sembri integrato nella comunità della sicurezza, più puoi recuperare le informazioni che sono state condivise e diventi più prezioso per l’organizzazione”.

Invia tre note di ringraziamento di venerdì

Connettersi con le persone può essere scoraggiante perché molti CISO hanno un background altamente tecnico ma non hanno posto molta enfasi sulle competenze trasversali. Essere un CISO efficace non significa solo risolvere problemi tecnici. Spesso implica la risoluzione di problemi aziendali e problemi delle persone.

“I CISO probabilmente devono concentrarsi maggiormente sulle competenze delle persone”, afferma Ken Deitz, CISO di SecureWorks. “È difficile, perché le persone che tendono ad avere una carriera in un campo altamente tecnico tendono ad essere un po’ più introverse di altre”. Un modo per migliorare le abilità delle persone è esercitarsi. “Inizia a presentarti e inizia a provare a costruire un’agenda attorno alla costruzione del rapporto”, dice. “Quando vieni a una riunione, assicurati di venire con la mentalità che il tuo lavoro è quello di aiutare a rendere il loro lavoro più facile, e scoprirai che ricambieranno abbastanza rapidamente dopo”.

Forse il modo più semplice per entrare in contatto con le persone è mostrare loro che apprezzi il loro lavoro. Guttmann aveva l’abitudine di inviare tre biglietti di ringraziamento ogni venerdì a un membro del team, un collega che lavorava nell’infrastruttura o un cliente. “E ogni volta che c’è un evento, devi assicurarti di avere diapositive che riconoscano le altre squadre”, afferma Guttmann.

Trae forza dalla sua squadra. “Sono sempre stato responsabile della sicurezza delle informazioni; non sono mai stato Renee.”

Cerca tutoraggio

I tutor possono aiutare i CISO a sentirsi supportati e talvolta offrono prospettive e punti di vista diversi. Ogni volta che entra in una nuova posizione, la prima cosa che Stapleton fa è guardarsi intorno per identificare un potenziale mentore. È particolarmente interessato alle persone con carriere impressionanti in grado di bilanciare lo stress. Quindi va da quella persona e chiede tutoraggio. “Non sono mai stato rifiutato una volta”, dice, “e non penso che sia a causa di qualcosa di speciale che sto dicendo o facendo. Penso che sia in parte perché è una cosa piuttosto lusinghiera”.

Sicurezza di gioco

A volte, non fa male “gamificare” la sicurezza. Edgeworth consiglia di trovare metriche pertinenti e introdurre premi come magliette, medaglie o trofei per i quali i team interni possono competere. Ad esempio, la squadra che segnala il maggior numero di tentativi di phishing vincerà un premio. “Poi, ogni mese, emetti un premio”, dice. “Ho anche conosciuto un CISO che ha il trofeo di un pesce.”

La strategia può essere efficace. “Non crederesti alla rapidità con cui ci hanno acquistato”, aggiunge Edgeworth. “[The team leads] torna dai loro team e dì: segnalerai ogni singolo phishing e non farai clic su nessun phishing”.

Combatti la sindrome dell’impostore

Nonostante la serenità e il senso dell’umorismo del CISO, la complessità del lavoro rende questi professionisti suscettibili alla sindrome dell’impostore. “È un campo così ampio e ci sono così tante cose diverse che devi provare a mettere le mani intorno”, dice Stapleton. “Le persone possono essere esperte in migliaia di diverse aree di nicchia della sicurezza informatica, quindi siamo costantemente confrontati con i nostri colleghi che sembrano sapere cose che noi non sappiamo”.

Questo può intimidire le persone che non conoscono il ruolo CISO. “Devi trovare un modo per abbassare il volume di quella voce interiore negativa, dubbiosa”, aggiunge Stapleton.

La sindrome dell’impostore è significativa nella sicurezza informatica e può ostacolare la capacità di chiunque di portare a termine il lavoro. A volte, cercare la convalida o il riposo può aiutare.

Sapere quando smettere

Ci sono anche situazioni in cui i CISO non possono più muovere la palla in avanti. “Se stai costantemente cercando di fare il punto nel migliore interesse dell’azienda e non vieni ascoltato, se ritieni che altri colleghi esecutivi ti minaccino, queste sono indicazioni di una scarsa cultura della sicurezza all’interno di un’organizzazione”, afferma Stapleton . “E se è a livello di leadership, è molto difficile capire e cambiare”.

Callas è d’accordo: “Se sei solo Sisifo, se stai spingendo la roccia in salita, e scivola di nuovo verso il basso, potrebbe sembrare che non ci siano progressi, potresti anche semplicemente dire: voglio andare da qualche altra parte”.

Copyright © 2022 IDG Communications, Inc.

Leave a Comment

Your email address will not be published. Required fields are marked *