La cybersecurity sta diventando sempre più complessa, il che comporta un aumento delle responsabilità e, quindi, delle figure di esperti di cybersecurity all’interno delle organizzazioni. Recentemente, l’Agenzia dell’Unione Europea per la Cybersecurity (ENISA) ha pubblicato un report che identifica 12 ruoli chiave nella cybersecurity. In questo articolo verranno esaminate e descritte le principali sfide che ciascuno di questi profili deve affrontare quotidianamente.
CISO
La figura del Chief Information Security Officer (CISO) è una delle più recenti. È apparsa come risposta al processo di trasformazione digitale, quando il ruolo dell’Information Security si è trasformato da supporto a guida. Gestendo la strategia di cybersecurity dell’azienda e la sua implementazione all’interno della stessa, il Chief Information Security Officer garantisce la condivisione delle informazioni sia con gli enti esterni che tra i team interni, compreso il consiglio di amministrazione.
La strategia di cyber security è unica per ogni azienda. Mettere in piedi una strategia non significa riutilizzare le best practice di organizzazioni di un determinato tipo, dimensione o verticale. Innanzitutto, è necessaria una chiara comprensione della security posture attuale dell’azienda. Pertanto, per il Chief Information Security Officer è fondamentale valutare gli aspetti tecnici e non della sicurezza. A seconda del contesto e degli obiettivi di business dell’impresa, il CISO può utilizzare il NIST CSF 2.0, il National Cybersecurity Framework italiano, l’ISO 27001, il NERC CIP ed altri standard di cybersecurity riconosciuti a livello globale e locale per valutare i processi di sicurezza aziendali, le policy, le procedure e il modo in cui sono formalizzati e applicati quotidianamente.
Definire policy di sicurezza in modo che tutti i membri dell’azienda possano comprenderle. Il numero di policy non sottintende il successo della loro implementazione. Uno dei compiti del Chief Information Security Officer è quello di adattare le policy di sicurezza alla realtà e alle esigenze dell’azienda, evitando ciò che non è pertinente per via della struttura organizzativa o delle dimensioni.
“Nel corso degli anni abbiamo accumulato numerose policy di cui quasi nessuno era a conoscenza o che molti potrebbero non avere mai letto. Alcune erano difficili da capire e questo ha indubbiamente portato a qualche intoppo lungo il percorso”, ha commentato Stefano Santucci, CIO di Ansaldo Energia , “Questo aspetto non va sottovalutato: le policy devono essere scritte in termini semplici e con un linguaggio chiaro, evidenziando le aree più critiche dell’azienda, come la messa in sicurezza dei dati più sensibili”
Cyber Incident Responder
Con gli incidenti di cybersecurity che si verificano ogni 39 secondi, è solo questione di tempo prima che un’azienda venga attaccata. Per questo motivo, all’interno dell’organizzazione deve esserci qualcuno che gestisca gli incidenti, li analizzi, li valuti e ne limiti l’impatto sull’ambiente aziendale. Si tratta del Cyber Incident Responder, la persona responsabile del rilevamento e della risposta agli incidenti responsabile del rilevamento e della risposta agli incidenti, che si occupa anche di ripristinare il pieno funzionamento dei sistemi dopo un attacco e di correggere le policy in modo che questo non si ripeta.
Preparare in anticipo un piano di emergenza informatica. Quando si verifica un incidente, ogni minuto è importante per ridurre al minimo l’impatto finanziario, reputazionale e operativo che questo può avere sull’azienda. Come per gli incendi ed altre situazioni di emergenza, anche un piano di Incident Response deve essere sviluppato in anticipo, in modo che le aziende possano tornare operative il prima possibile. Può sembrare un’esagerazione, ma un incidente che si verifica di giorno o di notte può richiedere il coinvolgimento di diverse persone e una diversa sequenza di interventi.
Test regolari del piano di Incident Response. Essere responsabili del monitoraggio della sicurezza in un ambiente aziendale in continua evoluzione significa che colui che è incaricato del rilevamento e della risposta agli incidenti deve valutare e testare nella pratica l’Incident Response plan esistente per assicurarsi che sia pertinente ed efficace.
Cyber Legal, Policy and Compliance Officer
Con l’avanzare della trasformazione digitale, anche la cybersecurity si evolve, dando luogo a diverse normative che mirano a mantenere dati, beni e processi sicuri e protetti per l’azienda, le persone e l’ambiente. La conformità a questi standard di sicurezza è spesso obbligatoria e richiede quindi il supporto di un consulente legale in materia di cybersecurity, un DPO o una figura simile. Questo tipo di professionista fornisce consulenza legale e garantisce che le policy di gestione della cybersecurity e le strategie di remediation dell’organizzazione siano coerenti dal punto di vista legale e di business.
Applicare standard e normative di settore. Mentre alcuni standard di sicurezza informatica, come il GDPR e l’ISO 27001, sono ben consolidati, ne stanno emergendo di nuovi per i settori OT ed automotive. Ad esempio, la normativa UNECE R155-156, in vigore per tutti i nuovi modelli di auto a partire da luglio 2022, richiede agli OEM, ai loro fornitori e all’aftermarket di individuare e risolvere i problemi legati alla cybersecurity, implementando sistemi di gestione della sicurezza informatica e aggiornamenti del software. Con solo il 30% dei fornitori del settore automotive che dispone di un programma o di un team di cybersecurity ben consolidato, il Cybersecurity Compliance Officer svolge sicuramente un ruolo fondamentale nel supportare i fornitori nel compiere i loro prossimi passi verso il successo in un mercato automobilistico in continua trasformazione.
Cyber Threat Intelligence Specialist
I cyber attacchi spesso iniziano con un clic, quando qualcuno apre un link di phishing o scarica un allegato dannoso. Mentre la maggior parte delle violazioni dei dati è dovuta alla disattenzione dei colleghi, un’altra buona parte è accuratamente pianificata in anticipo. Quando i criminali informatici sono alla ricerca di dati sensibili da esfiltrare, possono passare giorni o addirittura settimane a cercare informazioni sul loro target, sfruttando canali open source o il dark web. Il Cyber Threat Analyst identifica e monitora la digital footprint dell’azienda per mitigare i rischi di sicurezza esistenti e rilevare i primi segnali di attacco.
Esaminare i threat actor, le loro TTP e campagne. Ogni threat actor utilizza una combinazione unica di tattiche, tecniche e procedure (TTP). Questi attributi distintivi – ben raccolti e aggiornati nella knowledge base globale MITRE ATT&CK – aiutano a riconoscere gli attori malevoli anche dopo anni di silenzio. Capire con quale threat actor ha a che fare un’azienda aiuta a determinare se quest’ultima sia il target finale o meno, a considerare gli eventi non informatici che possono far parte di una campagna e a determinare la migliore strategia di difesa.
Report utili per ridurre i rischi. Una volta chiariti i rischi informatici, è necessario avere un piano d’azione per prevenire l’ulteriore sviluppo dell’attacco. Il Cyber Threat Intelligence Specialist è responsabile di tale piano, che dovrebbe includere – tra i numerosi aspetti – la revisione di controlli e procedure di sicurezza. Un riesame periodico del piano è un fattore importante per garantire che le misure di mitigazione continuino ad essere adeguate.
Cybersecurity Architect
La trasformazione digitale e la conseguente diffusione di modelli di lavoro ibrido innescata dalla pandemia ha portato all’utilizzo di una serie di sistemi digitali nelle aziende. Questi includono dispositivi aziendali e personali, applicazioni cloud, servizi, device IoT e altri asset in ambienti IT e OT. I Cybersecurity Architect contribuiscono a garantire che tutte le aree siano protette in ogni momento e in modo efficace.
Sicurezza-by-design. I Cybersecurity Architect progettano e aggiornano continuamente strategie e architetture basate su diversi principi. Tra questi, la riduzione al minimo della potenziale superficie di attacco, la separazione dei ruoli degli utenti all’interno dell’organizzazione, la concessione di diritti di accesso adeguati e la corretta gestione dei problemi di sicurezza emergenti.
Revisione continua dell’architettura. Ogni nuova applicazione, tecnologia o cambiamento organizzativo si ripercuote sull’architettura di sicurezza complessiva e richiede quindi che il Cybersecurity Architect riveda quella esistente.
Cybersecurity Auditor
A differenza di un Cyber Compliance Officer che si occupa degli aspetti legali della cybersecurity, un Cybersecurity Auditor conduce concretamente audit di sicurezza . Effettua colloqui, valuta le policy e le procedure esistenti ed analizza, testa e verifica le tecnologie di sicurezza in uso per assicurarsi che soddisfino i requisiti normativi.
Definire un percorso per raggiungere il livello di sicurezza desiderato. La maturità della sicurezza di un’azienda non dipende dalle sue dimensioni, dagli anni di attività o dal numero di tecnologie in uso. Essa deriva invece dalla comprensione dell’attuale livello di vulnerabilità attraverso l’analisi del modello di gestione della sicurezza e della sua efficacia. Il Cybersecurity Auditor aiuta il CISO e il Compliance Auditor ad identificare e dare priorità ai security gap esistenti e a costruire un piano d’azione per raggiungere il livello di sicurezza desiderato, progettando ed eseguendo le varie fasi di audit.
Cybersecurity Educator
Tutti nell’organizzazione, dal top manager all’amministratore, utilizzano applicazioni, hanno accesso a Internet e lavorano quotidianamente con i dati. Ciò significa che la sicurezza informatica richiede la partecipazione di tutti i dipendenti dell’azienda. Il Cybersecurity Educator sensibilizza gli utenti sui rischi cyber, aiutandoli ad acquisire le competenze necessarie per comportarsi in modo sicuro nel cyber spazio.
Raggiungere più target all’interno dell’organizzazione. Tecnici, venditori, contabili, marketer o top manager: tutti loro hanno responsabilità, contesti lavorativi ed esperienze digitali diverse. Il compito di un Cybersecurity Educator è quello di mettere in contatto persone con ruoli ed entry level differenti per aiutarle a comprendere i rischi e ad acquisire skill e buone abitudini per utilizzare in modo sicuro le risorse e le applicazioni aziendali, gestire i dati sensibili e segnalare attività sospette.
Introdurre un contesto realistico. Per creare un programma di formazione efficace, i Cybersecurity Educator devono darsi da fare. Una struttura organizzativa realistica, esempi basati su interfacce familiari, mansioni e task quotidiani reali favoriscono un apprendimento più rapido. Simulazioni regolari di attacchi di phishing – create appositamente sulla base di reali minacce malware rivolte ad un’azienda – manterranno gli utenti informati e miglioreranno le loro competenze in materia di cybersecurity.
Cybersecurity Implementer
Il principio “installa e dimentica” non è più applicabile alle tecnologie di cybersecurity. Senza un’adeguata messa a punto, queste non saranno mai efficaci come ci si aspetta. Il Cybersecurity Implementer aiuta ad integrare le soluzioni di sicurezza informatica nell’infrastruttura aziendale, implementandole, testandole e occupandosi della loro manutenzione, in modo che funzionino correttamente ed apportino il massimo valore all’azienda.
Trovare l’equilibrio. Le tecnologie di sicurezza spesso funzionano autorizzando le azioni che vengono inserite nella whitelist e bloccando quelle inserite nella blacklist. Uno dei compiti di un Cybersecurity Implementer è trovare un equilibrio, per garantire un controllo affidabile, ma senza rallentare i processi aziendali.
Revisione della sicurezza post-pandemia. La pandemia ha sconvolto la sicurezza aziendale in molti modi. Nel tentativo di garantire l’esecuzione dei processi aziendali con qualsiasi mezzo, le organizzazioni sono passate in modo massiccio alle applicazioni cloud, consentendo l’accesso alle risorse aziendali da dispositivi personali e reti domestiche. Nell’era post-COVID, molte imprese stanno trovando un equilibrio con un modello operativo ibrido, consapevoli che il perimetro aziendale con le sue rigide policy di accesso non tornerà indietro. Ciò richiede ai Cybersecurity Implementer di ripensare in modo significativo l’approccio alla sicurezza nelle loro aziende, adattandosi alla nuova realtà e alle richieste di maggiore flessibilità da parte degli utenti.
Cybersecurity Researcher
La digitalizzazione sta trasformando interi settori, dove nuove tecnologie aiutano le aziende a distinguersi dalla concorrenza. I Cybersecurity Researcher promuovono un approccio innovativo alla cybersecurity e collaborano con gruppi multi-stakeholder per aggiornare e rinnovare gli ambienti IT, OT e IoT delle imprese.
Innovare in tempo. Perché cambiare qualcosa se sono già state adottate misure di sicurezza e non si sono verificati incidenti gravi? Poiché i criminali informatici perfezionano costantemente i loro strumenti e metodi di attacco, le tendenze della sicurezza informatica cambiano molto rapidamente. Invece di aspettare incautamente di essere vittima di un attacco informatico, il Cybersecurity Researcher studia i trend e cerca i modi più efficaci per aumentare la resilienza dell’azienda.
Security scouting. L’approccio alla cybersecurity di una società di telecomunicazioni o di un produttore di energia è diverso da quello di una catena di supermercati o di un fornitore di colonnine di ricarica per auto. Anche la maturità e gli obiettivi aziendali possono variare in modo significativo. Ciò significa che le esigenze di sicurezza delle organizzazioni spesso sono così specifiche da non poter essere soddisfatte da una soluzione standard. I Cybersecurity Researcher ricercano e valutano le tecnologie più adatte al fine di garantire che tutti i miglioramenti introdotti negli ecosistemi aziendali siano sicuri dal punto di vista informatico.
Cybersecurity Risk Manager
I rischi informatici sono aumentati e redistribuiti perché la pandemia ha accelerato “l’erosione” del perimetro aziendale. Dal proteggere le workstation e i server – che per anni sono stati punti di ingresso prediletti dei cyber criminali – si è passati ad un controllo più granulare dell’accesso ai dati. Questo è solo un esempio delle responsabilità dei Cybersecurity Risk Manager, che devono costantemente identificare, analizzare, valutare, dare priorità e mitigare i rischi di cybersecurity nelle infrastrutture, nei sistemi e nei servizi aziendali.
Prioritizzare i rischi e le criticità degli asset. Quando si utilizzano diversi sistemi digitali, è quasi impossibile garantire la stessa protezione per tutti. Per questo motivo, oltre ad identificare e prioritizzare i rischi per la sicurezza, i Cybersecurity Risk Manager danno priorità ai sistemi aziendali in base alla loro criticità, scegliendo le strategie di difesa più efficaci.
Dalla protezione alla resilienza. La resilienza informatica è tanto maggiore quanto più le infrastrutture IT e OT sono in grado di resistere a qualsiasi cambiamento, modifica e stress – compresi gli attacchi informatici – e di tornare rapidamente ad uno stato di stabilità e operatività. Pertanto, la valutazione dei rischi di sicurezza in termini di cyber resilience è uno degli obiettivi del Cybersecurity Risk Manager.
Forensics Investigator
Quando si verificano incidenti di sicurezza informatica, le aziende devono segnalarli e analizzarli in modo adeguato. Secondo il GDPR, per esempio, le aziende hanno solo 3 giorni di tempo per farlo. Il Forensics Investigator ricerca tutte le prove informatiche a sostegno di attività dannose.
Prova a prendermi. Spesso le aziende scoprono di aver subito un attacco informatico quando è troppo tardi: dati rubati, macchine criptate, processi aziendali e di produzione alterati. In molti casi, i cyber criminali agiscono durante il fine settimana per coprire le loro tracce e lasciare meno prove possibili dell’attacco. Ecco perché la raccolta di dati di qualità per l’analisi, la ricostruzione e l’interpretazione delle digital evidence è una delle maggiori sfide per il Forensics Investigator.
Penetration Tester
Non è necessario aspettare che si verifichi un vero e proprio attacco informatico per testare la solidità dei sistemi di sicurezza informatica di un’azienda. I Penetration Tester ne valutano l’efficacia identificando le vulnerabilità, valutandone la criticità e le possibilità di sfruttamento.
Esperienza verticale. Poiché le infrastrutture critiche, gli impianti industriali e i veicoli sono sempre più connessi, ai Penetration Tester sono richieste competenze verticali sempre più specifiche. Oltre a comprendere le differenze fondamentali tra cybersecurity IT e OT, devono essere in grado di lavorare in ambienti delicati e critici anche per la sicurezza fisica.
Scegliere le modalità e le tecniche giuste. La capacità di comprendere e quindi applicare diverse modalità di penetration test (come black o white box), combinandole con Vulnerability assessment automatici e manuali, è un’altra sfida che contraddistingue un Penetration Tester esperto.
Le organizzazioni più piccole spesso non riescono a coprire alcuni ruoli chiave della cyber security, trovandosi a doverli combinare e a svolgere contemporaneamente più ruoli con un numero limitato di persone. Non sorprende che questo metta sotto pressione gli esperti cyber, trasformando stress e burnout nei rischi personali più significativi del loro ruolo.
HWG Sababa è in grado di mettere a disposizione tutti i sopra citati profili di cybersecurity per i business di tutte le dimensioni, al fine di aiutare i team di sicurezza a svolgere le funzioni di cui le aziende hanno più bisogno.
