Le violazioni dei dati non andranno via. Con le minacce provenienti da stati nazionali, organizzazioni criminali e gruppi come Anonymous in aumento, stiamo assistendo a un maggior numero di CEO che riconoscono la necessità di assumere un Chief Information Security Officer (CISO) per guidare la sicurezza delle informazioni e la strategia di rischio.

Recenti violazioni di alto profilo hanno evidenziato la necessità di una maggiore consapevolezza della sicurezza delle informazioni dal dipendente medio al consiglio di amministrazione. Tuttavia, che cosa dobbiamo sapere sul ruolo del CISO? Abbiamo parlato con Bob West, Chief Trust Officer di CipherCloud, per scoprire i suoi pensieri.

TechRadar Pro: in un'azienda, la sicurezza e l'IT dovrebbero essere allo stesso livello?

Bob West: Generalmente no, ma dipende dalle dimensioni dell'organizzazione e dalla composizione dello staff tecnico. Potrebbe avere senso che un'azienda di 1.000 persone abbia IT e sicurezza nello stesso gruppo. Ma è logico che le aziende più grandi separino i ruoli e i team per scopi di ridimensionamento.

Alla fine della giornata, le responsabilità sono fondamentalmente diverse: la sicurezza protegge i beni dell'organizzazione; dà input sulle decisioni tecnologiche e sui possibili rischi che l'impresa deve affrontare. L'IT offre soluzioni tecnologiche.

TRP: qual è il ruolo di un CISO?

BW: Il CISO consiglia al team esecutivo su come l'organizzazione deve soddisfare i vari requisiti di sicurezza e privacy per svolgere attività nel settore e nei territori in cui opera. Il CISO supervisiona un team che insieme ha una visione a 360 gradi dei rischi che l'azienda deve affrontare e implementa le tecnologie e i processi di sicurezza necessari per ridurre al minimo i rischi per l'organizzazione.

TRP: come si confronta il ruolo del CISO con un CIO?

BW: Sopra, abbiamo coperto il ruolo del CISO. Ci sono alcune aree sovrapposte con il CIO, che guida la strategia tecnologica. Ad esempio, quando il gruppo tecnologico sta prendendo una decisione d'acquisto, è necessario coinvolgere il gruppo di sicurezza per controllare la tecnologia da un punto di vista della sicurezza.

TRP: quanto è importante il ruolo del CISO oggi?

BW: Il ruolo diventa sempre più importante con ogni violazione della sicurezza e vulnerabilità della sicurezza identificata. Le minacce sono state molto più aggressive e spaziano dagli stati nazionali alle organizzazioni criminali.

TRP: ogni organizzazione dovrebbe avere un CISO?

BW: Come ho accennato nella mia risposta alla prima domanda, le PMI potrebbero non aver bisogno di un CISO dedicato. In questi casi, potrebbe essere ragionevole per il CIO indossare anche il cappello CISO e lui / lei potrebbe avere un consulente per fornire una guida a tempo parziale.

TRP: La mancanza di un CISO è stato uno dei fattori principali che hanno contribuito alla famigerata violazione dei dati Target?

BW: Non è facile capire perché un'organizzazione della dimensione di Target non abbia utilizzato un CISO al momento, ma senza uno, è molto difficile garantire che le informazioni siano protette in modo coerente all'interno dell'azienda.

TRP: cosa possono fare altre organizzazioni per impedire il ripetersi di una violazione analoga?

BW: Assicurati che ci sia la leadership della sicurezza e il giusto livello di personale e budget, in modo che le informazioni possano essere adeguatamente protette. Le politiche che possono essere chiaramente comprese devono essere scritte per guidare l'intera organizzazione. Tutti dovrebbero capire cosa devono fare per proteggere le informazioni come parte del loro ruolo quotidiano. La protezione delle informazioni richiede la giusta combinazione di persone, processi e tecnologia.

TRP: cosa possono fare le aziende ora per migliorare la sicurezza del cloud indipendentemente dall'infrastruttura che hanno?

BW: Il più grande pericolo nel cloud è che le aziende pensano che i fornitori di servizi cloud abbiano una copertura di sicurezza o che non ci siano soluzioni per la sicurezza del cloud. Nel primo caso, i principali fornitori di cloud hanno sviluppato una solida sicurezza di rete e infrastruttura. Ad esempio, nel caso dell'e-mail, Google e Microsoft hanno implementato la crittografia SSL per proteggere i dati a livello di trasporto e questo è molto utile.

Ma proteggere i dati stessi fa un passo avanti ed è un must per le aziende nell'attuale clima aziendale. Alcuni di questi controlli per il cloud includono rilevamento delle applicazioni, crittografia, tokenizzazione come alternativa di mascheramento, prevenzione della perdita dei dati per impostare e applicare le politiche e monitoraggio per comprendere attività insolite.