CISO sotto stress: cosa fare al riguardo. Un contenuto esclusivo a cura di Shamla Naidoo, CSO, Head of Cloud Strategy and Innovation, Netskope.
Lo stress nella cybersecurity è un problema che riguarda tutto il settore. La prossima grande minaccia alla sicurezza aziendale potrebbe non essere un nuovo malware o nuove tattiche o tecniche da parte di cyber criminali. Potrebbe riguardare la salute mentale dei CISO (Chief Information Security Officer).
Il ruolo del CISO è infatti uno dei più sfidanti in qualsiasi organizzazione e questa funzione, ampiamente diffusa in ogni tipo di azienda e settore industriale, si trova sull’orlo di una crisi imminente indotta dallo stress.
Un ruolo “giovane” quello del CISO
Ciò che rende unica la posizione del CISO rispetto ad altri ruoli aziendali è la sua relativa “giovinezza”. La maggior parte degli altri ruoli in un’organizzazione moderna (CEO, CFO e COO) esiste da decenni, quindi, questi ruoli consolidati risultano ben definiti, con processi specifici che garantiscono il corretto funzionamento delle loro funzioni.
Al contrario, dal CISO in giù, i ruoli della sicurezza sono nuovi e immaturi rispetto a molte altre posizioni aziendali, così il CISO finisce spesso per assumersi la responsabilità di tutto ciò che potrebbe andare storto nella presenza digitale di un’organizzazione.
Se i dati degli utenti vengono compromessi, il CISO può essere ritenuto responsabile di tutte le implicazioniderivanti relative alla conformità, al servizio clienti e al brand. Se i pagamenti fraudolenti vanno a buon fine, le ricadute finanziarie possono essere imputate ancora una volta al CISO. Se i macchinari vengono danneggiati o i processi vengono interrotti a causa di un ransomware o di un altro attacco, è un problema del CISO. Se i dipendenti inseriscono i dati aziendali nel cloud, anche se i team di sicurezza non sono a conoscenza del trasferimento dei dati in corso, è ancora responsabilità del CISO. E se qualche tipo di minaccia nuova e precedentemente sconosciuta compromette i sistemi in modi che nessuno avrebbe potuto prevedere, ancora una volta: è responsabilità del CISO.
La maggior parte dei CISO non ha un piano chiaro per preparare la propria organizzazione a difendersi dalla moltitudine di minacce che potrebbe dover affrontare. Non esiste nemmeno una job description del lavoro che il CISO dovrebbero compiere. In un’azienda, il controllo degli accessi potrebbe rientrare nel dominio del CISO, mentre in un’altra organizzazione potrebbe appartenere al team di rete.
Le aspettative che gravano sulle spalle del CISO
I C-level potrebbero non avere aspettative realistiche sul grado in cui i team di sicurezza informatica possono garantire la sicurezza dei dati e delle applicazioni aziendali. Il team esecutivo e il board spesso si aspettano che il CISO abbia una risposta immediata a ogni domanda. L’organizzazione può utilizzare centinaia di applicazioni e strumenti, accumulati nel corso di decenni, ma CEO, CFO, COO si aspettano che il CISO conosca tutti i passaggi che il team di security ha intrapreso per proteggerli. Se non riesce a rispondere subito, le sue prestazioni lavorative potrebbero essere messe in discussione.
Le aspettative dei clienti in merito alla consegna tempestiva di prodotti e servizi, e anche alla privacy e alla riservatezza dei dati, tracciano una linea diretta tra l’efficacia del team di sicurezza e le entrate aziendali. E poi c’è l’aspetto normativo. Ci si aspetta che i CISO dimostrino l’approccio di security dell’organizzazione alle agenzie regolatorie.
Per alcuni CISO, questi fattori di stress sono aggravati ulteriormente da un sentimento di responsabilità verso la comunità o la nazione. Dagli oleodotti, agli uffici governativi, alle strutture sanitarie, abbiamo visto come un ransomware possa paralizzare infrastrutture critiche. Ecco allora che anche la sicurezza nazionale è all’ordine del giorno del CISO. È un rischio che i CISO non sono stati addestrati a gestire, ma ciò non significa che possiamo ignorarlo.
Le implicazioni sulla salute mentale
Tutti questi fattori messi insieme creano un clima di costante pressione sui CISO e i team di sicurezza informatica. Dal punto di vista della salute mentale, questo ha un impatto enorme. Sfortunatamente, in azienda le funzioni di sicurezza non hanno in genere una missione chiara, una base di conoscenze o strutture di supporto che altre organizzazioni sottoposte ad elevato stress, come le forze armate, hanno costruito nel corso dei secoli.
Ciò ha causato in molti CISO problemi di salute mentale. Molti di loro evitano di parlare delle conseguenze che questa professione provoca sulla salute mentale. Per alcuni CISO il solo fatto di chiedere aiuto verrebbe percepito come una mancanza di competenza e capacità.
Tuttavia, lasciare che i problemi di salute mentale peggiorino può avere ripercussioni disastrose. Una conseguenza potrebbe essere il burnout tra i responsabili della sicurezza e il loro staff, una situazione questa che molti stanno già sperimentando in una certa misura. Un’altra conseguenza è che alcuni giovani scelgono di non intraprendere una carriera nella security perché non vogliono dover sopportare elevati livelli di stress. Entrambe queste tendenze contribuiscono ad aumentare la carenza di personale specializzato nella security di cui i media parlano da qualche anno.
Un’altra conseguenza molto allarmante riguarda alcuni CISO che affrontano lo stress da lavoro auto-curandosi o abusando di alcol. All’inizio del 2019, prima della pandemia, Forbes ha pubblicato i risultati di un sondaggio in cui 1 CISO su 6 ha ammesso di rivolgersi a queste opzioni per affrontare lo stress da lavoro. E probabilmente molti altri non l’hanno ammesso.
Cosa fare per combattere lo stress?
Le aziende devono affrontare questo problema per due motivi: per avere risorse in grado di garantire una risposta adeguata quando è in gioco la sicurezza aziendale e per attrarre e mantenere i migliori talenti della sicurezza informatica. CEO, CFO e COO devono riconoscere il livello di pressione a cui i CISO e i loro team sono sottoposti ogni giorno. Devono promuovere un sano equilibrio tra lavoro e vita privata per le risorse della security e devono assicurarsi che l’azienda fornisca un ambiente sicuro per avanzare richieste di supporto e garantire il benessere mentale dei propri dipendenti. E devono anche cercare e finanziare programmi di sostegno che forniscano ai CISO strumenti semplici per gestire lo stress.
Occorre sensibilizzare i leader aziendali nel contattare i loro CISO in modo proattivo e senza alcun giudizio di sorta. Gli amministratori delegati dovrebbero riconoscere che questo lavoro è difficile e molti CISO e i team di sicurezza stanno affrontando preoccupazioni legittime: non è semplice parlare di queste nuove sfide per la salute mentale.
I CISO che stanno lottando contro questo malessere e non se la sentono di chiedere aiuto, devono sapere che ci sono risorse disponibili. Lo stress non andrà mai via completamente, ma ci sono metodi che possono aiutare a mitigarlo. Si tratta di un problema a livello di settore più comune di quanto si possa pensare.