Aumento dell'obbligo per i responsabili della sicurezza delle informazioni (CISOs) di mantenere la riservatezza in merito agli eventi di sicurezza informatica
Nel mondo frenetico della cybersecurity, il ruolo dei Chief Information Security Officers (CISOs) è diventato sempre più impegnativo. Si è manifestata una tendenza preoccupante, in cui i CISOs sono sottoposti a pressioni per nascondere gli incidenti di sicurezza, una pratica che potrebbe avere serie conseguenze per entrambe le aziende e l'intero settore.
Casi recenti hanno evidenziato questo problema. L'ex Chief Security Officer di Uber, Joe Sullivan, è stato riconosciuto colpevole di aver insabbiato una violazione della sicurezza nel 2016 e condannato alla libertà vigilata. In modo simile, Bryan Marlatt, un ex CISO, ha lasciato un precedente datore di lavoro dopo essere stato invitato a minimizzare un incidente di sicurezza e a esagerare le capacità di sicurezza nella SEC Form 10K.
Questa tendenza non è isolata. Più della metà (69%), secondo un recente sondaggio di Bitdefender, dei CISOs ha dichiarato di essere stato invitato a mantenere la riservatezza sui casi di violazione. Questo numero è significativamente più alto del 42% registrato in uno studio simile due anni fa.
Le ragioni di questa pressione sono molteplici. I dirigenti aziendali spesso cercano di nascondere gli incidenti, anche se è probabile che abbiano un impatto sui clienti o sui partner commerciali. La paura di danneggiare il marchio, di perdere la fiducia dei clienti e di affrontare cause legali può essere travolgente.
La pressione normativa gioca un ruolo significativo. Gli organi di regolamentazione possono utilizzare il silenzio per dimostrare un modello di non conformità e infliggere sanzioni consistenti. La pressione normativa proviene da diverse fonti, comprese le norme sulla protezione dei dati come i regolamenti generali sulla protezione dei dati dell'UE (GDPR) e le norme sui mercati finanziari. Altre norme come l'Act on Cyber Security and Resilience, DORA e NIS2 stanno aumentando la vigilanza normativa.
I CISOs corrono il rischio di responsabilità personale se non segnalano gli incidenti di sicurezza, nonostante la pressione per minimizzare o evitare la segnalazione dei problemi di conformità. Ad esempio, un ex CISO è stato invitato a non segnalare una presunta violazione dei dati che coinvolgeva informazioni riservate perché "non era un loro problema" e l'azienda voleva preservare il suo rapporto commerciale con un sito web di terze parti.
I cambiamenti nel modo in cui operano i criminali informatici potrebbero essere la ragione dell'aumento della pressione sui CISOs per mantenere segrete le violazioni. Gli attacchi tradizionali di tipo ransomware che criptavano i dati e imponevano la disclosure pubblica stanno diminuendo, secondo Martin Zugec, direttore tecnico delle soluzioni di Bitdefender. Al contrario, gli aggressori si concentrano sempre di più sul furto di dati senza interruzioni, rendendo le violazioni meno visibili ai clienti o al pubblico.
In un caso, i hacker hanno dirottato circa €50 milioni in pagamenti a fornitori SAP attraverso una violazione di terze parti e l'assenza di autenticazione a più fattori, non segnalata perché non rientrava nelle leggi dell'UE locali. Anche quando viene utilizzata la crittografia, viene spesso limitata all'infrastruttura backend, come nell'attacco recente del gruppo RedCurl che ha mirato specificamente aipervisori.
Le conseguenze del nascondere gli incidenti di sicurezza possono essere gravi. Il danno al marchio, la perdita della fiducia dei clienti e le cause legali possono essere parte delle conseguenze del nascondere gli incidenti. Inoltre, nascondere questi eventi potrebbe proteggere le aziende dagli effetti a breve termine, ma alla fine danneggia la trasparenza e l'integrità del settore oscurando le vere sfide della sicurezza informatica e ostacolando gli sforzi tempestivi di mitigazione.
Negli ultimi anni, le aziende sottoposte a una pressione maggiore per far nascondere gli incidenti di sicurezza ai loro CISOs tendono ad essere grandi imprese esposte a rischi reputazionali e normativi. Questa tendenza sottolinea la necessità di un cambiamento culturale verso la trasparenza e la responsabilità nelle pratiche di sicurezza informatica.
Leggi anche:
- "Masterizzare l'arte di mescolare il suono è quasi uguale all'importanza di ideare il tuo concetto musicale iniziale: guida per principianti nel mixaggio musicale"
- Espansione della presenza militare della Cina nella regione del Pacifico sudoccidentale e dell'Oceania
- Polk annuncia la sua partnership con il Lab 2.0 dopo la vendita di Upswing Poker a Club WPT Gold.
- Le principali nazioni africane progettano standard urbani puliti per il 2025
%20di%20mantenere%20la%20riservatezza%20in%20merito%20agli%20eventi%20di%20sicurezza%20informatica){kind=link}