Intensificare le aspettative nei confronti dei CISO per mantenere la discrezione in merito alle violazioni della sicurezza
Nel panorama in costante evoluzione del cybercrimine, emerge una tendenza preoccupante: il numero crescente di incidenti di sicurezza informatica che vengono tenuti nascosti. Questo silenzio, secondo Martin Zugec, direttore tecnico delle soluzioni di Bitdefender, potrebbe essere una risposta ai cambiamenti nella modalità operativa dei criminali informatici.
La pressione per mantenere il silenzio sui problemi di sicurezza è così diffusa che più della metà (69%) dei CISO ha dichiarato di essere stato invitato a mantenere la riservatezza sui casi di violazione, come rivelato da un recente sondaggio di Bitdefender. Questo silenzio può avere conseguenze gravissime, come dimostrato dal caso di Joe Sullivan, ex Chief Security Officer di Uber, condannato per aver coperto un'infrazione della sicurezza nel 2016 e condannato alla libertà vigilata.
Il CIO spesso fa da guardiano per la segnalazione degli incidenti, con ogni incidente che richiede l'approvazione prima di poter essere elevato al team di leadership o al consiglio, indipendentemente dall'urgenza o dai tempi di conformità. Questo controllo centralizzato può portare alla pressione sui CISO per minimizzare o evitare la segnalazione dei problemi di conformità, un rischio che comporta responsabilità personali.
Un CISO è stato invitato a non segnalare una presunta violazione dei dati che coinvolgeva informazioni private perché "non era un loro problema" e l'azienda voleva preservare la relazione commerciale con un sito web esterno. Un altro CISO ha lasciato un precedente datore di lavoro dopo essere stato invitato a minimizzare un incidente di sicurezza e a esagerare le capacità di sicurezza.
La pressione per mantenere il silenzio è particolarmente intensa prima delle assemblee degli azionisti o dei rapporti finanziari trimestrali. La giustificazione è sempre la stessa: "Non è necessariamente un incidente di sicurezza informatica". Le decisioni finali sulla divulgazione vengono sempre prese senza il coinvolgimento del CISO.
Gli attacchi tradizionali di tipo ransomware che criptavano i dati e imponevano la divulgazione pubblica stanno diminuendo, secondo Zugec. Al contrario, gli attaccanti si concentrano sempre di più sul furto di dati senza interruzioni, rendendo le violazioni meno visibili ai clienti o al pubblico. Questa strategia furtiva può consentire alle aziende di nascondere le violazioni, aggravando ulteriormente il problema.
Le pressioni normative sui CISO provengono da diverse fonti, comprese le norme sulla protezione dei dati come il GDPR dell'UE e le norme sui mercati finanziari. La segnalazione tempestiva costituisce la base delle leggi sulla protezione dei dati. Le aziende possono minimizzare la pressione interna per non segnalare assicurandosi di avere un piano di risposta agli incidenti solido che promuova la trasparenza.
Anche quando viene utilizzata la crittografia, questa è spesso limitata all'infrastruttura di back-end. Un insider ha rubato 500 GB di dati sensibili di ingegneria e personali, ma non è stato segnalato perché etichettato come "solo dati rubati, non un hack". Questo sottolinea la necessità di misure di protezione dei dati complete che vadano oltre la crittografia.
I risultati delle ricerche non forniscono informazioni sul nome del CISO che è stato invitato a non parlare di un incidente di sicurezza lo scorso anno. Tuttavia, il caso serve come un promemoria
Leggi anche:
- Il leader giapponese si dimette prima del raduno del partito per decidere il suo destino
- Miglioramento del dialogo interattivo attraverso tecnologie di riconoscimento e sintesi vocale
- La competizione si intensifica per la scarsa posizione libera del Senato nel Minnesota, superando il calendario delle elezioni primarie
- Il leggendario portiere della NHL Ken Dryden, famoso per il suo periodo con i Montreal Canadiens, muore a causa di un cancro all'età di 78 anni.
