Come creare un team di sicurezza informatica altamente performante per la tua azienda
di
Ultimo aggiornamento:
9 Tempo di lettura: 9 min
I punti chiave da prendere in considerazione
- Un team di sicurezza informatica efficace si basa su ruoli e responsabilità chiaramente definiti, non solo sul numero di membri.
- Assumete le persone in base alla loro curiosità, alla loro capacità di adattamento e alle loro doti comunicative, poi investite nella formazione continua e nelle certificazioni.
- Assegnare la responsabilità specifica della sicurezza della posta elettronica, compresa la gestione di SPF, DKIM e DMARC.
- Misurate l'efficacia del team utilizzando indicatori basati sui risultati, quali MTTD, MTTR e la resilienza al phishing.
- Considerate la sicurezza informatica come un investimento continuo, aggiornando regolarmente le strutture dei team, le competenze e i processi di sicurezza.
La maggior parte delle aziende ritiene che disporre degli strumenti di sicurezza adeguati significhi avere la sicurezza sotto controllo. Un firewall qui, una soluzione antivirus là, magari un SIEM se si sentono ambiziose. Ma se si osservano le organizzazioni che subiscono le violazioni più gravi, il problema raramente risiede nella tecnologia. Sono le persone e la struttura che stanno dietro a essa.
La creazione di un team di sicurezza informatica efficace non dipende dal numero di dipendenti. Ciò che conta è garantire la copertura delle funzioni giuste, disporre delle competenze adeguate e promuovere una cultura in cui la sicurezza sia considerata una priorità aziendale a tutti i livelli. Sia che si parta da zero, sia che si cerchi di potenziare un team di sicurezza informatica già esistente, i principi sono gli stessi: prima la struttura, poi le competenze e, infine, un investimento continuo in ogni fase del processo.
Ecco come affrontare ogni fase.
Perché ogni azienda ha bisogno di un team dedicato alla sicurezza informatica
L'attenzione si è spostata sulle piccole imprese
Le minacce informatiche non sono più un problema riservato alle grandi imprese. Le piccole e medie imprese sono ormai tra le organizzazioni più prese di mira proprio perché gli autori degli attacchi sanno che è meno probabile che dispongano di sistemi di difesa consolidati. Secondo i dati del settore, la maggior parte delle violazioni dei dati coinvolge organizzazioni con meno di 1.000 dipendenti. L’idea che un’azienda sia troppo piccola per meritare un attacco è uno dei pregiudizi più pericolosi nel campo della sicurezza odierna.
Il costo di una violazione va oltre l'incidente stesso
Anche il panorama delle minacce ha subito cambiamenti significativi. Gli autori degli attacchi non si affidano più esclusivamente alle intrusioni con forza bruta. Le campagne di phishing, il ransomware-as-a-service, le violazioni della catena di approvvigionamento e le frodi tramite e-mail aziendali sono ormai sofisticate, scalabili e spesso automatizzate. Un singolo attacco riuscito può comportare sanzioni normative, responsabilità legali, danni alla reputazione e tempi di inattività operativa che costano molto di più di quanto costerebbe l’investimento in un team di sicurezza informatica adeguato.
Conformità e pressione concorrenziale
I requisiti di conformità stanno esercitando un’ulteriore pressione. Normative quali il GDPR, l’HIPAA, lo SOC 2 e la norma ISO 27001 richiedono sempre più spesso alle organizzazioni di dimostrare di disporre di controlli di sicurezza formali e di figure responsabili. Superare un audit o ottenere una certificazione è difficile senza un team di sicurezza informatica che gestisca quotidianamente tali controlli. Per le aziende che servono clienti aziendali o operano in settori regolamentati, disporre di una funzione di sicurezza matura sta rapidamente diventando un requisito commerciale, non solo una best practice.
Al di là dei rischi e della conformità, un team di sicurezza informatica ben strutturato rappresenta un vero e proprio vantaggio competitivo. Consente alla vostra azienda di aggiudicarsi contratti aziendali che richiedono questionari sulla sicurezza, di superare le verifiche di due diligence sui fornitori e di dimostrare ai clienti che i loro dati vengono gestiti in modo responsabile. Nei mercati in cui la fiducia è un fattore di differenziazione, la sicurezza non è solo un centro di costo, ma fa parte della proposta di valore.
1. Definire la struttura del team di sicurezza informatica prima di procedere alle assunzioni
Funzioni di mappatura prima di redigere le descrizioni delle mansioni
Uno degli errori più comuni commessi dalle aziende è quello di cercare di assumere una sola persona per svolgere tutte le mansioni. Un unico addetto alla sicurezza a cui viene richiesto di occuparsi del rilevamento delle minacce, della risposta agli incidenti, della conformità, della sicurezza nel cloud e della formazione degli utenti finali finirà presto per esaurirsi – e la vostra copertura presenterà gravi lacune che potreste scoprire solo quando sarà troppo tardi.
Prima di pubblicare un annuncio di lavoro, individuate quali funzioni di sicurezza sono effettivamente necessarie alla vostra organizzazione. Per la maggior parte dei team di sicurezza informatica, queste includono:
- Monitoraggio e rilevamento delle minacce
- Risposta agli incidenti e ripristino
- Gestione delle identità e degli accessi
- Sicurezza del cloud e delle infrastrutture
- Conformità e gestione dei rischi
- Formazione sulla sensibilizzazione alla sicurezza rivolta all'intera forza lavoro
- Sicurezza delle e-mail e autenticazione dei domini
Non è necessario disporre immediatamente di una persona dedicata a ciascuna funzione, ma è necessario che ci sia qualcuno responsabile di ciascuna di esse. Nelle organizzazioni più piccole, un unico responsabile della sicurezza di livello senior potrebbe occuparsi di tre o quattro di queste aree, mentre i collaboratori esterni o i fornitori di servizi gestiti si occupano del resto. Negli ambienti più grandi, ogni funzione può giustificare un proprio team.
Definire la struttura del proprio team di sicurezza informatica prima delle assunzioni rende molto più semplice individuare le lacune, redigere descrizioni precise dei ruoli, stabilire le aspettative e pianificare la strategia di assunzioni per i prossimi uno-tre anni. Inoltre, evita la trappola comune di costituire un team in modo reattivo, ovvero aumentando l’organico dopo un incidente anziché prima che si verifichi.
Definire correttamente le linee gerarchiche
È importante riflettere attentamente anche sulle linee gerarchiche. I team di sicurezza informatica che fanno capo direttamente alla direzione IT spesso vedono le proprie raccomandazioni relative ai rischi messe in secondo piano rispetto alle esigenze operative. Ove possibile, far sì che la funzione di sicurezza faccia capo a un CISO o direttamente a un dirigente di alto livello le conferisce il peso organizzativo necessario per essere efficace.
2. Assumere in base alla mentalità, poi formare sulle competenze
Curiosità e capacità di adattamento piuttosto che titoli di studio
Le certificazioni contano. Le competenze tecniche contano. Ma se vi è mai capitato di intervistare due candidati – uno con un curriculum impressionante che fornisce risposte da manuale, e un altro che pone domande inaspettate e riflette ad alta voce su problemi che non ha mai affrontato prima – sapete già quale dei due vorreste nel vostro team di sicurezza informatica quando le cose vanno male.
La sicurezza è un settore in cui la curiosità e la capacità di adattamento sono requisiti imprescindibili. Il panorama delle minacce è in continua evoluzione. Tecniche che due anni fa erano all’avanguardia sono ora ampiamente documentate nei manuali degli hacker. Chi era eccellente tre anni fa ma ha smesso di imparare è già rimasto indietro. Le migliori decisioni di assunzione nel campo della sicurezza informatica danno la priorità ai candidati che si mantengono aggiornati, contribuiscono alla comunità e dimostrano un impegno autentico nei confronti del settore, al di là di quanto previsto dalla descrizione del proprio ruolo.
Cercate persone in grado di dimostrare come ragionano, non solo ciò che sanno. Chiedete loro di illustrare un caso recente che hanno gestito, di descrivere come hanno affrontato un problema che non avevano mai incontrato prima o di spiegare un concetto tecnico complesso a un pubblico non esperto. Tutti e tre questi aspetti rivelano molto di più di un semplice elenco di certificazioni.
La comunicazione è una competenza in materia di sicurezza
La comunicazione è particolarmente sottovalutata nelle assunzioni nel settore della sicurezza informatica. Il vostro team dovrà informare i dirigenti, collaborare con gli uffici legali e di compliance, redigere rapporti sugli incidenti e spiegare i rischi a persone che non hanno una formazione tecnica. Un analista brillante che non sia in grado di comunicare chiaramente i propri risultati crea una vulnerabilità a sé stante. L’incapacità di tradurre i rischi di sicurezza in un linguaggio aziendale è uno dei motivi più comuni per cui i team di sicurezza informatica perdono le discussioni sul budget e la credibilità all’interno dell’organizzazione.
Anche la diversità dei percorsi professionali rafforza un team di sicurezza informatica. Le persone che hanno lavorato in settori diversi, ricoperto ruoli non legati alla sicurezza o provengono da discipline come il diritto, la psicologia o l’ingegneria dei sistemi spesso apportano punti di vista che le assunzioni basate esclusivamente su competenze tecniche non riescono a cogliere. Gli hacker ragionano in modo ampio. Anche il vostro team dovrebbe farlo.
3. Assegnare chiaramente le responsabilità in materia di sicurezza della posta elettronica all’interno del proprio team di sicurezza informatica
L'e-mail rimane il vettore di attacco principale. Il phishing, il business email compromise e lo spoofing dei domini rappresentano ogni anno una quota significativa delle violazioni riuscite, e molte organizzazioni non dispongono ancora di protocolli di autenticazione adeguati. Il motivo è quasi sempre lo stesso: nessuno se ne assume la responsabilità.
Gestisci autonomamente SPF, DKIM e DMARC: non limitarti a configurarli e poi non pensarci più
Ogni team di sicurezza informatica ha bisogno di una figura che si occupi in modo esplicito e documentato della sicurezza della posta elettronica. Ciò significa configurare e gestire i record SPF, DKIM e DMARC, monitorare gli errori di autenticazione nei report aggregati DMARC e intervenire in base a quanto emerso da tali report. Significa inoltre rivedere regolarmente l’elenco dei mittenti autorizzati man mano che l’ecosistema dei fornitori subisce cambiamenti. E significa segnalare i problemi quando la posta legittima non supera l’autenticazione, prima che ciò si trasformi in un problema di consegna oltre che in un problema di sicurezza.
Una solida strategia di sicurezza della posta elettronica aziendale non deve necessariamente essere complicata, ma deve essere ben ponderata. Le organizzazioni che considerano l’autenticazione della posta elettronica come un’operazione da configurare una tantum, anziché come una responsabilità continua, tendono ad adottare politiche DMARC deboli o non applicate, il che significa che gli aggressori possono comunque impersonare liberamente il loro dominio.
Proteggersi dallo spoofing dei domini e dal phishing
Gli attacchi di spoofing del dominio sono particolarmente pericolosi perché prendono di mira i vostri clienti, partner e dipendenti utilizzando l’identità del vostro stesso marchio. Un’e-mail contraffatta ben congegnata proveniente dal vostro dominio è molto più convincente di una proveniente da un indirizzo sconosciuto. L’applicazione del protocollo DMARC, se implementata correttamente, chiude questa falla. Tuttavia, richiede un membro del team di sicurezza informatica che comprenda i protocolli, li monitori costantemente e abbia l’autorità di spingere per la loro applicazione al momento opportuno.
Oltre all'autenticazione, l'esecuzione di simulazioni periodiche di phishing rivolte all'intero personale è una delle attività con il più alto ritorno sull'investimento che il vostro team di sicurezza informatica possa intraprendere. Permette di individuare chi necessita di ulteriore formazione, misura i miglioramenti nel tempo ed evita che la sensibilizzazione alla sicurezza diventi una semplice formalità.
4. Investi in certificazioni adeguate al tuo ambiente
Le credenziali rappresentano uno dei migliori indicatori a vostra disposizione nella selezione dei candidati e uno degli investimenti più oculati che possiate fare per potenziare il vostro attuale team di sicurezza informatica. Tuttavia, non tutte le certificazioni sono ugualmente rilevanti per il contesto operativo della vostra organizzazione.
Certificazioni di base per i neoassunti
Le certificazioni di base, come CompTIA Security+ e Certified Ethical Hacker (CEH), offrono una panoramica completa dei principi di sicurezza e sono preziose per i neolaureati o per i membri del team che passano al settore della sicurezza da ruoli affini. Per i professionisti più esperti, le certificazioni specifiche per ruolo tendono ad offrire un valore aggiunto maggiore, sia in termini di sviluppo delle competenze pratiche che di credibilità professionale.
Certificazioni in materia di sicurezza nel cloud: CCSP e oltre
Se la vostra infrastruttura è prevalentemente basata sul cloud – e oggi lo è per la maggior parte delle aziende – il vostro team di sicurezza informatica deve disporre di competenze specifiche in materia di sicurezza del cloud. La sicurezza del cloud presenta modelli architetturali, modelli di responsabilità condivisa, rischi di configurazione e superfici di attacco propri, che richiedono conoscenze specifiche. Un candidato con una solida esperienza in ambienti on-premise non possiede automaticamente le competenze necessarie per garantire la sicurezza di un ambiente cloud-native.
La certificazione Certified Cloud Security Professional (CCSP) è una delle credenziali più prestigiose in questo settore. Copre l’architettura cloud, la sicurezza dei dati, l’infrastruttura, le operazioni e gli aspetti legali e di conformità: esattamente l’ampiezza di competenze necessaria quando i carichi di lavoro critici non risiedono più in un data center on-premise. Se state assumendo personale per un ruolo nel campo della sicurezza cloud, vale la pena considerare la certificazione CCSP come un forte segnale positivo nei vostri criteri di selezione. Se il vostro team di sicurezza informatica comprende già membri che gestiscono l’infrastruttura cloud, sostenerli attraverso un corso CCSP rappresenta uno degli investimenti più pratici che possiate fare per la loro crescita professionale.
Per i membri del team con responsabilità nell’ambito della risposta agli incidenti, le certificazioni GIAC come GCIH o GCFA offrono una preparazione approfondita e pratica. Per i ruoli incentrati sulla conformità, CISM e CISSP rimangono lo standard di riferimento. Il principio fondamentale è lo stesso per tutte queste certificazioni: devono corrispondere al lavoro effettivo svolto dalla persona, non limitarsi a fare bella figura sulla carta.
5. Valutare le attività effettivamente svolte dal proprio team di sicurezza informatica
I team di sicurezza informatica privi di indicatori di performance risultano invisibili ai vertici aziendali. I team invisibili sono i primi a subire tagli al budget, al personale e all’influenza all’interno dell’organizzazione quando cambiano le priorità. Ma soprattutto, se non si misurano gli aspetti giusti, non si sa realmente quanto sia protetta la propria organizzazione.
Inizia con MTTD, MTTR e la conformità alle patch
Partiamo dai fondamenti: il tempo medio di rilevamento (MTTD) misura il tempo impiegato dal vostro team di sicurezza informatica per identificare una minaccia dopo che si è verificata. Il tempo medio di risposta (MTTR) misura la rapidità con cui riuscite a contenerla e a porvi rimedio. Insieme, MTTD e MTTR vi offrono un quadro chiaro e realistico dell’efficacia operativa del vostro team. Monitorare costantemente le metriche di sicurezza informatica fornisce inoltre al vostro team obiettivi concreti verso cui tendere, il che è fondamentale per l’orientamento, la concentrazione e il morale.
Oltre a MTTD e MTTR, è opportuno monitorare i tassi di conformità alle patch (quala percentuale delle vulnerabilità note viene risolta entro il periodo previsto), i tassi di clic nelle simulazioni di phishing nel corso del tempo, il tempo medio necessario per contenere un incidente dopo che è stato rilevato e il numero di risultati critici emersi dagli audit interni o dai test di penetrazione. Ciascuno di questi indicatori fornisce un quadro diverso della situazione.
Considerare le metriche dei frame come risultati aziendali, non come report IT
Esaminate i vostri indicatori durante le riunioni periodiche della dirigenza e presentateli in termini aziendali. Se la dirigenza comprende che ridurre l’MTTR da quattro ore a novanta minuti limita in modo significativo la portata di un’intrusione attiva, la sicurezza smette di essere un argomento legato ai centri di costo e diventa invece una questione di gestione del rischio. Questo cambiamento di prospettiva modifica il modo in cui il vostro team di sicurezza informatica viene finanziato e supportato.
Evitate la trappola di misurare solo l’attività: ticket chiusi, avvisi esaminati, patch applicate. Questi numeri possono sembrare positivi, mentre il rischio reale cresce senza che venga affrontato. Le migliori metriche di sicurezza informatica misurano i risultati, non solo l’impegno profuso.
6. Considerate il vostro team di sicurezza informatica come un investimento continuo
Le organizzazioni con i livelli di sicurezza più elevati non sono quelle che si sono limitate ad assumere le persone giuste una volta sola e poi si sono fermate lì. Sono invece quelle che continuano a investire nel proprio team di sicurezza informatica anno dopo anno, adattano la propria struttura all’evolversi del panorama delle minacce e considerano la sicurezza come una disciplina operativa continua piuttosto che come un progetto con un traguardo finale.
Stanziare fondi per la formazione e definire percorsi di carriera chiari
Ciò significa stanziare ogni anno un budget per la formazione e lo sviluppo professionale, non solo quando viene introdotto un nuovo strumento. Significa creare percorsi di carriera chiari, in modo che i collaboratori più meritevoli non sentano il bisogno di andarsene per crescere professionalmente. I professionisti della sicurezza sono molto richiesti e il costo di perdere un membro senior del team a favore di un concorrente è elevato – non solo in termini di tempo dedicato al reclutamento e all’inserimento, ma anche per il patrimonio di conoscenze aziendali che se ne va con loro.
Significa anche rivedere periodicamente la struttura del proprio team di sicurezza informatica. Il team di cui avevate bisogno due anni fa potrebbe non essere quello di cui avete bisogno oggi. Se la vostra organizzazione ha trasferito i carichi di lavoro sul cloud, ha acquisito una nuova unità aziendale o ha lanciato un nuovo prodotto con una propria superficie di attacco, le aree di competenza del vostro team devono riflettere tali cambiamenti. Una revisione annuale del programma di sicurezza, che valuti sia il panorama delle minacce sia le attuali capacità del vostro team, è un modo pratico per anticipare questi cambiamenti.
Creare una cultura in cui i rischi vengano ascoltati
Crea un ambiente in cui il tuo team possa segnalare i rischi senza ostacoli burocratici. Uno degli schemi ricorrenti nelle organizzazioni che subiscono gravi violazioni è che qualcuno del team di sicurezza abbia sollevato una segnalazione che non ha trovato seguito. Che si tratti di un problema strutturale, culturale o di comunicazione, vale la pena individuarlo e risolverlo in modo proattivo.
Fornite al vostro team di sicurezza informatica la struttura, gli strumenti, le certificazioni e il sostegno organizzativo di cui ha bisogno per operare ad alti livelli. Questo investimento si rifletterà direttamente sul vostro livello di sicurezza e sulla vostra capacità di reagire nei momenti più critici.
Proteggi il tuo dominio prima che gli hacker ne approfittino
Un team di sicurezza informatica altamente performante non ha bisogno solo di politiche rigorose e personale qualificato, ma anche dei giusti controlli tecnici. L’autenticazione delle e-mail è uno degli elementi fondamentali più efficaci e più spesso trascurati di tale struttura.
PowerDMARC aiuta il tuo team di sicurezza informatica ad applicare gli standard SPF, DKIM e DMARC, ad acquisire piena visibilità su chi invia messaggi a nome del tuo dominio e a bloccare gli attacchi di spoofing prima che raggiungano i tuoi clienti o dipendenti. Analizza gratuitamente il tuo dominio per verificare lo stato attuale della tua autenticazione.
Esperto di sicurezza dei domini e delle e-mail presso PowerDMARC
Ahona è la Marketing Manager di PowerDMARC, con oltre 5 anni di esperienza nella scrittura di argomenti di cybersecurity, specializzata in sicurezza dei domini e delle e-mail. Ahona ha conseguito una laurea in Giornalismo e Comunicazione, consolidando la sua carriera nel settore della sicurezza dal 2019.
Ultimi messaggi di Ahona Rudra (vedi tutti)
