Quanto è importante la cultura in un team di sicurezza e quanto incide sul business?

Avere il giusto livello di cultura nel proprio team di sicurezza è probabilmente il fattore più importante di successo. La scelta delle soluzioni può fare una grande differenza, ma l'allineamento delle persone all'interno dell'azienda ne determinerà il successo nel lungo periodo. Nonostante si dedichi grande attenzione alla tecnologia, un programma di sicurezza efficace è spesso basato più sulla cultura e sulla dinamica aziendale. La tecnologia è solitamente il fattore più semplice del problema. Il resto riguarda le criticità aziendali, le motivazioni personali e chi guida il team.
Che cosa provoca le situazioni critiche: comportamenti intenzionali o fortuiti?

La scarsa cultura può dipendere da diversi fattori. Il più importante è il disallineamento tra il punto di vista e la percezione dei manager e quello che i team di sicurezza ritengono sia di loro competenza. Se il team è focalizzato sull'ottenimento di standard di qualità elevati mentre i manager si concentrano sulla riduzione dei costi o solo sulla conformità, è chiaro che nel tempo si presenteranno dei problemi. Questo può creare dei malumori e degli equivoci su come il team vede se stesso e i propri obiettivi.
Un altro fattore di rischio risiede nella mancanza di comunicazione tra il team di sicurezza e gli altri reparti dell'azienda. Alcune divisioni devono collaborare per ovvi motivi - Operations e sviluppo software, ad esempio -, ma c'è comunicazione con HR, Legal o Customer service?
L'ideale sarebbe impostare regole basate sulle esigenze, su ciò che serve per la collaborazione e sul modo in cui il team di sicurezza coinvolgerà il resto dell'azienda. Se non si cambia mentalità e non si opta per la collaborazione tra i diversi reparti, arriverà il momento in cui il meccanismo si incepperà.

Quali sono i segnali che indicano un livello di cultura insufficiente?
Per un team di sicurezza potrebbe essere difficile cogliere questi segnali, poiché di solito valuta solo la bontà del proprio operato. Ma se, ad esempio, l'impostazione è quella di risolvere i problemi via via che si presentano, di certo esiste un problema di cultura. Concentrarsi su problemi tecnici interni, mentre l'azienda ha la necessità di proteggersi da rischi esterni per espandere il proprio business online, può creare una discrepanza difficile da individuare e, senza il giusto approccio culturale, difficile da risolvere in meno di 6-12 mesi.
Prendiamo ad esempio DevSecOps: i team di DevOps considerano i processi e i controlli di sicurezza controproducenti se non esiste collaborazione tra i reparti. Infatti ritengono dannoso l'approccio di "sbattere il codice appena sviluppato contro un muro"; eppure questo è un approccio che i team di sicurezza adottano frequentemente. Ciò è frutto di una mentalità che si basa solo sul prodotto, quando in realtà il problema è la mancanza di supporto e di follow-up per assicurarsi che gli strumenti vengano correttamente utilizzati.

Un altro segnale arriva da quei team di sicurezza che si limitano a considerare i problemi come puramente tecnologici. Di certo non è la stessa mentalità adottata dalla maggior parte dei team aziendali, che invece pongono maggiore attenzione al bilancio o alle previsioni di business. Per non incorrere in problemi è fondamentale un coinvolgimento dei team di sicurezza in tutte le tematiche d'interesse per l'azienda, in modo che siano tutti sulla stessa lunghezza d'onda.
Che cosa può fare la differenza?
Per i Chief Information Security Officer (CISO) è essenziale comprendere la psicologia, l'impatto culturale che le loro decisioni possono produrre, e la loro componente emotiva. La maggior parte delle sfide che si affrontano per promuovere iniziative hanno alla base l'incapacità di cogliere i fattori umani in gioco.

C'è bisogno di assumere le persone giuste e di capire chi ha capacità di crescita. Includendo la diversità, varietà di pensiero, approccio e opinioni. Questo dà un valore aggiunto al dibattito e, in ultima analisi, migliora l'approccio dei team di sicurezza.
Il team giusto opera da complemento per l'azienda e il suo riconoscimento può fare una grande differenza sia nel coinvolgimento che nel modo di lavorare.
Tanto per citare un esempio, anni fa abbiamo lavorato per un'azienda molto seria, in cui l'input era di basarsi su fatti e cifre. Il progetto di sicurezza che abbiamo presentato, invece, si basava sull'umorismo ed era presentato da un attore comico. Questo ha portato a un coinvolgimento molto più elevato in tutta l'azienda creando una forte fidelizzazione con i dipendenti. Ne parlano ancora?
Consigli su come approcciare il problema ed esempi pratici

Il suggerimento è quello di cercare di capire la differenza tra culture e come queste comunicano, e di capire il senso profondo di ciò che viene detto. Un buon esempio pratico riguarda uno dei nostri team negli Stati Uniti che lavorava con un team in Australia. Il team australiano spesso rispondeva in modo ambiguo, e non era chiaro per il team USA se la risposta fosse positiva o negativa.
Chris Voss di Black Swan Group è un ex mediatore dell'FBI, e spiega che ci sono tre modi per dire di sì - il sì di conferma, che vale solo come presa visione, il falso sì, che significa che non si darà seguito alla risposta e il sì dell'impegno, che implica un reale coinvolgimento. Nel suo libro spiega che siamo condizionati dall'ottenere una risposta positiva. Ma stiamo ottenendo il tipo di "sì" utile? In realtà, piuttosto di un "sì" inutile, sarebbe meglio ottenere un "No", perché ciò consentirebbe di affrontare il problema e di lavorare per risolverlo.

Tempo fa abbiamo lavorato in outsourcing e in diversi continenti. Abbiamo raccolto tutti i punti di vista dei vari team, spiegandone chiaramente il significato. Tutti erano allineati grazie alle direttive e indicazioni comuni che avevamo fornito.
In sostanza i CISO possono avere un maggiore impatto sulla cultura della sicurezza attraverso la comprensione delle relazioni con i propri clienti. È importante anche l'approccio interno all'azienda: anche se potremmo ritenere di non avere un vero cliente, la realtà è che tutti noi abbiamo clienti interni da servire e supportare.
Questo approccio prevede l'instaurazione di un reciproco rapporto di fiducia che coinvolga l'intera azienda, che risulta essenziale nel tempo. Senza la giusta cultura, è difficile raggiungere questo obiettivo.
Ben Carr, Chief Information Security Officer, Qualys