Navigare nella cybersecurity: Approfondimenti e consigli di Niel Harper, CISO di Doodle

Man mano che le nostre vite si intrecciano con il mondo digitale, la necessità di una solida sicurezza informatica non è mai stata così forte. Dalla protezione dei dati aziendali sensibili alla salvaguardia delle nostre informazioni personali, la posta in gioco non è mai stata così alta.

Abbiamo parlato con Niel Harper Chief Information Security Officer e Data Protection Officer di Doodle, per capire meglio questo panorama in continua evoluzione. Di recente ha vinto un premio Senior Professional con ISC2, un'importante organizzazione no-profit specializzata in formazione e certificazioni sulla sicurezza informatica. All'inizio di quest'anno, un'inserzione del New York Times di Lacework l'ha inoltre presentato come un leader di spicco nella sicurezza informatica.

In questa intervista parleremo del suo background e del suo ruolo in Doodle, delle tendenze della cybersicurezza, di come proteggere i dati dei clienti e di come le piccole e medie imprese (PMI) possono proteggersi in questo panorama in continua evoluzione.

Ecco Niel Harper, CISO di Doodle

Ci parli di lei e di cosa l'ha ispirata a intraprendere una carriera nella sicurezza informatica.

La mia ispirazione a intraprendere una carriera nella cybersecurity è nata dal mio interesse per la costruzione di reti e sistemi IT resilienti.

La mia carriera è iniziata circa 20 anni fa, quando ho conseguito il diploma universitario in sistemi informativi con specializzazione in telecomunicazioni. Lì sono stato introdotto al settore e ho ricevuto una formazione pratica nell'implementazione di servizi commerciali di rete digitale a servizi integrati (ISDN).

Il mio primo vero lavoro è stato con Cable & Wireless, dove ero un tecnico delle telecomunicazioni coinvolto nelle operazioni quotidiane di un provider di servizi Internet alle Barbados. Il mio ultimo ruolo nel settore delle telecomunicazioni è stato quello di Network Operations Manager per AT&T Wireless, dove ho guidato un team responsabile delle operazioni e della manutenzione di una rete mobile GSM.

Nel 2002 ho ottenuto la mia prima certificazione relativa alla sicurezza informatica - Certified Information Systems Auditor (CISA) - per poi passare alla sicurezza informatica l'anno successivo come Manager of Internal & ICT Audit per un fornitore di servizi di telecomunicazione nelle Antille olandesi.

Nel 2022 sono entrato a far parte di Doodle e da allora sono a capo dei team IT Operations, Security e Compliance.

Niel Harper, CISO di Doodle, in un articolo del New York Times. Fonte: Pizzo.

Le minacce più urgenti alla sicurezza informatica

Quali sono, secondo lei, le minacce più urgenti per la sicurezza informatica che le aziende devono affrontare oggi?

Il ransomware, un tipo di software dannoso che blocca o cripta i dati della vittima e richiede il pagamento di un riscatto per ripristinare l'accesso, continua a essere una minaccia importante. Tuttavia, è diventata ancora più diffusa, in quanto gli attori delle minacce hanno concentrato la loro attenzione sulle estorsioni informatiche.

Anche l'attuale clima geopolitico contribuisce ad accrescere l'obiettivo delle organizzazioni da parte di avversari sponsorizzati dallo Stato, molto esperti e ben organizzati.

Inoltre, molte aziende sono ancora impreparate ad affrontare i rischi derivanti da terze parti (come gli attacchi alla catena di approvvigionamento).

Infine, l'uso dell'IA generativa da parte del personale e degli attori esterni delle minacce rappresenta sia un'opportunità che una minaccia, ma molte aziende non ne comprendono ancora appieno le implicazioni.

Garantire la sicurezza dei dati dei nostri clienti

Come fa Doodle a garantire la sicurezza dei dati dei suoi clienti, soprattutto con i suoi prodotti?

In Doodle non dipendiamo dagli strumenti di sicurezza come sostitutivi di solidi controlli di sicurezza. La nostra attenzione si concentra principalmente sulle basi della cybersecurity: gestione dell'identità e degli accessi (IAM), gestione della configurazione, gestione delle risorse, gestione delle vulnerabilità, test di penetrazione e gestione del rischio di terze parti, tra le altre cose. Qualsiasi strumento viene aggiunto per supportare l'orchestrazione, l'automazione e la difesa in profondità.

Il rischio informatico è un tema ricorrente nelle riunioni dei consigli di amministrazione e dei dirigenti e un elemento chiave del quadro di gestione del rischio aziendale (ERM). Doodle si sottopone inoltre a verifiche annuali SOC 2 di tipo II, Cyber Verify e GDPR.

Creare una cultura della consapevolezza della sicurezza

Qual è la chiave per creare una cultura di consapevolezza della sicurezza tra i dipendenti?

L'aspetto più critico della creazione di una cultura della consapevolezza della sicurezza è un forte "tono dall'alto". La consapevolezza della sicurezza deve partire dalla leadership, che influenza la cultura aziendale e guida le azioni dei propri team.

In Doodle, ad esempio, il consiglio di amministrazione e la direzione esecutiva sono sensibili e in sintonia con il potenziale impatto dei rischi informatici su più dimensioni aziendali. Il loro sostegno in termini di responsabilità del rischio, messaggistica efficace, finanziamenti appropriati e guida con l'esempio è fondamentale per instillare le corrette pratiche di sicurezza tra il personale.

Forniamo inoltre un programma dinamico di formazione sulla sicurezza che sfrutta l'apprendimento online, suggerimenti e trucchi regolari, simulazioni di phishing, esercitazioni su tavolo e formazione specifica per ruolo.

Nuove tendenze nella sicurezza informatica

Quali sono le tendenze o le tecnologie emergenti in materia di cybersecurity che la entusiasmano o la preoccupano di più?

Sono particolarmente entusiasta di vedere l'attenzione concentrata sul rafforzamento delle capacità informatiche. Stiamo assistendo a una concentrazione di risorse significative verso la creazione di capacità all'interno degli Stati nazionali per proteggersi meglio dalle minacce online.

Devo elogiare attori chiave come il Global Forum for Cyber Expertise (GFCE), la Banca Mondiale, l'Unione Europea, il World Economic Forum, l'Organizzazione degli Stati Americani (OAS), il Cyber Peace Institute e altri per il loro lavoro in questo settore.

Le preoccupazioni all'orizzonte delle minacce che sono in prima linea nella mia mente includono i rischi dei modelli linguistici di grandi dimensioni (LLM) e dell'IA, l'Internet delle cose (ad esempio, dispositivi intelligenti, auto connesse, città intelligenti, ecc.), la crittografia a sicurezza quantistica e la guerra informatica e lo spionaggio informatico sponsorizzati dagli Stati.

Approfondimenti e consigli per le aziende

Quali consigli darebbe alle aziende, in particolare alle PMI, per salvaguardare meglio i loro dati e mantenere la fiducia dei clienti?

Le PMI devono avere qualcuno a livello esecutivo e operativo che comprenda e faccia proprio il rischio informatico come rischio aziendale strategico. Con questo intendo dire che la responsabilità della cybersecurity non dovrebbe essere delegata a un responsabile IT o a un amministratore di sistema, perché è molto più di un rischio tecnologico.

Una persona qualificata ed esperta dovrebbe lavorare allo sviluppo e all'esecuzione della roadmap di cybersecurity dell'azienda. Se questo set di competenze non è disponibile all'interno dell'azienda, si dovrebbe prendere in considerazione l'assunzione di un Chief Information Security Officer (CISO) virtuale o frazionato per supervisionare la gestione del rischio informatico.

Come già detto in un commento precedente, le organizzazioni non devono considerare gli strumenti di fantasia come una panacea o un sostituto per una cybersecurity efficace. Devono creare un inventario dei loro sistemi e dati critici ("gioielli della corona") e implementare controlli rigorosi in base all'importanza di tali sistemi e risorse informative per l'azienda.

Grazie, Niel, per aver condiviso le tue intuizioni e la tua esperienza!