Articolo
Perché i responsabili della sicurezza devono dare la priorità a un'esperienza clienti eccellente
by Chris Peake
Nota del redattore: l'ecosistema informatico è in costante evoluzione. Ci sarà sempre chi si comporta scorrettamente, pertanto è fondamentale che le aziende sappiano che i dati che affidano alle piattaforme software as a service (SaaS) sono protetti. In questo articolo, Chris Peake, VP of Information Security (CISO) in Smartsheet spiega perché la trasparenza sulle pratiche di sicurezza è fondamentale per creare e mantenere la fiducia dei clienti che hanno bisogno di piattaforme di qualità aziendale per gestire il proprio lavoro.
Dopo essermi laureato nel 1997, ho iniziato a lavorare come coordinatore delle missioni mediche per Operation Smile, l'organizzazione no profit che facilita gli interventi di cheiloschisi e palatoschisi in tutto il mondo. Poiché la maggior parte delle no profit non ha grandi budget, avevo anche un ruolo nella gestione IT. Creavo database, mantenevo sistemi e formavo il personale sul loro uso.
Ho aiutato a implementare alcuni dei primi eventi di telemedicina di Operation Smile che mettevano in contatto medici di vari paesi per consultazioni e interventi in tempo reale. Questi eventi erano una dimostrazione dell'incredibile potere della tecnologia e, a pensarci bene, di quanto sia fondamentale per chi si occupa di sicurezza proteggere le persone che usano queste tecnologie, specialmente in caso di dati personali o riservati.
Nel corso della mia carriera, una cosa è sempre stata chiara: i responsabili della sicurezza e i loro team si devono impegnare per un'esperienza cliente eccellente. E questo punto di vista incentrato sul cliente deve essere supportato da un impegno per la privacy dei dati, dal guadagnarsi e mantenere la fiducia delle persone, dalla trasparenza sui test di sicurezza e dal contributo alla più ampia community della sicurezza informatica.
L'evoluzione della protezione dei dati
In anni di ricerche ed esperienza sul lavoro, ho imparato che non è possibile guadagnarsi la fiducia senza trasparenza, quando si gestiscono i dati dei clienti. Per esempio, prima che l'online banking diventasse popolare a metà anni Novanta, molte persone erano dubbiose sull'abbandonare il modo tradizionale di fare banca. In passato, ci si recava di persona alla filiale, si compilava un modulo per il deposito, si aveva a che fare con un cassiere o con un bancomat.
Per preparare le persone all'alternativa online, le banche dovevano assicurare ai clienti (e rassicurarli) che le loro transazioni erano sicure e facili da tenere d'occhio dal proprio computer di casa. Allo stesso modo, quando si adotta una piattaforma SaaS, si trasferisce un'importante responsabilità sui dati e sul sistema al provider.
Le organizzazioni a livello di impresa che usano una piattaforma per gestire il lavoro devono sapere di poter fidarsi del proprio provider per la protezione dei dati. E, in qualità di professionisti della sicurezza, protezione significa anche non guardare le specifiche dei dati che i clienti aggiungono sulle nostre piattaforme SaaS.
Guadagnare e mantenere la fiducia dei clienti
In Smartsheet, siamo dediti a guadagnare e mantenere la fiducia dei nostri clienti. Come parte di questo impegno continuo, ci dedicheremo sempre all'evoluzione del nostro programma di sicurezza di qualità aziendale. Rispetteremo o supereremo gli standard di sicurezza aziendale per garantire che Smartsheet sia pronto all'uso per sicurezza, privacy e governance.
Il nostro obiettivo a lungo termine è liberare il potenziale di Smartsheet consentendo ai clienti di lavorare con dati di diversa sensibilità con la sicurezza che tali dati siano protetti in tutti i modi necessari.
Sebbene questo sia un ottimo punto di partenza, è poi fondamentale rendere disponibili sul sito web aziendale le certificazioni sulla conformità, le informazioni sulla privacy e sulla sicurezza e via dicendo. Per questo abbiamo creato Smartsheet Trust Center.
Tuttavia, quando io o qualcuno del mio team di esperti della sicurezza parliamo direttamente con i clienti, possiamo entrare in maggiore dettaglio sui processi standard e sulle procedure operative della loro azienda, sui controlli esistenti o mancanti ed essere trasparenti sui casi di utilizzo che sono o non sono appropriati per il nostro servizio, dal punto di vista della sicurezza informatica. Nella mia esperienza, questo livello di trasparenza aiuta a creare fiducia la reciproca con i nostri clienti, che è alla base di un rapporto duraturo.
Il secondo elemento che crea fiducia è ricordare alle persone che siamo impegnati senza sosta per il miglioramento del nostro programma di sicurezza. A mio parere, il punto principale di un percorso verso la maturità è che non esiste un traguardo. Si evolve costantemente per adattarsi al panorama in continuo cambiamento delle minacce alla sicurezza. Il mio team innova continuamente le modalità di miglioramento dei prodotti e dei controlli di sicurezza, sfruttando tecnologie all'avanguardia che continueranno a mantenere sicura la piattaforma Smartsheet.
Trasparenza sui test di sicurezza
La trasparenza è una strada a doppio senso. Vogliamo continuare il dialogo con i nostri clienti per comprendere le loro esigenze e richieste, prenderle a cuore e agire di conseguenza. I clienti si fidano della sicurezza dei dati sulla piattaforma e noi non possiamo condividere i loro dati e le loro informazioni. E non lo faremo.
Quando tenevo la formazione per i professionisti della sicurezza, chiedevo loro di alzare la mano se usavano un servizio basato sul cloud. Quasi tutti alzavano la mano. Poi, chiedevo se si fidassero di quel servizio e quasi tutti abbassavano la mano. Da qui, mi è stato chiaro che i professionisti della sicurezza devono sapere perché si fidano o non si fidano di un provider di servizi.
L'ambiente applicativo di Smartsheet è in uno stato di costante miglioramento, pertanto conduciamo continuamente test di sicurezza iterativi ma completi a tutti i livelli: hardware, rete, sistema individuale, servizio e applicazione. Questo è obbligatorio per ogni azienda di elevata integrità che fornisce una piattaforma SaaS di qualità enterprise.
A livello di applicazione, completiamo regolarmente test di penetrazione interni ed esterni. Completiamo revisioni del codice a livello di applicazione come parte del nostro processo di sviluppo, che prevede verifiche attive prima della distribuzione di qualsiasi codice.
Poi, teniamo peer review e partecipiamo a un programma bug bounty nel quale consentiamo a ricercatori terzi di analizzare i nostri ambienti e segnalare i bug. Risolviamo gli eventuali bug o vulnerabilità rilevati come parte di questi processi. Dal punto di vista della sicurezza, prendiamo in considerazione diverse direzioni dalle quali può provenire un attacco per essere sempre preparati.
Contribuire alla community della sicurezza informatica
L'informatica è un ecosistema. Cloud computing, data center in loco, networking, sistemi telefonici, sistemi digitali: oggigiorno, tutto è collegato.
Pertanto, in Smartsheet, collaboriamo volutamente con aziende e altri provider SaaS per rispondere alle sfide comuni. Dal punto di vista del prodotto, collaboriamo con altre aziende di software di qualità enterprise, come Salesforce e Google. Queste aziende hanno rispettato la due diligence per assicurarsi che le loro piattaforme siano protette, al massimo della loro conoscenza.
Come leader dello spazio di gestione del lavoro collaborativo (collaborative work management, CWM), Smartsheet fa inoltre parte della community informatica in senso lato. Nel 2018, Smartsheet è entrata a far parte del Messaging, Malware, and Mobile Anti-Abuse Working Group (M3AAWG) poiché è essenziale ascoltare i nostri pari e lavorare con loro per creare standard di settore, documentazione e fornire linee guida.
Ma la cosa va oltre, poiché aziende di tutte le dimensioni in qualsiasi settore utilizzano Smartsheet quotidianamente. Disponiamo di un'opportunità unica di ascoltare i nostri clienti in tutti i settori, di comprendere veramente le loro sfide in ambito di sicurezza e privacy dei dati e di offrire consigli ad altri provider SaaS in questo ambito. Questo livello di condivisione delle conoscenze e allineamento sulle best practice va a vantaggio di tutti i nostri clienti.
Partecipando con le aziende a gruppi come M3AAWG, possiamo anche contribuire a guidare la nuova generazione di esperti di tecnologia e startup che stanno già lavorando su grandi idee. Poiché la maggior parte delle grandi aziende (ma non tutte!) sono generalmente meno agili e più lente a cambiare, adottare e innovare, è importante fornire le best practice relative a processi e protocolli di sicurezza alle aziende in fase di crescita che desiderano ampliarsi e agli studenti.
Prima o poi, la nuova ondata di aziende maturerà e gli studenti che si occupano di tecnologia entreranno nella forza lavoro, e allora guideranno il nostro futuro collettivo. I professionisti della sicurezza hanno l'opportunità di essere sì mentori, ma anche di imparare dalla nuova generazione come creare e mantenere la fiducia dei clienti futuri.
Iscriviti alla Newsletter Smartsheet IT per ricevere suggerimenti, strategie e idee incentrate sull'aiutare i professionisti IT ad aumentare il proprio impatto nella propria attività.
Per saperne di più sulle politiche di Smartsheet relative alla sicurezza informatica, alla conformità, alla governance e alla protezione dei dati, visita il nostro Trust Center.