SCENARI
Nell’attuale contesto di digital transformation è opportuno che le aziende attuino il necessario cambio di paradigma per gestire il binomio cyber security-business, adottando un approccio orientato ai risultati che bilanci investimenti e rischi con le esigenze aziendali e contribuisca a conseguire gli obiettivi di business garantendo la continuità aziendale
Business Continuity & Risk Management Consultant, BCI Cyber Resilience Committee Member, CLUSIT Scientific Committee Member, BeDisruptive Training Center Director, ENIA Comitato Scientifico
Il mondo erratico e sempre più digitalizzato in cui viviamo non può prescindere dalla sicurezza, declinata nei vari ambiti, per far fronte alle sfide dell’era del business digitale che opera su una matrice complessa, dinamica e altamente frammentata di infrastrutture locali, cloud e ibride, applicazioni, dati, dispositivi mobili, IoT e sistemi convergenti IT/OT.
Ogni azienda deve, di fatto, proteggere il framework di tecnologie interconnesse che costituiscono la superficie di attacco moderna.
Pertanto, sebbene la conformità alle normative abbia ricoperto, sino ad oggi, un ruolo decisivo nelle decisioni in materia di sicurezza, le aziende hanno incominciato a dare priorità alle prospettive dei clienti e dei partner in base alle quali si determinano le strategie aziendali.
Tuttavia, nonostante i progressi e gli investimenti nel settore in materia di cyber security, c’è una massiccia distonia nel modo in cui le aziende comprendono e gestiscono il rischio informatico. Pertanto, il CISO moderno deve sostenere la sicurezza sia della tecnologia sia del business, convertendosi da esperto di tecnologia a leader della sicurezza allineata al business.
La sicurezza diventa una leva strategica, un elemento di differenziazione – anche a livello di mercato – sino a diventare un elemento imprescindibile per conquistare la fiducia dei clienti, garantire la proprietà intellettuale e proteggere il marchio.
È fondamentale, nella gestione della cyber security, stabilire metriche per misurare, in modo accurato ed obiettivo, i programmi di sicurezza e soddisfare le esigenze sia dei clienti in termini di rendicontazione trasparente, sia dei CDA e del Top Management in termini di investimenti efficienti.
Si tratta di implementare la cosiddetta Gestione delle Prestazioni di Sicurezza (i.e. Security Performance Management – SPM), ovvero definire la cyber security in modo più strategico, utilizzando metriche di prestazione proattive e basate sul rischio, considerando anche il fatto che le metriche di sicurezza informatica spesso mancano di un contesto di rischio aziendale.
Indice degli argomenti
La sicurezza per i CISO diventa una leva per il business
La società di consulenza americana Forrester ha pubblicato a settembre 2019 un report che illustra, sulla base delle interviste effettuate a 207 C-level Security Manager americani e inglesi, come vengono misurate le prestazioni di cyber security.
Garantisci la protezione dei tuoi DATI durante la modernizzazione del Data Center
Data Management
Datacenter Infrastructure Management
Per i CISO è giunto il momento di gestire la sicurezza “come se fosse un’azienda”, considerando il fatto che le prestazioni di sicurezza devono confrontarsi con le sfide del business.
La cyber security è alla base della protezione, della facilitazione e della creazione di opportunità di crescita dei profitti: oggi più che mai i clienti ricercano aziende in grado di garantire un buon livello di cyber security e, di conseguenza, capaci di proteggere i loro dati e, ove il caso, la proprietà intellettuale.
Dunque, una sicurezza che deve essere garantita a tutti i costi in modo tale da salvaguardare la performance economica delle organizzazioni.
Pertanto, i CISO devono dimostrare di saper coniugare la tecnologia e la gestione economica della sicurezza, ovvero far fronte alle nuove responsabilità e saper gestire efficientemente ed efficacemente il nuovo paradigma cyber security-business. Di qui la necessità di essere in grado di:
A che punto siamo con la gestione delle prestazioni di sicurezza
La gestione delle prestazioni di sicurezza, atta a giustificare gli investimenti di cyber security, non risulta ancora efficacemente e sufficientemente implementata. Varie sono le ragioni di questo ritardo, tra cui:
Il cyber security risk rating come strumento di misurazione
Il 45% delle aziende intervistate ritiene i cyber security risk ratings siano più strategici per natura rispetto alle altre metriche di sicurezza in quanto si incentrano sul rischio e si tratta di classificazioni indipendenti, derivate da informazioni oggettive, verificabili e create da organizzazioni indipendenti di rating.
Proprio come i rating del credito forniscono informazioni sulla stabilità finanziaria dell’organizzazione, i cyber security risk rating forniscono informazioni sulla salute e sulle pratiche di sicurezza informatica di un’organizzazione.
Il livello di sicurezza più alto è una “A”, che indica un numero basso di vulnerabilità, indicatori di minaccia e problemi. Le aziende con una valutazione C, D o F hanno cinque volte più probabilità di essere vittime di violazioni dei dati rispetto a quelle con una valutazione A o B.
Vale la pena notare come i clienti siano particolarmente attenti e sensibili a questi parametri che si convertono, pertanto, in una leva strategica per il successo aziendale.
Benefici derivanti da una gestione delle metriche di sicurezza
Il Report Forrester 2019 evidenzia come le organizzazioni, implementando una gestione strutturata delle metriche di sicurezza, possano aumentare l’efficacia della cyber security e soddisfare le richieste di report maggiormente trasparenti; in particolare, dal report si evinceva che i CISO che avevano avviato la gestione delle metriche più approfondite in grado di evidenziare gli impatti strategici, operativi e tattici nei rapporti stilati sulla cyber security avevano riscontrato diversi benefici.
Di fatto, queste metriche posso misurare la cyber security da varie prospettive e precisamente:
È evidente che solo attraverso una calibrata sintesi di implementazione di principi di Risk Management & Business Continuity e Cybersecurity Management, coadiuvati dai relativi risk assessment e business impact analysis – basati su queste metriche strutturate – i CISO potranno:
Una questione di paradigma cyber security-business
Il report Forrester 2020, pubblicato ad agosto di quest’anno, riporta i risultati scaturiti da interviste – effettuate nel mese di marzo 2020 – a circa 416 professionisti della sicurezza e 425 dirigenti di varie funzioni.
Il report ribadisce la necessità urgente di allineare le iniziative di cyber security con gli obiettivi aziendali.
C’è, di fatto, una distonia nel modo in cui le aziende capiscono e gestiscono il rischio informatico: strategie di sicurezza reattive, in silos e tattiche ostacolano di fatto la capacità dei CISO di ottenere un chiaro quadro dello stato di cyber security delle loro organizzazioni e la comprensione delle minacce che rappresentano il maggior rischio aziendale.
Mentre, quando la cyber security e il business sono allineati, i benefici sono significativi e, come si evince dal report, i CISO unitamente agli altri leader della security – in modo olistico – riescono a “vedere” i cyber risk, a prevederli e, di conseguenza, ad agire in modo mirato, grazie alla giusta combinazione di metriche, tecnologia, dati, processi e persone.
Lo studio ha rilevato che, mentre circa il 70% o più dei CISO affermano di avere una visibilità elevata o completa delle applicazioni, dei dati, dell’IT e delle piattaforme cloud delle loro organizzazioni, solo sei su dieci CISO hanno un livello di visibilità simile in termini di OT, IoT e dispositivi mobili.
Inoltre, per quanto riguarda la valutazione del cyber risk in termini di personale che lavora in loco, sei CISO su dieci segnalano di avere una visibilità elevata o completa; mentre solo il 52% può dire lo stesso quando si tratta di dipendenti che lavorano da sedi remote o da casa.
Un’altra problematica che affligge i CISO è la visibilità limitata del cyber risk che può scaturire dai propri appaltatori, partner e sub-fornitori e che impedisce loro di raggiungere una comprensione olistica delle superfici di attacco delle loro organizzazioni e delle risorse più critiche.
Il rapporto del 2020, riconferma, in generale, che le metriche di sicurezza informatica continuano a non riflettere il contesto di rischio aziendale, in quanto non si è ancora sufficientemente sviluppata una partnership tra i CISO e i leader aziendali per garantire l’allineamento tra le metriche di cyber security e gli obiettivi di priorità aziendali.
Solamente la metà dei CISO afferma di lavorare con le parti interessate aziendali per allineare gli obiettivi di riduzione dei costi, delle prestazioni e dei rischi in base alle aziendali; mentre quattro CISO su dieci segnalano di esaminare e condividere regolarmente le metriche delle prestazioni di cyber security con le loro controparti aziendali.
Da report si evince che le strategie e le metriche di cyber security, se ben allineate alle priorità e obiettivi aziendali, risultano maggiormente efficaci per informare, impostare e prendere decisioni aziendali.
Inoltre, sarebbe auspicabile prevedere all’interno dell’organizzazione un Business Information Security Officer (BISO) per ogni funzione e a supporto del CISO, in modo da: ridurre al minimo i rischi; massimizzare la protezione; aumentare il valore delle risorse di informazioni aziendali dell’organizzazione; favorire un approccio olistico propedeutico alla resilienza del business.
Conclusioni
La misurazione delle prestazioni di sicurezza consente, quindi, di articolare con efficacia il coinvolgimento dei vari stakeholder e, al contempo, di dimostrare quanto efficiente la cyber security aziendale, soprattutto a livello di CdA e stakeholder, dato che è considerata come una leva strategica per migliorare la performance finanziaria di un’organizzazione.
Lo sviluppo di metriche di sicurezza strutturate supporta l’implementazione dei principi di Risk Management & Business Continuity e Cyber security; inoltre, attraverso un approccio olistico i CISO e i futuri Business Information Security Officer (BISO) per ogni funzione potranno dimostrare, sempre più, l’efficacia dei programmi di cyber security strategici per preservare e proteggere il marchio e la reputazione aziendale.
Infine, se da un lato i cyber security risk rating consentono di comprendere dove e come è necessario assegnare priorità agli investimenti di cyber security, come questi aiutino a pianificare le decisioni future e a visualizzare i risultati delle decisioni precedenti, dall’altro lato le metriche strategiche, operative e tattiche sono fondamentali per svolgere i vari risk assessment e business impact analysis.
I CISO sono destinati ad evolvere dal vecchio approccio reattivo e in silos (atto a rilevare, proteggere e difendere) ad una nuova strategia basata su “vedere”, prevedere ed agire, in modo da mitigare le minacce critiche che colpiscono tutte le funzioni aziendali.
In conclusione, si tratta di attuare il necessario cambio di paradigma per gestire il binomio cyber security-business, ovvero, un approccio orientato ai risultati che bilancia investimenti e rischi con le esigenze aziendali e contribuisce a conseguire gli obiettivi di business, garantendo la continuità aziendale
Riviste settore Cyber
Su di noi
Impostazione sui Cookies :
©Cybersecure, All rights reserved, Powered by LV & IT solutions Design
Dipartimento Italiano per la Sicurezza Cibernetica ( D.I.S.C.) utilizza WordPress