C’è un rito che si consuma trimestralmente nelle sale riunioni di mezza Italia e che rappresenta, spesso, il punto di rottura tra la direzione IT e il business.
Il CISO, armato di slide e di tutte le buone intenzioni, proietta grafici che mostrano «10.000 attacchi al firewall bloccati», «500 email di phishing intercettate» o «99,9% di uptime dei sistemi di sicurezza». E si aspetta un riconoscimento per il lavoro svolto in trincea, o almeno una pacca sulla spalla. Invece, riceve sguardi vuoti – o peggio – domande di challenging che gli gelano il sangue.
Per evitare di ritrovarsi in situazioni del genere, è utile imparare a parlare la lingua del business, in modo da fornire le formule economiche (SLE, ALE, ROI) necessarie per tradurre il rischio cyber in impatto finanziario e ottenere finalmente il budget necessario dal Board[1].
Indice degli argomenti
Il problema non è tecnico, è linguistico
Un direttore chiede: «Quindi siamo sicuri?» e il CISO risponde: «Beh, si…». Allora il direttore rilancia: «Ok, se siamo così sicuri, perché dobbiamo spendere altri 50mila euro?».
Il problema non è tecnico, è linguistico. Infatti, presentare metriche operative a un Consiglio di Amministrazione è un errore fondamentale. Sarebbe come se il Direttore Commerciale presentasse i numeri di quante telefonate hanno fatto i suoi venditori o di quanti km hanno percorso in auto, invece di raccontare i numeri di quanto fatturato hanno portato in azienda.
Al Board non interessa lo sforzo (i virus bloccati), interessa il risultato (il rischio residuo e l’impatto sul business).
Le metriche di volume, spesso definite “Vanity Metrics”, danno una falsa sensazione di attività ma nessuna indicazione reale sulla postura di sicurezza. Dire «abbiamo bloccato un milione di pacchetti malevoli» può sembrare impressionante, ma se l’unico pacchetto che è passato ha cifrato il database dell’anagrafe o i brevetti industriali, quel milione non ha alcun valore.
Per un CISO che vuole sedere al tavolo decisionale non come tecnico ma come business partner, è necessario cambiare radicalmente il set di KPI.
Esistono solo tre macro-metriche che un Amministratore Delegato, un Direttore Generale o un CFO vogliono davvero conoscere e su cui sono disposti a ragionare in termini di budget.
L’esposizione finanziaria del rischio (Value at Risk)
Il linguaggio universale del business è il denaro, non i bit. Quando il CISO afferma «abbiamo una vulnerabilità critica sul server di produzione», il board sente un rumore tecnico indistinto.
La reazione cambia se la frase diventa: «Se quel server si ferma, l’azienda perde 50.000 euro all’ora di mancato fatturato. La probabilità che accada nei prossimi 12 mesi è del 20%. Investire 10.000 euro per il fix ha un ROI immediato rispetto a una perdita potenziale di 240.000 euro in un giorno».
Questa è la traduzione del rischio tecnico in Single Loss Expectancy (SLE) e Annualized Loss Expectancy (ALE). Non serve essere attuari per fare stime credibili. Basta mappare gli asset critici ai processi che supportano.
Se l’ERP si ferma, si fermano i camion o gli sportelli al pubblico? Se si fermano, quanto costano le penali contrattuali o il danno d’immagine? Questo è il numero che deve finire nella slide, non il codice CVE della vulnerabilità.
Il tempo reale di ripristino del business (resilienza)
La cyber security moderna ha accettato un paradigma scomodo: l’inviolabilità non esiste. Partiamo dal noto assunto che “non è se, ma quando”. Aggiungo io: “non è se, e nemmeno quando, ma quante volte”: la metrica più importante non è quanti attacchi respingiamo, ma quanto velocemente l’organizzazione si rialza dopo ogni colpo andato a segno.
Al vertice non interessa se l’attacco era un ransomware sofisticato o un errore umano: interessa sapere se la struttura starà ferma 4 ore o 4 settimane.
Qui il CISO deve presentare il divario tra l’RTO (Recovery Time Objective) teorico e quello reale, testato sul campo con simulazioni. «Attualmente, i nostri test di disaster recovery indicano che in caso di incidente grave, i sistemi tornano online in 48 ore. Il business ha dichiarato che dopo 24 ore di fermo subiamo danni irreparabili. C’è un gap di 24 ore che dobbiamo colmare con investimenti in ridondanza».
Questa metrica sposta la discussione dalla paura alla continuità operativa, un tema molto più caro agli stakeholder rispetto alla semplice “sicurezza informatica”.
Il benchmarking di mercato (maturità competitiva)
Nessun decisore vuole sentire che la sua organizzazione è il fanalino di coda del settore. La leva psicologica della competizione (o della compliance nel settore pubblico) è potentissima.
Utilizzare framework standard (come il NIST, la ISO 27001 o le misure minime AGID) permette di assegnare un punteggio di maturità (es. da 1 a 5) ai propri controlli e confrontarlo con la media del settore di riferimento. «I nostri competitor o gli enti omologhi investono mediamente il 7% del budget IT in security ed hanno un livello di maturità 3. Noi siamo al 4% con maturità 1.5. Siamo la preda più lenta del branco».
Questa narrazione è immediatamente comprensibile.
Le persone fanno quello che gli conviene e anche gli attaccanti sono opportunisti: non cercano la vittima più difficile ma profittevole, cercano quella più facile ed economica da attaccare, anche se il profitto è inferiore.
Posizionarsi sotto la media significa dipingersi un bersaglio sulla schiena.
Dalla dashboard tecnica alla scorecard strategica
Abbandonare le metriche tecniche non significa smettere di raccoglierle. Quelle servono al team SOC per il tuning quotidiano delle macchine. Ma quelle slide non devono mai uscire dal dipartimento IT.
Nella board room deve entrare solo una “Scorecard” sintetica, magari a semafori, che risponda a tre domande:
- Quanto rischiamo di perdere in soldi o reputazione?
- Quanto tempo ci serve per ripartire?
- Come siamo messi rispetto agli altri?
Smettere di contare i virus bloccati è il primo passo per smettere di giustificare la propria esistenza tecnica ed iniziare a dimostrare il proprio valore strategico.
Solo parlando la lingua del rischio finanziario e della continuità, il CISO può trasformare la security da un centro di costo fastidioso ad un asset indispensabile per la protezione del valore dell’organizzazione.
[1] Per imparare a calcolare la SLE e l’ALE e tradurre il rischio cyber in linguaggio finanziario, il Manuale CISO Security Manager offre le formule ed i casi studio pratici per costruire una governance basata sui numeri che contano.
