Le organizzazioni non sono mostri senza testa ma contenitori di persone, che sono l’asset tangibile più importante per qualsiasi azienda. Come l’azienda ha il suo core-business, così il CISO ha il suo core-asset: il team che lo supporta.
Anche digiunando e passando le notti in bianco, ognuno ha solo 24 ore al giorno – né una di più né una di meno. Per questo motivo gli esseri umani si riuniscono sin dalla preistoria in gruppi, in modo da dividersi i compiti e perseguire obiettivi comuni più grandi.
Una lezione evolutiva che rimane valida anche nella cyber security moderna.
Ma quante persone servono realmente per la sicurezza di un’organizzazione pubblica o privata? Proviamo a fornire tre metriche fondamentali: ogni 3.000 utenti servono da 1 FTE (startup) a 6 FTE (settori regolamentati); la percentuale di Security FTE deve essere almeno il 5% degli ICT FTE; la percentuale di Security Budget deve rappresentare minimo il 5% del budget ICT.
La sicurezza non può essere affidata solo al CISO: deve essere gioco di squadra perché i cyber criminali irretiscono proprio le organizzazioni dove i team non comunicano[1].
Indice degli argomenti
Cinque domande per valutare la maturità del team
Ma cosa occorre valutare per misurare la maturità del team di supporto al CISO e, quindi, dimensionarlo correttamente?
Ecco le risposte alle cinque domande principali che chiunque si occupi di sicurezza informatica in azienda dovrebbe porsi prima di creare un team dedicato.
Condivisione della responsabilità
La sicurezza è responsabilità condivisa in tutta l’organizzazione o principalmente demandata al CISO e agli “omini della sicurezza”?
Questa domanda fondamentale può determinare se il CISO rischia di diventare capro espiatorio in caso di violazione.
In particolare, se il team del CISO è ridotto, diventa essenziale distribuire le responsabilità di sicurezza tra le diverse funzioni dell’organizzazione.
Risk Appetite
Qual è la tolleranza al rischio dell’organizzazione? Questo parametro varia notevolmente a seconda del settore.
In settori altamente regolamentati o organizzazioni pubbliche, l’appetito per il rischio può essere relativamente basso.
Ed è importante comprendere quanto rischio l’organizzazione è disposta a tollerare, nonché l’estensione del rischio da gestire: ne va della cotenna del CISO.
Dipendenza dall’ICT
Quanto l’organizzazione dipende dalle tecnologie dell’informazione e dalla connettività? Nelle industrie ad alta tecnologia, la dipendenza può essere estremamente elevata, influenzando la necessità di proteggere sistemi e dati.
Il perimetro di attacco di una fabbrica tessile è estremamente diverso dal perimetro di una banca digitale
Ruolo del personale non di sicurezza
Quante persone al di fuori del team di sicurezza svolgono funzioni di sicurezza, come applicazione di patch o gestione firewall?
Il decentramento è positivo se ben governato, ma influenza dimensione, composizione e governo del team alle dipendenze dirette o indirette del CISO.
Struttura organizzativa
La sicurezza può essere gestita in-house, in outsourcing o centralmente. La scelta dell’approccio influisce su dimensione e competenza richiesta al team del CISO.
Il bias della delega totale
L’antivirus “salvatore” è una mera illusione. La gestione della sicurezza non può essere affidata solo al CISO e al suo team.
Una visione dove ognuno è legittimato a cliccare dappertutto (perché tanto ci penserà l’antivirus, qualcuno del team di security, o la Provvidenza) è un bias che il cervello adotta per risparmiare glucosio ed evitare di pensarci troppo.
La sicurezza deve essere un gioco di squadra: i cyber criminali irretiscono proprio quelle organizzazioni in cui i team non comunicano o comunicano male.
Il lupo non attacca l’intero gregge, ma lavora ai lati aspettando che una pecora si allontani un po’.
È necessario conoscere la maturità dell’organizzazione e stimolarla ad alzare l’asticella.
Il concetto di FTE: misurare le risorse umane
Per capire le metriche, dobbiamo definire il concetto di FTE (Full-Time Equivalent), cioè una risorsa che lavora per 8 ore. Se acquisti 1 FTE da un’azienda di consulenza, stai acquistando una consulenza di 8 ore al giorno di una persona, indipendentemente da ferie e malattia.
Se serve un servizio di analisi di sicurezza con un analista per ogni fascia oraria, servono 3 FTE per coprire le 24 ore. Cioè, se chiedi alle Risorse Umane di assumere un team di 3 persone che lavora 9-13 e 14-18 dal lunedì al venerdì, devi chiedere 3 FTE.
Le tre metriche per la sicurezza
Ecco, dunque, le tre metriche identificate da Gartner per dimensionare correttamente il team di sicurezza in azienda
Numero di utenti per Security FTE
Metrica che valuta l’adeguatezza delle risorse del team di sicurezza rispetto al numero di utenti dell’organizzazione. Per un’azienda con 3.000 utenti, la dimensione del team di sicurezza dovrebbe variare:
- 1 FTE: startup con rischio limitato
- 3 FTE: grande pubblica amministrazione
- 6 FTE: organizzazione in mercati altamente regolamentati
È un parametro importante per capire se ci sono abbastanza risorse per coprire le esigenze degli utenti in base al rischio che creano.
Percentuale Security FTE rispetto a ICT FTE
Metrica che valuta la proporzione di risorse dedicate alla sicurezza rispetto al totale delle risorse ICT. Una percentuale del 5% è il minimo raccomandabile.
In un’organizzazione con 100 ICT FTE dovrebbero essere dedicati alla sicurezza almeno 5 FTE. È un parametro utile per determinare se l’organizzazione sta investendo sufficienti risorse umane nella sicurezza rispetto all’ambito ICT generale.
Percentuale Security Budget rispetto a Budget ICT
Metrica che valuta la proporzione delle risorse finanziarie dedicate alla sicurezza rispetto al budget complessivo ICT. Anche in questo caso, una percentuale del 5% è il minimo raccomandabile.
Se il budget ICT annuale è di un milione di euro, almeno 50.000 euro dovrebbero essere destinati alla sicurezza. È una metrica che riflette l’allocazione finanziaria necessaria a garantire risorse adeguate.
Utilizzare le metriche per decisioni informate
Utilizzando queste metriche, puoi valutare se l’organizzazione sta investendo nella sicurezza risorse umane e finanziarie adeguate, in linea con il proprio rischio, dimensioni ed esigenze operative.
Se l’organizzazione non sta investendo adeguatamente in sicurezza, la responsabilità del CISO è quella di informare i decisori su parametri che potrebbero non conoscere, prima che i parametri gli si rivoltino contro: quello del CISO è un ruolo educativo fondamentale per trasformare percezioni in decisioni basate su evidenze.
Verso una distribuzione matura delle responsabilità
La valutazione della maturità e delle risorse richiede l’utilizzo di metriche significative per comprendere l’efficacia delle operazioni di sicurezza. Solo distribuendo responsabilità e competenze si può costruire una sicurezza realmente resiliente.
Le metriche che abbiamo appena visto non sono obiettivi rigidi, ma punti di riferimento per valutazioni contestualizzate.
L’investimento nelle persone rimane il fattore determinante per trasformare la sicurezza da costo a vantaggio competitivo.
Il futuro della sicurezza distribuita
Il futuro della cyber security richiede un’evoluzione dalla gestione centralizzata della sicurezza alla distribuzione intelligente di competenze e responsabilità attraverso tutta l’organizzazione: è necessario passare dalla centralizzazione alla capillarizzazione.
Solo creando una rete di security champion distribuiti in ogni funzione aziendale si può costruire una difesa efficace che trasformi ogni dipendente da potenziale vulnerabilità in sensore attivo di sicurezza.
La lezione delle metriche è chiara: la sicurezza efficace richiede investimenti adeguati in persone, distribuite strategicamente per massimizzare copertura e competenza.
[1] Per saperne di più, il “Manuale CISO Security Manager” fornisce ai professionisti gli strumenti per valutare maturità organizzativa, dimensionare correttamente i team e distribuire responsabilità, trasformando la sicurezza da funzione isolata a capacità distribuita.
