Nel mondo della governance aziendale esiste una regola non scritta ma fondamentale per la sopravvivenza professionale dei CISO: non conta quanto sei stato bravo o quanto hai lavorato, conta esclusivamente cosa puoi dimostrare di aver fatto.
Infatti, quando si verifica un incidente di sicurezza grave – e la statistica ci dice che è solo una questione di tempo – la differenza tra una gestione competente e una negligenza punibile (civilmente o penalmente) risiede quasi interamente nella documentazione prodotta prima dell’evento.
Ecco una guida pratica per fornire ai Security Manager i modelli documentali indispensabili per costruire la propria difendibilità legale, trasformando la governance da concetto astratto a scudo professionale concreto da esibire in caso di contenzioso o ispezione[1].
Indice degli argomenti
Tenere sempre traccia del potere decisionale
Infatti, spesso, i CISO e i Security Manager si concentrano in modo ossessivo sull’implementazione tecnica dei controlli: configurano firewall, installano EDR, segmentano reti.
Trascurano, però, la tracciabilità del processo decisionale che ha portato a quelle configurazioni. È un errore strategico che si paga caro.
Tuttavia, in caso di contenzioso legale, ispezione o audit normativo da parte di qualsiasi ente pubblica o privata, il giudice o l’auditor o l’ispettore non valuteranno la bontà della decisione col “senno di poi” (hindsight bias). O meglio, tenderanno a farlo, ma vedendo il danno già avvenuto come inevitabile conseguenza di una mancanza.
L’unica difesa contro questo pregiudizio cognitivo è dimostrare che, al momento della scelta e con le informazioni disponibili in quel preciso istante, il CISO ha agito secondo la “due care”.
In italiano, questo concetto giuridico si traduce con la “diligenza del buon padre di famiglia“: non è la perfezione assoluta, ma è la cura ragionevole che un qualsiasi professionista qualificato avrebbe applicato nella stessa situazione, seguendo gli standard di settore che fungono da framework terzo, indipendente e riconosciuto dal mercato.
La difendibilità legale
Qui entra in gioco il concetto di “Defensibility”. Difendibilità legale non significa aver bloccato l’attacco, cosa talvolta impossibile di fronte a minacce state-sponsored o 0-day. Significa dimostrare di aver preso decisioni razionali, basate su un’analisi costi-benefici coerente.
Per ottenere questo risultato, ogni CISO dovrebbe tenere un “Decision Log“, cioè un vero e proprio diario di bordo formalmente istituito dalla propria organizzazione.
Non si tratta di verbali di riunioni infinite o di email disomogenee che nessuno ritroverà mai tra tre anni, ma di un registro sintetico, centralizzato e inalterabile che risponde a quattro domande precise per ogni bivio decisionale affrontato:
- Qual era il rischio specifico identificato?
- Quali erano le opzioni tecnicamente disponibili tra evitamento del rischio inerente > mitigazione > accettazione del rischio residuo > trasferimento degli effetti patrimoniali di un eventuale impatto?
- Quale decisione è stata presa e, soprattutto, perché?
- Chi ha formalmente approvato il rischio residuo?
Scendiamo nel pratico con uno scenario che ogni CISO ha vissuto.
Immaginiamo di dover decidere se applicare una patch critica su un sistema industriale legacy, che gestisce la produzione e che nessuno può toccare. Il vendor della macchina non certifica la patch e c’è un’alta probabilità che un’installazione della patch blocchi la linea.
Se non applichiamo la patch e sei mesi dopo subiamo un attacco ransomware che sfrutta proprio quella vulnerabilità, senza un Decision Log la nostra posizione sarà indifendibile. L’accusa sarà semplice: «Il CISO sapeva della patch e non l’ha applicata, ergo è negligente e responsabile del danno».
Diversamente, immaginiamo di poter esibire al giudice un documento datato sei mesi prima, firmato dal Direttore di Produzione e dal CISO, in cui si evince chiaramente il processo logico: «In data X, è stata rilevata la vulnerabilità Y. L’applicazione immediata della patch è stata valutata ma posticipata di 30 giorni. La motivazione è che il rischio di fermo produzione causato dall’instabilità della patch (stimato in 1M€/giorno di mancato fatturato certo) è stato giudicato dal business superiore al rischio di attacco informatico in quel momento. Nel frattempo, come controlli compensativi, il CISO ha disposto l’isolamento della macchina dalla rete internet e l’attivazione di regole IPS stringenti sulla porta specifica».
In questo secondo caso, la posizione cambia radicalmente. Non siamo più di fronte ad una negligenza o ad una dimenticanza, ma ad una “Risk Acceptance” consapevole e strutturata.
Abbiamo agito con consapevolezza, bilanciando operatività e sicurezza, e abbiamo implementato misure alternative. L’incidente è avvenuto lo stesso, ma la responsabilità professionale del CISO è schermata dalla correttezza del processo decisionale.
Mantenere traccia delle proprie decisioni
Purtroppo, la memoria umana è fallibile e selettiva. A distanza di due o tre anni – i tempi tipici della giustizia civile o penale in Italia – nessuno ricorderà perché quel firewall era stato configurato con una regola “Any-Any” temporanea verso un fornitore, o perché l’MFA non era stato attivato su quel gruppo di utenti VIP.
Senza carta (o meglio, senza record digitali), varrà solo la realtà fattuale del disastro avvenuto.
Inoltre, il Decision Log ha un potente effetto psicologico sulla governance interna. Quando un dirigente di business spinge per «andare live subito senza i test di sicurezza» per non perdere un bonus o sforare una scadenza commerciale, il CISO deve semplicemente aprire il registro e dire: «Nessun problema, capisco le esigenze di business. Scriviamo qui che andiamo in produzione con vulnerabilità critiche note, che il rischio stimato è X e che tu, come Business Owner, accetti la responsabilità di eventuali incidenti per non ritardare il lancio. Poi firmiamo entrambi».
Nella maggior parte dei casi, di fronte alla necessità di mettere la propria firma accanto a un rischio tangibile, il dirigente troverà improvvisamente il tempo per fare i test di sicurezza.
Mantenere traccia delle decisioni non è una burocrazia aggiuntiva, è l’assicurazione sulla vita professionale del CISO.
È lo strumento che trasforma il ruolo da “capro espiatorio” a gestore del rischio.
[1] Per approfondire i concetti di Due Care, Due Diligence e le responsabilità legali del Security Manager, il Manuale CISO Security Manager offre i framework necessari per strutturare una governance a prova di audit, fornendo modelli pratici per trasformare la teoria della compliance in protezione legale concreta.
