In un settore sempre più complesso e diversificato come quello della cyber security, è emersa ormai da tempo la necessità di cambiare approccio alla gestione degli incidenti informatici. Che non sempre, chiariamolo, riguardano gli attacchi malevoli, ma che alla fin della fiera portano comunque a un’unica conclusione: un disastroso impatto economico, e non solo, per le aziende che ne sono colpite.
Indice degli argomenti
Risk management: da reattivo a proattivo
Su queste basi, tutto il settore concorda ormai da tempo sull’evoluzione del modello di approccio al rischio informatico. C’è, insomma, la necessità di passare da un approccio reattivo e un approccio proattivo.
Si badi bene: si parla, in questo caso, non di procedure tecniche, ma organizzative. Quindi, si passa da un modello dove al massimo di sviluppa un piano di prevenzione sulla base delle necessità aziendale nell’immediato, a uno dove si analizza il contesto del settore, poi quello in cui si muove l’azienda, si valutano le prospettive, si ricavano bisogni a medio e lungo termine, e infine si modella un piano di risk management.
E solo dopo tutto questo processo si passa, finalmente, alla gestione tecnica della cyber security.
La gestione del rischio cyber in ambienti di multi e hybrid cloud
I benefici di un buon risk management nella cyber security
Non è certo una novità che il risk management sia un componente ormai vitale di una buona strategia di difesa e le conseguenze di un approccio proattivo, in questo senso, sono evidenti. Si aumenta l’efficienza del sistema difensivo in tema digitale, certo, ma al tempo stesso si riducono i costi operativi, si migliora la reputazione aziendale, si organizza meglio il lavoro e, dunque, la qualità di vita di collaboratori e dipendenti.
Il tutto facendosi trovare sempre e comunque pronti ad affrontare sfide nuove, improvvise e, a volte, molto critiche. Basti pensare, per esempio, a come gli ultimi anni, a causa di una pandemia e poi di una guerra con risvolti mondiali, abbiano cambiato i problemi legati alla gestione della cyber security.
È qui, soprattutto, che entra in gioco l’importanza del risk management.
La necessità di un framework
Il risk management, tuttavia, in questo settore è ancora acerbo, quindi si assiste, spesso, a soluzioni improvvisate che da una parte danno la falsa percezione di essere coperti ed efficienti, e dall’altra rischiano invece si aumentare a dismisura i costi per via di valutazioni e calcoli errati.
Per queste ragioni, qualunque sia la dimensione dell’azienda che si occupa di cyber security, che sia interna o gestita, occorre pensare all’adozione di un framework di risk management adatto proprio alla cyber security.
Il ciclo di Deming
Nel settore non mancano esempi di framework pronti all’uso, ma si tratta, spesso e volentieri, di progetti fin troppo generalisti o di versioni afferenti ad altri settori e adattate alla bell’e meglio. Per questa ragione, con la giusta attenzione e le giuste competenze, che chiunque abbia a che fare con la cyber security dovrebbe avere, è possibile pianificare un proprio framework “nativo” per la cyber security.
Il punto di partenza è il mai troppo lodato ciclo di Deming, sviluppato da William Edwards Deming negli anni cinquanta e ancora oggi considerato un pilastro nella gestione e controllo dei processi. Si basa su un acronimo, ossia PDCA (Plan Do Check Act), e occorre innanzitutto notare che si parla di ciclo, perché prevede un continuo passaggio dall’ultimo step, l’azione, al primo, la pianificazione.
Proprio questa, che è un po’ l’inizio del framework, prevede uno studio accurato dell’azienda. Chiaro che in una fase di definizione come questa, è essenziale che tale studio sia operato da un organo o professionista esterno, che privo di bias e limiti possa individuare in modo oggettivo cosa fa l’azienda, dove lo fa, come lo fa, con chi lo fa e con cosa lo fa. Sempre in questo primo step, si individuano in modo oggettivo asset e stakeholder aziendali, che in un piano di cyber security vanno considerati come il cuore del sistema da difendere.
Dal Plan al Check
Nella fase del Do, invece, rientra l’applicazione dei principi di risk management come li conosciamo, ma calati in un costo complesso e variabile come quello della cybersecurity: a partire dalla fase di pianificazione e quindi di asset e stakeholder, si individuano i rischi a cui sono soggetti, per poi passare alle tradizionali fasi di analisi del rischio e sua mitigazione, caso per caso.
Niente di più di ciò che impariamo o abbiamo imparato in corsi e lezioni di project management e risk management. Perché, nel caso della cyber security, il grosso arriva con lo step successivo: la fase di Check. Qui, infatti, occorre sviluppare una strategia di monitoraggio a ciclo continuo come si riscontra in ben pochi altri settori, accompagnata dalla puntuale produzione di report e loro valutazione.
Spetterà, poi, alla fase di Act l’integrazione di quanto sviluppato nella filiera produttiva aziendale, con l’esigenza, però, di rimettere in discussione, a ogni ciclo, tutto il processo di risk management, in modo da individuarne criticità o per migliorarlo.
Risk management: il framework di Schenkelberg
Per calare ancor più questi principi nel mondo della cybersecurity, ci si può affidare al monumentale lavoro di Fred Schenkelberg, fisico e statistico, creatore del Hewlett Packard Corporate Reliability Program e poi fondatore della società di consulenza Accendo Reliability.
Nel framework di Schenkelberg, il ciclo PDCA si traduce in un framework a 7 fasi specifiche per il nostro settore.
Nella prima, ci sono le attività di assessment e identificazione dei rischi, probabilmente la più specifica del settore della cyber security. Nella seconda fase, invece, si passa ad analisi, valutazione e prioritizzazione dei rischi, in modo da ottimizzare le risorse presenti o individuare quelle mancanti.
Nella terza fase del framework, si ha la pianificazione delle specifiche attività di mitigazione, risposta o esclusione del rischio, dove Schenkelberg pone l’attenzione sull’importanza della modifica in corsa del framework, che dovrebbe essere certo rara ma che non va esclusa.
Nella quarta fase, si allocano le risorse necessarie alla fase tre, individuando soprattutto i budget necessari per riuscirci. Infine, ecco il pacchetto delle tre fasi conclusive, che si complementano a vicenda. Dapprima lo sviluppo di piani di contingenza, che devono far fronte alla mutabilità di attacchi e incidenti informatici, e poi, nella sesta fase, il monitoraggio e relativa produzione di reportistica. Invece la settima fase, quella dell’analisi del framework di risk management, soprattutto in termini di efficacia e sostenibilità, e del post-mortem, per individuare ciò che si può migliorare.
Architettura, policy e procedure
Il tutto, sempre secondo il framework proposto da Schenkelberg, calato nel contesto della cyber security, va affrontato dividendo il risk management in tre categorie di asset e procedure: l’architettura del rischio, le policy e procedure e protocolli.
Ragionare a un sistema di risk management in questi termini consente di organizzare al meglio le strategie di cyber security a qualsiasi livello, indipendentemente dalla dimensione, adattandolo anche alle esigenze più specifiche. Adotto io stesso questo framework ormai da qualche anno, per i miei clienti, e oltre ad averne provato l’efficacia, noto che si tratta di una soluzione che viene compresa alla perfezione da ogni interlocutore, che sovente è a digiuno di principi di risk management e di cyber security. Perché il dialogo tra le parti, lo sappiamo bene, è il vero segreto di ogni buon piano di cyber security.
