SCENARI

La cyber security come leva strategica del business digitale: metriche e paradigmi

Nell’attuale contesto di digital transformation è opportuno che le aziende attuino il necessario cambio di paradigma per gestire il binomio cyber security-business, adottando un approccio orientato ai risultati che bilanci investimenti e rischi con le esigenze aziendali e contribuisca a conseguire gli obiettivi di business garantendo la continuità aziendale

15 Ott 2020
L
Federica Maria Rita Livelli

Business Continuity & Risk Management Consultant


Il mondo erratico e sempre più digitalizzato in cui viviamo non può prescindere dalla sicurezza, declinata nei vari ambiti, per far fronte alle sfide dell’era del business digitale che opera su una matrice complessa, dinamica e altamente frammentata di infrastrutture locali, cloud e ibride, applicazioni, dati, dispositivi mobili, IoT e sistemi convergenti IT/OT.

Ogni azienda deve, di fatto, proteggere il framework di tecnologie interconnesse che costituiscono la superficie di attacco moderna.

Pertanto, sebbene la conformità alle normative abbia ricoperto, sino ad oggi, un ruolo decisivo nelle decisioni in materia di sicurezza, le aziende hanno incominciato a dare priorità alle prospettive dei clienti e dei partner in base alle quali si determinano le strategie aziendali.

Tuttavia, nonostante i progressi e gli investimenti nel settore in materia di cyber security, c’è una massiccia distonia nel modo in cui le aziende comprendono e gestiscono il rischio informatico. Pertanto, il CISO moderno deve sostenere la sicurezza sia della tecnologia sia del business, convertendosi da esperto di tecnologia a leader della sicurezza allineata al business.

La sicurezza diventa una leva strategica, un elemento di differenziazione – anche a livello di mercato – sino a diventare un elemento imprescindibile per conquistare la fiducia dei clienti, garantire la proprietà intellettuale e proteggere il marchio.

È fondamentale, nella gestione della cyber security, stabilire metriche per misurare, in modo accurato ed obiettivo, i programmi di sicurezza e soddisfare le esigenze sia dei clienti in termini di rendicontazione trasparente, sia dei CDA e del Top Management in termini di investimenti efficienti.

Si tratta di implementare la cosiddetta Gestione delle Prestazioni di Sicurezza (i.e. Security Performance Management – SPM), ovvero definire la cyber security in modo più strategico, utilizzando metriche di prestazione proattive e basate sul rischio, considerando anche il fatto che le metriche di sicurezza informatica spesso mancano di un contesto di rischio aziendale.

La sicurezza per i CISO diventa una leva per il business

La società di consulenza americana Forrester ha pubblicato a settembre 2019 un report che illustra, sulla base delle interviste effettuate a 207 C-level Security Manager americani e inglesi, come vengono misurate le prestazioni di cyber security.

Per i CISO è giunto il momento di gestire la sicurezza “come se fosse un’azienda”, considerando il fatto che le prestazioni di sicurezza devono confrontarsi con le sfide del business.

La cyber security è alla base della protezione, della facilitazione e della creazione di opportunità di crescita dei profitti: oggi più che mai i clienti ricercano aziende in grado di garantire un buon livello di cyber security e, di conseguenza, capaci di proteggere i loro dati e, ove il caso, la proprietà intellettuale.

Dunque, una sicurezza che deve essere garantita a tutti i costi in modo tale da salvaguardare la performance economica delle organizzazioni.

Pertanto, i CISO devono dimostrare di saper coniugare la tecnologia e la gestione economica della sicurezza, ovvero far fronte alle nuove responsabilità e saper gestire efficientemente ed efficacemente il nuovo paradigma cyber security-business. Di qui la necessità di essere in grado di:

  1. Dare priorità ai clienti e ai partner. L’80% delle aziende intervistate nel rapporto Forrester ha dovuto gestire almeno un incidente di cyber security nell’ultimo anno (soprattutto malware) che – come evidenziato dal 54% degli intervistati – ha causato danni più o meno gravi in termini privacy e sicurezza dei clienti. Per i CISO è importante dimostrare ai clienti ed ai partner- attraverso una comunicazione efficace ed efficiente – che l’azienda è in grado di garantire standard di sicurezza e al contempo soddisfare le sempre più numerose richieste di report sulle misure di cyber security adottate. I report forniti ai clienti ed ai partner, nella maggior parte dei casi, purtroppo, risultano non essere così dettagliati ed esaustivi rispetto a quelli destinati ai Cda, al Top Management o agli enti di regolamentazione.
  2. Salvaguardare la reputazione: leva fondamentale per il successo aziendale. Più di un terzo delle aziende intervistate ammette di aver subito perdite economiche in quanto incapace di garantire parametri di sicurezza adeguati, oppure perché tali parametri non sono stati comunicati efficacemente al cliente e al partner che, di conseguenza, non ne ha preso consapevolezza. L’82% dei decision maker intervistati ritiene che, il modo in cui clienti e partner percepiscono la sicurezza, è sempre più importante ed influenza inevitabilmente le decisioni aziendali. Inoltre, la crescente importanza della reputazione aziendale ha comportato che le opinioni e le percezioni dei clienti e dei partner abbiano ora un impatto maggiore sulle decisioni in materia di sicurezza rispetto a quelle delle autorità di regolamentazione.
  3. Comunicare efficacemente ai vari stakeholder il livello di cyber security dell’organizzazione. I CISO, man mano che la disciplina di cyber security matura, diventano veri e propri “traduttori”, ovvero, devono essere in grado di spiegare al Top Management cosa stanno facendo per garantire maggiori guadagni e far comprendere ai propri rapporti diretti quanto sia importante impostare obiettivi di sicurezza allineati agli obiettivi aziendali. Le organizzazioni non possono più condividere semplicemente i risultati di un audit di successo per dimostrare di avere buone prestazioni di cyber security: pur essendo gli audit importanti, di fatto, per i clienti quello che conta è avere una garanzia di un’efficiente cyber security aziendale. Ed è qui che entrano in gioco le metriche di sicurezza di cui abbiamo parlato, tenendo presente che i relativi report devono essere comprensibili alle parti interessate.

A che punto siamo con la gestione delle prestazioni di sicurezza

La gestione delle prestazioni di sicurezza, atta a giustificare gli investimenti di cyber security, non risulta ancora efficacemente e sufficientemente implementata. Varie sono le ragioni di questo ritardo, tra cui:

  1. Mancanza di consapevolezza del ruolo strategico delle metriche nella redazione dei budget di cyber security: secondo il 63% degli intervistati nel report Forrester, il crescente interesse e controllo degli investimenti in misure di cyber security rende strategiche le metriche di sicurezza nel giustificare tali investimenti. Purtroppo, secondo gli intervistati, la percentuale di organizzazioni che applica una gestione delle metriche di sicurezza risulta ancora troppo esigua, nonostante l’importanza della “disciplina” e non è incoraggiante sapere che il 40% degli intervistati abbia dovuto avvalersi di worst case scenario per convincere i vari decision makers della necessità degli investimenti.
  2. Non esaustività e chiarezza di altre tipologie di metriche di sicurezza. Il report rivela, altresì, che altre metriche di sicurezza comunemente utilizzate risultano “imperfette”, soprattutto quelle relative al numero di incidenti malware bloccati o il numero di incidenti di data loss prevention, in quanto risultano non contestualizzate; ovvero una società può rilevare che il firewall abbia bloccato un milione di intrusioni, ma non riesce a sapere quante di queste intrusioni siano riuscite a provocare effettive “distorsioni”. Alcune metriche, invece, in termini di percentuale di intrusioni bloccate dai firewall o la percentuale di e-mail di phishing sono in grado di fornire un contesto ancora più dettagliato.
  3. Raccolta sempre maggiore di dati di difficile analisi a fronte di metriche non definite. Nel tentativo di raccogliere sempre più dati, le aziende hanno investito in nuove tecnologie per migliorare la misurazione delle prestazioni di sicurezza; tuttavia, l’adozione della tecnologia ha portato a un ecosistema di sicurezza sempre più complesso: le organizzazioni intervistate hanno affermato di avvalersi di una media di nove diverse categorie di tecnologie di sicurezza, evidenziando come il maggior numero di dati raccolti non si traduca in decisioni migliori, dal momento che la sfida consiste nell’analisi dei dati raccolti. Pertanto, senza metriche adeguate a misurare l’efficacia e a comunicare il valore delle misure adottate, le aziende si trovano letteralmente “inondate” di dati che non sono in grado di contestualizzare. Ne consegue che, le metriche delle prestazioni per valutare i dati raccolti debbano essere migliorate in modo tale da permettere alle organizzazioni di prendere decisioni migliori e fornire una base per garantire relazioni con i clienti più “sicure” e quindi più “fruttuose”.

Il cyber security risk rating come strumento di misurazione

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

Il 45% delle aziende intervistate ritiene i cyber security risk ratings siano più strategici per natura rispetto alle altre metriche di sicurezza in quanto si incentrano sul rischio e si tratta di classificazioni indipendenti, derivate da informazioni oggettive, verificabili e create da organizzazioni indipendenti di rating.

Proprio come i rating del credito forniscono informazioni sulla stabilità finanziaria dell’organizzazione, i cyber security risk rating forniscono informazioni sulla salute e sulle pratiche di sicurezza informatica di un’organizzazione.

Il livello di sicurezza più alto è una “A”, che indica un numero basso di vulnerabilità, indicatori di minaccia e problemi. Le aziende con una valutazione C, D o F hanno cinque volte più probabilità di essere vittime di violazioni dei dati rispetto a quelle con una valutazione A o B.

Vale la pena notare come i clienti siano particolarmente attenti e sensibili a questi parametri che si convertono, pertanto, in una leva strategica per il successo aziendale.

Benefici derivanti da una gestione delle metriche di sicurezza

Il Report Forrester 2019 evidenzia come le organizzazioni, implementando una gestione strutturata delle metriche di sicurezza, possano aumentare l’efficacia della cyber security e soddisfare le richieste di report maggiormente trasparenti; in particolare, dal report si evinceva che i CISO che avevano avviato la gestione delle metriche più approfondite in grado di evidenziare gli impatti strategici, operativi e tattici nei rapporti stilati sulla cyber security avevano riscontrato diversi benefici.

Di fatto, queste metriche posso misurare la cyber security da varie prospettive e precisamente:

  1. Metriche strategiche: mostrano l’impatto attuale e potenziale sulla organizzazione dei rischi per la sicurezza e gli sforzi per mitigarli; informazioni che potrebbero influenzare il marchio, la reputazione o altri fattori legati ai profitti.
  2. Metriche operative: forniscono una panoramica delle performance e delle interrelazioni all’interno dell’organizzazione; tali informazioni possono portare a modifiche nell’allocazione delle risorse del team e nella direzione dei progetti e delle iniziative.
  3. Metriche tattiche: si applicano al personale che control tecnologie e processi attraverso i flussi di lavoro di sicurezza; informazioni che aiutano gli analisti della sicurezza e dipendenti in prima linea prendere decisioni migliori.

È evidente che solo attraverso una calibrata sintesi di implementazione di principi di Risk Management & Business Continuity e Cybersecurity Management, coadiuvati dai relativi risk assessment e business impact analysis – basati su queste metriche strutturate – i CISO potranno:

  • ottenere un aumento del budget per la sicurezza: il report Forrester 2019 rivela che CISO che utilizzano metriche di sicurezza strutturate hanno maggiori probabilità di ottenere un aumento del loro budget di sicurezza del 10%, o superiore, rispetto all’anno precedente;
  • migliorare l’efficacia del programma di cyber security: attraverso il monitoraggio, la misurazione delle prestazioni delle misure di sicurezza diventa più facile gestirne anche i risultati. Tenendo traccia delle prestazioni, i CISO possono giustificare meglio il loro budget di cyber security e sono più propensi ad agire per migliorarne i risultati. Inoltre, risulta che le organizzazioni con metriche strutturate risultano avere più probabilità di:
  1. sviluppare criteri di cyber security;
  2. essere più propense ad aggiornarne la tecnologia;
  3. essere più inclini ad organizzare una formazione ad hoc dei vari attori coinvolti a livello aziendale;
  • migliorare le prestazioni finanziarie: quasi tre quarti delle aziende intervistate hanno affermato che una migliore misurazione delle prestazioni di sicurezza migliorerebbe in modo significativo le prestazioni finanziarie aziendali; inoltre, una migliore misurazione contribuirebbe garantire una maggiore continuità aziendale oltre a migliorare la reputazione dell’azienda, garantendo, altresì, una migliore performance dell’azienda e maggiori profitti;
  • aumentare il customer value: le aziende intervistate concordano sul fatto che miglioramento della misurazione delle prestazioni di sicurezza crea valore, migliorando le prestazioni delle aree considerate sensibili dai propri clienti, i.e. prevenzione data breach e rilevamento delle violazioni. In generale, oltre la metà delle aziende intervistate ritiene che una migliore misurazione delle prestazioni di sicurezza si traduca in una riduzione del rischio complessivo.

Una questione di paradigma cyber security-business

Il report Forrester 2020, pubblicato ad agosto di quest’anno, riporta i risultati scaturiti da interviste – effettuate nel mese di marzo 2020 – a circa 416 professionisti della sicurezza e 425 dirigenti di varie funzioni.

Il report ribadisce la necessità urgente di allineare le iniziative di cyber security con gli obiettivi aziendali.

C’è, di fatto, una distonia nel modo in cui le aziende capiscono e gestiscono il rischio informatico: strategie di sicurezza reattive, in silos e tattiche ostacolano di fatto la capacità dei CISO di ottenere un chiaro quadro dello stato di cyber security delle loro organizzazioni e la comprensione delle minacce che rappresentano il maggior rischio aziendale.

Mentre, quando la cyber security e il business sono allineati, i benefici sono significativi e, come si evince dal report, i CISO unitamente agli altri leader della security – in modo olistico – riescono a “vedere” i cyber risk, a prevederli e, di conseguenza, ad agire in modo mirato, grazie alla giusta combinazione di metriche, tecnologia, dati, processi e persone.

Lo studio ha rilevato che, mentre circa il 70% o più dei CISO affermano di avere una visibilità elevata o completa delle applicazioni, dei dati, dell’IT e delle piattaforme cloud delle loro organizzazioni, solo sei su dieci CISO hanno un livello di visibilità simile in termini di OT, IoT e dispositivi mobili.

Inoltre, per quanto riguarda la valutazione del cyber risk in termini di personale che lavora in loco, sei CISO su dieci segnalano di avere una visibilità elevata o completa; mentre solo il 52% può dire lo stesso quando si tratta di dipendenti che lavorano da sedi remote o da casa.

Un’altra problematica che affligge i CISO è la visibilità limitata del cyber risk che può scaturire dai propri appaltatori, partner e sub-fornitori e che impedisce loro di raggiungere una comprensione olistica delle superfici di attacco delle loro organizzazioni e delle risorse più critiche.

Il rapporto del 2020, riconferma, in generale, che le metriche di sicurezza informatica continuano a non riflettere il contesto di rischio aziendale, in quanto non si è ancora sufficientemente sviluppata una partnership tra i CISO e i leader aziendali per garantire l’allineamento tra le metriche di cyber security e gli obiettivi di priorità aziendali.

Solamente la metà dei CISO afferma di lavorare con le parti interessate aziendali per allineare gli obiettivi di riduzione dei costi, delle prestazioni e dei rischi in base alle aziendali; mentre quattro CISO su dieci segnalano di esaminare e condividere regolarmente le metriche delle prestazioni di cyber security con le loro controparti aziendali.

Da report si evince che le strategie e le metriche di cyber security, se ben allineate alle priorità e obiettivi aziendali, risultano maggiormente efficaci per informare, impostare e prendere decisioni aziendali.

Inoltre, sarebbe auspicabile prevedere all’interno dell’organizzazione un Business Information Security Officer (BISO) per ogni funzione e a supporto del CISO, in modo da: ridurre al minimo i rischi; massimizzare la protezione; aumentare il valore delle risorse di informazioni aziendali dell’organizzazione; favorire un approccio olistico propedeutico alla resilienza del business.

Conclusioni

La misurazione delle prestazioni di sicurezza consente, quindi, di articolare con efficacia il coinvolgimento dei vari stakeholder e, al contempo, di dimostrare quanto efficiente la cyber security aziendale, soprattutto a livello di CdA e stakeholder, dato che è considerata come una leva strategica per migliorare la performance finanziaria di un’organizzazione.

Lo sviluppo di metriche di sicurezza strutturate supporta l’implementazione dei principi di Risk Management & Business Continuity e Cyber security; inoltre, attraverso un approccio olistico i CISO e i futuri Business Information Security Officer (BISO) per ogni funzione potranno dimostrare, sempre più, l’efficacia dei programmi di cyber security strategici per preservare e proteggere il marchio e la reputazione aziendale.

Infine, se da un lato i cyber security risk rating consentono di comprendere dove e come è necessario assegnare priorità agli investimenti di cyber security, come questi aiutino a pianificare le decisioni future e a visualizzare i risultati delle decisioni precedenti, dall’altro lato le metriche strategiche, operative e tattiche sono fondamentali per svolgere i vari risk assessment e business impact analysis.

I CISO sono destinati ad evolvere dal vecchio approccio reattivo e in silos (atto a rilevare, proteggere e difendere) ad una nuova strategia basata su “vedere”, prevedere ed agire, in modo da mitigare le minacce critiche che colpiscono tutte le funzioni aziendali.

In conclusione, si tratta di attuare il necessario cambio di paradigma per gestire il binomio cyber security-business, ovvero, un approccio orientato ai risultati che bilancia investimenti e rischi con le esigenze aziendali e contribuisce a conseguire gli obiettivi di business, garantendo la continuità aziendale.

WEBINAR
Sicurezza e Smart Working; elementi strategici per il business
Sicurezza
Cybersecurity

@RIPRODUZIONE RISERVATA

Articolo 1 di 5