3 punti guida essenziali per la sicurezza organizzativa

22 febbraio 2021

3 punti guida essenziali per la sicurezza organizzativa

I responsabili della sicurezza e della tecnologia hanno bisogno di misurare il successo, ma troppo spesso l'esercizio si concentra più sull'assenza di fallimento che sulla presenza di successo, con la sicurezza che viene definita in base a ciò che non è: non viene violata, non viene multata o non è conforme, non è "vulnerabile" (con un sano dibattito su cosa significhi esattamente). Una lista di cose da non fare è un pessimo sostituto di una mappa e di una bussola.

Fortunatamente, quando si parla di strategia di sicurezza di successo, non è necessario inquadrarla negativamente come assenza di fallimento: la strategia di sicurezza di successo può essere inquadrata positivamente con indicatori che indicano che si è sulla strada giusta, purché si sia disposti ad allineare il vocabolario della sicurezza con il vocabolario del rischio.

Dopo tutto, il rischio è un concetto trasversale all'organizzazione che determina i risultati aziendali. La sicurezza stessa è un ambito di rischio e gli investimenti in sicurezza sono meglio descritti come un impatto sulla mitigazione del rischio, ovvero sulla riduzione della probabilità e dell'impatto delle perdite previste. Quando l'allineamento verticale sui risultati del rischio avviene esplicitamente in un'organizzazione tra le funzioni di sicurezza tattiche e operative e il livello di leadership strategica, abbiamo una chiara linea di vista tra gli investimenti in sicurezza, il ritorno su tali investimenti e la misura in cui essi spostano l'ago del percorso di sicurezza.

Tenendo presente quanto sopra, ecco alcuni obiettivi ragionevoli: comprendere i fronti su cui si combatte, definire correttamente il concetto di vittoria e misurare il successo in modo da tradurlo in risultati aziendali.

Pianificazione strategica per i fronti della sicurezza organizzativa

In primo luogo, il rischio organizzativo deve riconoscere e pianificare esplicitamente i fronti su cui si combatte questa guerra.

Tra i diversi modi di suddividere quello che è uno spazio inevitabilmente interconnesso, un modo per farlo è quello di considerare i fronti interno, esterno e tecnologico:

Il fronte interno è costituito da ciò che è sotto il nostro diretto controllo, come il nostro personale e i nostri processi che influenzano il nostro rischio. Il successo su questo fronte allinea gli incentivi culturali al rischio e i risultati del rischio.
Il fronte esterno è quello in cui attori e attività al di fuori del nostro controllo influenzano il nostro rischio. Qui il successo va dalla pianificazione per i disastri naturali, da un lato, agli avversari motivati e persistenti, dall'altro.
Il fronte tecnologico è il fondamento dell'azienda moderna e il luogo in cui spesso si gioca l'interazione tra fattori interni ed esterni. La tecnologia non è mai statica e quindi la gestione del successo su questo fronte consiste nel riconoscere dove si è, dove si deve arrivare e i passi incrementali lungo il percorso, anche quando viene sconvolto da forze interne ed esterne.

Se non si pianifica e non si tiene conto di tutti questi fronti, aumenta la probabilità che qualcosa vada storto, proprio come si vorrebbe che non andasse.

Definire il successo attraverso la resilienza nella sicurezza organizzativa

In secondo luogo, invece di definire negativamente il successo come prevenzione degli attacchi, le organizzazioni devono definire positivamente il successo come promozione della resilienza.

E cos'è la resilienza? È lo stato in cui le cose che vanno male vengono gestite prima che abbiano un impatto materiale.

Un'organizzazione sicura è quella in cui le minacce sono identificate, le interruzioni sono ridotte al minimo, il recupero è rapido e la perdita è irrilevante. Ognuno di questi elementi entra a far parte di un calcolo più ampio di mitigazione del rischio e gli investimenti diventano proporzionali al loro impatto, spaziando dai controlli protettivi ampiamente commercializzati agli obiettivi specifici di resilienza che un'organizzazione si pone per il rilevamento, la risposta e il ripristino.

I fallimenti storici in questo senso si verificano quando le organizzazioni si concentrano in modo errato sulla prevenzione di tutte le minacce o sul mantenimento della conformità. Entrambe le cose sono importanti di per sé, ma la prima crea una cultura fissata su un obiettivo irraggiungibile (e francamente meno importante), mentre la seconda crea un soffitto da quello che potrebbe non essere nemmeno un pavimento.

Quantificazione del rischio di sicurezza: Una pratica necessaria

In terzo luogo, in quasi tutti i settori aziendali, il rischio è quantificabile come aspettativa di perdita comunicata nelle dimensioni della probabilità e dell'impatto (espressa nella valuta di vostra scelta): perché la sicurezza dovrebbe fare eccezione?

Quest'ultimo obiettivo consente ai responsabili delle decisioni strategiche di confrontare i rischi per la sicurezza con gli altri rischi che l'azienda deve affrontare e di allocare il capitale e le risorse per ottimizzare i risultati aziendali e comprendere il ROI che otterranno dalla loro strategia di rischio.

Cinquanta server "gialli" con vulnerabilità "critiche" o un data center a rischio di interruzione a causa di uragani stagionali. Quale dei due è peggiore? E come dovrebbe scegliere un'organizzazione per dare priorità alle risorse limitate in un piano d'azione? Utenti troppo privilegiati e a rischio con accesso a dati sensibili o il mancato raggiungimento degli obiettivi di time-to-market per un nuovo prodotto? E che dire di alcuni server web rivolti al pubblico su ambienti run-time a fine vita? Dove si collocano nelle priorità dell'organizzazione? Senza un linguaggio comune di confronto, è estremamente difficile stabilire priorità ottimali. Per un'azienda, questo linguaggio si esprime in ultima analisi nel contesto dell'aspettativa di perdita e del ROI.

Ed ecco gli obiettivi pratici per progredire nella sicurezza di un'organizzazione: capire dove e come si è a rischio, comprendere che il successo si basa sull'impatto e non sulla prevenzione, e quindi comunicare questa conoscenza in modo che risuoni con gli stakeholder aziendali di alto livello.

Se state già puntando a questi obiettivi, siete sulla buona strada per arrivare dove volete. Se invece non lo state facendo, è ora di smettere di concentrarsi sull'assenza di successo e di tirare fuori la mappa e la bussola della sicurezza. Se desiderate parlare con un consulente di sicurezza, programmate una demo.

Volete saperne di più?

Vectra® è leader nel rilevamento e nella risposta alle minacce cloud ibrido guidati dall'intelligenza artificiale. La piattaforma e i servizi Vectra coprono il cloud pubblico, le applicazioni SaaS, i sistemi di identità e l'infrastruttura di rete, sia on-premises che cloud. Le organizzazioni di tutto il mondo si affidano alla piattaforma e ai servizi di Vectra per resistere a ransomware, compromissioni della catena di approvvigionamento, appropriazioni di identità e altri attacchi informatici che colpiscono la loro organizzazione.

Se volete saperne di più, contattateci e vi mostreremo esattamente come facciamo e cosa potete fare per proteggere i vostri dati. Possiamo anche mettervi in contatto con uno dei nostri clienti per conoscere direttamente le loro esperienze con la nostra soluzione.

Contattateci

DOMANDE FREQUENTI

Quali sono i principali fronti della sicurezza organizzativa?

I fronti principali sono quelli interni, esterni e tecnologici, ognuno dei quali richiede strategie e pianificazioni specifiche.

Qual è il ruolo della resilienza nella sicurezza?

La resilienza comporta la riduzione al minimo delle interruzioni, il recupero rapido e il mantenimento delle operazioni nonostante gli incidenti di sicurezza.

Perché la quantificazione del rischio è importante nella sicurezza?

La quantificazione dei rischi per la sicurezza consente alle organizzazioni di stabilire le priorità delle risorse e di confrontare i rischi per la sicurezza con altri rischi aziendali.

Quali sono i vantaggi di una strategia di sicurezza positiva?

Una strategia positiva si concentra sulla resilienza e sulle misure proattive, promuovendo una cultura di preparazione e risposta rapida.

Qual è l'importanza di allineare la sicurezza al vocabolario del rischio?

L'allineamento della sicurezza con il vocabolario del rischio garantisce una comunicazione chiara e la definizione delle priorità in tutta l'organizzazione.

Come possono le organizzazioni pianificare i rischi per la sicurezza?

Le organizzazioni possono pianificare identificando le minacce potenziali, allineando gli incentivi al rischio e sviluppando strategie complete.

In che modo le organizzazioni dovrebbero definire il successo della sicurezza?

Il successo della sicurezza dovrebbe essere definito dalla capacità dell'organizzazione di rilevare, rispondere e riprendersi dalle minacce.

Come si può allineare la sicurezza ai risultati aziendali?

La sicurezza deve essere integrata con gli obiettivi aziendali per garantire che gli investimenti forniscano chiari ritorni sulla mitigazione dei rischi.

Quali sono i vantaggi di una strategia di sicurezza positiva?

Le organizzazioni possono misurare l'impatto attraverso metriche che collegano gli investimenti in sicurezza alla riduzione dei rischi e ai risultati aziendali.

In che modo Vectra AI migliora la sicurezza organizzativa?

Vectra AI migliora la sicurezza attraverso il monitoraggio continuo, il rilevamento avanzato delle minacce e l'allineamento con gli obiettivi aziendali.