I responsabili della sicurezza e della tecnologia devono misurare il successo, ma troppo spesso l'esercizio si concentra più sull'assenza di fallimenti che sulla presenza di successi, con la sicurezza definita da ciò che non è: non è una violazione, non è una sanzione o una non conformità, non è "vulnerabilità" (con un sano dibattito su cosa significhi esattamente). Un elenco di cose da non fare è un surrogato inadeguato di una mappa e di una bussola.
Fortunatamente, quando si tratta di una strategia di sicurezza efficace, non è necessario inquadrarla negativamente come assenza di fallimenti: una strategia di sicurezza efficace può essere inquadrata positivamente con indicatori che dimostrano che si è sulla strada giusta, purché si sia disposti ad allineare il proprio vocabolario di sicurezza con quello dei rischi.
Dopo tutto, il rischio è un concetto trasversale all'organizzazione che determina i risultati aziendali. La sicurezza stessa è un ambito di rischio e gli investimenti nella sicurezza possono essere descritti come fattori che influiscono sulla mitigazione del rischio, riducendo la probabilità e l'impatto delle perdite previste. Quando in un'organizzazione si verifica un allineamento verticale esplicito tra le funzioni di sicurezza tattiche e operative e il livello di leadership strategica in relazione ai risultati di rischio, abbiamo una visione chiara degli investimenti nella sicurezza, del ritorno su tali investimenti e di quanto questi influiscano sul percorso di sicurezza.
Tenendo presente quanto sopra, ecco alcuni obiettivi ragionevoli: comprendere i fronti su cui si sta combattendo, definire correttamente cosa significa vincere e misurare il successo in modo che si traduca in risultati aziendali.
Pianificazione strategica per i fronti di sicurezza organizzativa
In primo luogo, il rischio organizzativo deve riconoscere e pianificare esplicitamente i fronti su cui questa guerra dovrà essere combattuta.
Tra i diversi modi di suddividere uno spazio inevitabilmente interconnesso, uno consiste nell'analizzare gli aspetti interni, esterni e tecnologici:
- Il fronte interno è costituito dagli elementi sotto il nostro diretto controllo, come il nostro personale e i nostri processi, che influenzano il nostro rischio. Il successo su questo fronte allinea gli incentivi culturali al rischio e i risultati del rischio.
- Il fronte esterno è quello in cui attori e attività al di fuori del nostro controllo influenzano il nostro rischio. Il successo in questo ambito spazia dalla pianificazione in caso di calamità naturali, da un lato, alla presenza di avversari motivati e persistenti, dall'altro.
- Il fronte tecnologico è il fondamento del business moderno, dove spesso si svolge l'interazione tra fattori interni ed esterni. La tecnologia non è mai statica, quindi gestire il successo su questo fronte significa riconoscere dove ci si trova, dove si deve arrivare e i passi incrementali lungo il percorso, anche se questo è disturbato da forze interne ed esterne.
La mancata pianificazione e considerazione di tutti questi aspetti aumenta la probabilità che qualcosa vada storto, proprio nel modo in cui non vorresti che accadesse.
Definire il successo attraverso la resilienza nella sicurezza organizzativa
In secondo luogo, invece di definire il successo in modo negativo come prevenzione degli attacchi, le organizzazioni devono definirlo in modo positivo come promozione della resilienza.
E cos'è la resilienza? È lo stato in cui i problemi vengono gestiti prima che abbiano un impatto significativo.
Un'organizzazione sicura è quella in cui le minacce vengono identificate, le interruzioni sono ridotte al minimo, il ripristino è rapido e le perdite sono irrilevanti. Ciascuno di questi elementi diventa un input in un calcolo più ampio di mitigazione del rischio e gli investimenti diventano proporzionali al loro impatto, spaziando dai controlli di protezione ampiamente standardizzati agli obiettivi specifici di resilienza che un'organizzazione ha per il rilevamento, la risposta e il ripristino.
In questo ambito, si verificano fallimenti storici quando le organizzazioni si concentrano in modo errato sulla prevenzione di tutte le minacce o si accontentano rigorosamente di mantenere la conformità. Entrambi gli aspetti sono importanti di per sé, ma il primo crea una cultura fissata su un obiettivo irraggiungibile (e, francamente, meno importante), mentre il secondo crea un limite massimo che potrebbe non essere nemmeno adeguato come limite minimo.
Quantificazione dei rischi per la sicurezza: una pratica necessaria
In terzo luogo, in quasi tutti i settori aziendali, il rischio è quantificabile come aspettativa di perdita comunicata in termini di probabilità e impatto (espressi nella valuta di vostra scelta): perché la sicurezza dovrebbe fare eccezione?
Quest'ultimo obiettivo consente ai responsabili delle decisioni strategiche di confrontare i rischi per la sicurezza con altri rischi che l'azienda deve affrontare e di allocare capitali e risorse per ottimizzare i risultati aziendali e comprendere il ROI che otterranno dalla loro strategia di gestione dei rischi.
Cinquanta server "gialli" con vulnerabilità "critiche" o un data center a rischio di interruzione a causa degli uragani stagionali. Qual è la situazione peggiore? E come dovrebbe un'organizzazione scegliere di dare priorità alle risorse limitate in un piano d'azione? Utenti con privilegi eccessivi e a rischio che hanno accesso a dati sensibili o il mancato raggiungimento degli obiettivi di time-to-market per un nuovo prodotto? E che dire di alcuni server web rivolti al pubblico su ambienti di runtime a fine vita? Dove si collocano nelle priorità dell'organizzazione? Senza un linguaggio comune di confronto, è estremamente difficile stabilire le priorità ottimali. Per un'azienda, tale linguaggio si manifesta in ultima analisi nel contesto delle aspettative di perdita e del ROI.
Ecco qua: obiettivi pratici per migliorare la sicurezza di un'organizzazione: capire dove e come si è esposti al rischio, comprendere che il successo dipende dall'impatto e non dalla prevenzione, e poi comunicare questa intuizione in modo che risuoni con i principali stakeholder aziendali.
Se stai già puntando a questi obiettivi, sei sulla buona strada per raggiungere ciò che desideri. Se invece non è così, è ora di smettere di concentrarti sull'assenza di successo e di tirare fuori la tua mappa e la tua bussola della sicurezza. Se desideri parlare con un consulente di sicurezza, prenota una demo.