La serie Masked CISO di Vectra offre ai leader della sicurezza un luogo in cui esporre i maggiori problemi di sicurezza e consigliare i colleghi su come superarli.
L'ho visto innumerevoli volte. Un altro CISO si presenta a una riunione del consiglio di amministrazione e si affanna a snocciolare statistiche sullo stato di conformità. Ottimo, siete conformi al 75% alla norma ISO 27001, ma cosa ci dice questo sul livello di rischio?
Il problema della conformità ISO
La verità è che si possono spendere anni per implementare tutti i 114 controlli previsti dalla norma ISO 27001, e un attaccante determinato potrebbe aggirare le vostre difese in poche ore. Poiché gli avversari aggiornano continuamente le loro TTP (tattiche, tecniche e procedure) e ingannano dipendenti fallibili, nessuna conformità potrà coprire tutte le vostre basi. Allora perché i CISO si aggrappano ai dati di conformità come a una vecchia coperta di sicurezza?
I consigli di amministrazione tendono a rispondere bene a chiari segnali di progresso, che sono notoriamente difficili da misurare nella sicurezza. Ma dobbiamo cambiare la conversazione. Nella classica equazione di gestione del rischio, rischio = minaccia x vulnerabilità, non ho alcun controllo sulla motivazione, l'abilità o le risorse dell'attore della minaccia. Potrei investire tutte le mie risorse in una strategia di conformità completa e non avere comunque successo.
Essere "guidati dal filo"
Al contrario, gli approcci devono essere orientati alle minacce. Ciò significa identificare le risorse più preziose, chi potrebbe prendere di mira l'organizzazione e dare priorità alle attività per mitigare i rischi identificati. I CISO dovrebbero misurare la sicurezza in base alla loro capacità di scoprire se sono stati violati, utilizzando metriche significative come il tempo medio di violazione quando si testa la sicurezza o il tempo medio di rilevamento delle minacce. Quindi, i CISO possono lavorare per ridurre questi numeri a un livello concordato.
Per ottenere questi dati, sono essenziali esercizi completi di red team. I team rossi testano la tecnologia, le persone e i processi, cercando i punti ciechi e trovando modi poco ortodossi per fare breccia. Questo è esattamente il modo in cui opererebbe un attore di minacce capace! Questo fornisce dati inestimabili su ciò che è sfuggito alle maglie della rete, in modo che i CISO possano stabilire le priorità e ridurre il tempo medio di rilevamento di una violazione. Attualmente, però, poche organizzazioni si sottopongono a esercitazioni di red team, dicendo di non essere abbastanza mature. Questa è musica per le orecchie di un attaccante, che non vi darà il respiro necessario per maturare prima di colpire. Le esercitazioni dei team rossi dovrebbero essere effettuate quando la maturità non consente di stabilire una migliore priorità rispetto alla mitigazione delle minacce del mondo reale.
Non esiste un altro settore che investa così tanto senza misurare oggettivamente i risultati. Non si guiderebbe un'auto se non fosse stata sottoposta a crash test, quindi perché implementare una strategia di sicurezza senza verificare se può essere aggirata? Anche le autorità di regolamentazione sono ora consapevoli di questo fatto, con programmi come TIBER-EU, che richiedono alle banche di eseguire test red team per garantire che vadano oltre la semplice conformità di base.
Sensibilizzare la prossima riunione del consiglio di amministrazione
Nella prossima riunione del consiglio di amministrazione, tenete i dati sulla conformità come una nota a piè di pagina. Incoraggiate invece gli stakeholder a riflettere sull'impatto commerciale di una violazione e sulla probabilità che gli aggressori prendano di mira la vostra azienda. Inoltre, discutete la probabilità di successo di un attacco. All'amministratore delegato interesserà se finirà sulla prima pagina del Times quando la vostra azienda sarà colpita da un ransomware. Lo stesso vale per il direttore finanziario, se non è in grado di operare mentre i sistemi sono fuori uso.
Invece di cercare di dimostrare che siete conformi e che la consegna dei progetti è in linea con i tempi, utilizzate le riunioni per discutere i vostri punti deboli e presentare al consiglio di amministrazione le opzioni per mitigarli, spingendo per ottenere il budget necessario. Nell'odierno ambiente dinamico delle minacce, i piani potrebbero dover cambiare a metà anno, quindi è fondamentale che il consiglio comprenda i rischi che sta accettando scegliendo di non investire.
Questo blog è apparso originariamente su The Register.