Le carte da bingo di molti leader del settore tecnologico e del rischio non hanno iniziato l'anno con una casella aperta per un'altra compromissione della supply chain, tanto meno con un impatto potenziale superiore a quello di SolarWinds. Eppure eccoci qui, con il polverone della backdoor XZUtils abbastanza lontano nello specchietto retrovisore da aver superato ogni potenziale conflitto a fuoco. Ma le conseguenze sono ancora abbastanza vicine e ci offrono una buona opportunità di riflessione.
In particolare, ciò significa riflettere su uno dei principali fattori che contribuiscono a molte delle nostre notti insonni: la nostra paura collettiva dell'ignoto. Nella gestione del rischio di sicurezza aziendale (ESRM), sono i rischi sconosciuti ad affondare.
Perché? Perché i rischi sconosciuti sono in gran parte non gestiti e quindi non vengono affrontati in modo efficace. Nel migliore dei casi, e in piccole quantità, vengono trasferiti in modo inefficiente attraverso le assicurazioni. Nel peggiore dei casi, nelle mani degli odierni attori motivati e distruttivi delle minacce, diventano il foraggio per titoli dannosi e notiziari notturni.
Cosa possiamo imparare per la gestione della sicurezza dei rischi aziendali?
Quando un motivato ingegnere Microsoft di nome Andres Freund stava risolvendo quello che inizialmente poteva sembrare un problema di prestazioni benigno, ha finito per addentrarsi in una tana di coniglio della sicurezza abbastanza profonda da scoprire un pasticcio. Alla fine ha sventato un attore malintenzionato con il tipo di pianificazione strategica a lungo termine di uno stato nazionale, risparmiando a molte persone un sacco di problemi.
Questo fatto è degno di nota in primo luogo perché nessun impegno formale di prevenzione o di conformità avrebbe mitigato questo rischio, e in secondo luogo perché la vittoria è avvenuta al di fuori di un programma di sicurezza formale o di una gerarchia. Questo è un esempio di due fattori culturali che dovrebbero essere promossi da ogni leader che voglia seriamente gestire i rischi sconosciuti: la curiosità e la collaborazione.
Perché questi valori culturali sono così efficaci nel gestire i rischi sconosciuti? La risposta a questa domanda è meglio illustrata da un'analogia.
Gestire gli iceberg e le scogliere inesplorate dei rischi sconosciuti
La realtà è che i rischi sconosciuti assumono tipicamente due forme. Nella prima, imitano i rischi identificati, ma per lo più si nascondono sotto la linea di galleggiamento delle misure di scoperta di routine, come gli iceberg. Nella seconda, gli scogli inesplorati, sono completamente sommersi e unici per qualche aspetto dell'azienda, ma non del tutto estranei alla conoscenza collettiva e distribuita del dominio, alla competenza e all'esperienza della forza lavoro.
Tra i due, l'iceberg è quello più semplice da concettualizzare, perché molti di noi riconoscono nella propria azienda modelli di rischi ben compresi, ma sfuggenti, quelli che sappiamo essere presenti ma non scoperti. Anche se la maggior parte di questi rischi si trova sotto la superficie, abbiamo il vantaggio di avere dei segnali rivelatori che possono essere scoperti, se si sa dove (e come e quando) guardare. Affrontare culturalmente questi rischi richiede un ripensamento dei processi decisionali standard. È necessario riconoscere i limiti delle tradizionali liste di controllo, della scoperta delle vulnerabilità e dei test di penetrazione. Sebbene questi principi di gestione del rischio, accettati e consolidati a livello globale, siano preziosi per offrire una base di rischio affidabile, non devono mai essere scambiati per coprire il soffitto.
Una cultura che dà priorità alla curiosità non si accontenta di esplorare un problema ben definito con cadenza annuale. Al contrario, il team valuta continuamente le decisioni in materia di gestione del rischio, mette in discussione le ipotesi e sceglie, a volte, di uscire dagli schemi. In termini pratici, queste culture si concentrano sul miglioramento continuo per una gestione del rischio più olistica. Combinano strumenti e intuizione umana per testare e convalidare l'intera catena di attività di protezione, investigazione, risposta e ripristino. Incoraggiando la collaborazione, si incentivano le persone a scoprire gli iceberg del rischio indagando, investigando e andando a caccia al di là di vincoli altrimenti banali.
Nel frattempo, gli scogli inesplorati rappresentano una classe di rischi che risiedono interamente sotto la linea di galleggiamento. Sebbene questi problemi non siano conformi alle liste di controllo, ai quadri di riferimento o alle cosiddette best practice, sono spesso compresi a livello collettivo e istintivo da tutta la forza lavoro. E perché dovrebbe essere sorprendente se la natura di questo rischio è di per sé un sottoprodotto di fattori aggregati dell'azienda? Ad esempio, le combinazioni di supply chain, modello di business, stack tecnologici interni e prevalenza di fattori come l'IT ombra sono tutti in grado di influenzare i rischi aziendali in modi complessi e interconnessi.
Anticipare tutte le implicazioni di questi fattori complessi dall'alto verso il basso è spesso irrealizzabile, in particolare per le organizzazioni aziendali dove sono comuni i silos dilaganti, i feudi politici e l'isolamento organizzativo. Anche in questo caso, la curiosità e la collaborazione come valori culturali vanno a vantaggio dell'azienda, incentivando il superamento di questi confini culturali e dando alla forza lavoro la possibilità di identificare e dare priorità ai rischi grazie alla loro competenza, conoscenza ed esperienza collettiva. È così che le organizzazioni di successo assemblano, identificano e riducono i rischi molto prima che i danni siano fatti.
In pratica, questo approccio riconosce che la gestione centralizzata del rischio, pur essendo necessaria, non è sufficiente per tutti i casi d'uso. Dopo tutto, il rischio stesso è distribuito a livello organizzativo. Anche se gli sforzi formali, come i programmi di Security Champions o di sensibilizzazione e formazione, sono preziosi, non sostituiscono l'importanza di linee di comunicazione e di accesso aperte. Promuovere relazioni significative è fondamentale per scoprire e gestire questi rischi.
Per rafforzare le vostre difese, concentratevi sulla cultura
È vero che la gestione dei rischi sconosciuti non si limita agli sforzi culturali: le persone, i processi e la tecnologia svolgono tutti un ruolo. Ma senza l'abilitazione culturale, anche le persone migliori avranno una lunga strada da percorrere. Ecco perché è fondamentale creare una cultura ambiziosa. Non solo è la base per l'agilità di fronte alle minacce moderne, ma consente anche di sfruttare il pieno potenziale delle persone. E dopo aver gettato queste basi, sarete in grado di massimizzare l'abilitazione e gli strumenti.
La cultura è fondamentale: da essa dipende la sicurezza della vostra organizzazione. Date la priorità a questo aspetto, in modo che tutti possano avere successo.
Non sapete da dove cominciare? Migliaia di analisti e architetti SOC utilizzano la Vectra AI Platform per rilevare, dare priorità, indagare e rispondere alle minacce sconosciute su più superfici di attacco. Fate un tour autoguidato per vedere come funziona.