Le schede del bingo di molti leader nel campo della tecnologia e della gestione dei rischi non hanno iniziato l'anno con uno spazio libero per un altro compromesso della catena di approvvigionamento, figuriamoci uno con un impatto potenziale maggiore di SolarWinds. Eppure eccoci qui, con la polvere della backdoor di XZUtils backdoor è ormai abbastanza lontana da consentirci di superare qualsiasi potenziale emergenza. Ma le ramificazioni sono ancora abbastanza vicine nella nostra mente da offrirci una buona opportunità di riflessione.
Nello specifico, ciò significa riflettere su uno dei principali fattori che contribuiscono alle nostre numerose notti insonni: la nostra paura collettiva dell'ignoto. Nella gestione dei rischi di sicurezza aziendale (ESRM), sono proprio i rischi sconosciuti a metterti in difficoltà.
Perché? Perché i rischi sconosciuti rimangono in gran parte non gestiti e quindi non vengono affrontati in modo efficace. Nella migliore delle ipotesi, e in piccole quantità, vengono trasferiti in modo inefficiente attraverso l'assicurazione. Nella peggiore delle ipotesi, nelle mani degli attuali attori motivati e distruttivi, diventano materia prima per titoli di giornali e notiziari serali dannosi.
Cosa possiamo imparare per la gestione della sicurezza dei rischi aziendali?
Quando un ingegnere Microsoft motivato di nome Andres Freund stava risolvendo quello che inizialmente poteva sembrare un innocuo problema di prestazioni, si è ritrovato in un labirinto di sicurezza così intricato da scoprire un vero e proprio caos. Alla fine è riuscito a sventare un attacco malevolo con una pianificazione strategica a lungo termine degna di uno Stato nazionale, risparmiando a molte persone un sacco di guai.
Questo è degno di nota innanzitutto perché nessuna misura preventiva o di conformità formale avrebbe potuto mitigare questo rischio, e in secondo luogo perché la vittoria è stata ottenuta al di fuori di un programma di sicurezza formale o di una gerarchia. Ciò esemplifica due fattori culturali che dovrebbero essere promossi da ogni leader seriamente intenzionato a gestire i rischi sconosciuti: curiosità e collaborazione.
Perché questi valori culturali sono così efficaci nella gestione dei rischi sconosciuti? La risposta a questa domanda può essere illustrata al meglio con un'analogia.
Gestire gli iceberg e gli scogli sconosciuti dei rischi imprevisti
La realtà è che i rischi sconosciuti assumono tipicamente una delle due forme seguenti. Nella prima, essi imitano i rischi identificati, ma per lo più rimangono nascosti sotto la superficie delle misure di rilevamento di routine, come gli iceberg. Nella seconda, gli scogli sconosciuti, essi sono completamente sommersi e specifici di alcuni aspetti dell'attività, ma non del tutto estranei alla conoscenza collettiva e distribuita del settore, alle competenze e all'esperienza della forza lavoro.
Dei due, gli iceberg sono i più semplici da concettualizzare perché molti di noi riconoscono modelli nella nostra impresa di rischi ben compresi, ma sfuggenti, quelli che sappiamo essere presenti ma non ancora scoperti. Sebbene la maggior parte di questi rischi sia sotto la superficie, abbiamo il vantaggio di poter individuare segnali rivelatori, se sappiamo dove (e come e quando) cercare. Affrontare questi rischi dal punto di vista culturale richiede un ripensamento dei processi decisionali standard. È necessario riconoscere i limiti delle checklist tradizionali, dell'individuazione delle vulnerabilità e dei test di penetrazione. Sebbene questi principi di gestione del rischio, stabiliti e accettati a livello globale, siano preziosi per offrire un livello minimo di rischio affidabile, non devono mai essere scambiati per una copertura totale.
Una cultura che privilegia la curiosità non si accontenta di esplorare un problema ben definito con cadenza annuale. Al contrario, il team valuta continuamente le decisioni relative alla gestione dei rischi, mette in discussione i presupposti e talvolta sceglie di uscire dagli schemi. In termini pratici, queste culture si concentrano sul miglioramento continuo per una gestione dei rischi più olistica. Combinano strumenti e intuizione umana per testare e convalidare l'intera catena di attività di protezione, individuazione, risposta e recupero. Incoraggiando la collaborazione, si incentivano le persone a scoprire gli iceberg del rischio indagando, investigando e cercando oltre i limiti altrimenti banali.
Nel frattempo, gli scogli nascosti rappresentano una classe di rischio che risiede interamente sotto la linea di galleggiamento. Sebbene questi problemi non siano conformi alle checklist, ai framework o alle cosiddette best practice, spesso vengono compresi a livello collettivo e istintivo da tutta la forza lavoro. E perché questo dovrebbe sorprendere, quando la natura stessa di questo rischio è un sottoprodotto di fattori aggregati dell'azienda? Ad esempio, la combinazione della catena di fornitura, del modello di business, degli stack tecnologici interni e della prevalenza di fattori come lo shadow IT è in grado di influire sui rischi aziendali in modi complessi e interconnessi.
Anticipare tutte le implicazioni di questi fattori complessi dall'alto verso il basso è spesso impossibile, in particolare per le grandi aziende in cui sono comuni compartimenti stagni, feudi politici e isolamento organizzativo. Ancora una volta, la curiosità e la collaborazione come valori culturali giocano a vostro vantaggio, incentivando il superamento di questi confini culturali e offrendo alla vostra forza lavoro una reale opportunità di identificare e dare priorità ai rischi attraverso la loro esperienza, conoscenza ed competenza collettiva nel settore. È così che le organizzazioni di successo raccolgono, identificano e mitigano i rischi molto prima che si verifichino danni.
In pratica, questo approccio riconosce che, sebbene la gestione centralizzata dei rischi sia necessaria, non è sufficiente per tutti i casi d'uso. Dopo tutto, il rischio stesso è distribuito a livello organizzativo. Sebbene iniziative formali come i programmi Security Champions o le attività di sensibilizzazione e formazione siano preziose, non superano l'importanza di linee di comunicazione e accesso aperte. Promuovere relazioni significative è fondamentale per individuare e gestire questi rischi.
Per rafforzare le tue difese, concentrati sulla cultura
Sì, gestire rischi sconosciuti non è solo una questione di impegno culturale: anche le persone, i processi e la tecnologia hanno un ruolo importante. Ma senza un sostegno culturale, anche le persone migliori avranno ancora molta strada da fare. Ecco perché è così importante creare una cultura ambiziosa. Non solo costituisce la base per l'agilità di fronte alle minacce moderne, ma consente anche di sfruttare appieno il potenziale delle persone. Una volta gettate queste fondamenta, sarete in grado di massimizzare l'abilitazione e gli strumenti a vostra disposizione.
La cultura è fondamentale: la sicurezza della tua organizzazione dipende da essa. Dai a tutti la possibilità di avere successo dandole la massima priorità.
Non sai da dove iniziare? Migliaia di analisti e architetti SOC utilizzano la Vectra AI per rilevare, classificare in ordine di priorità, indagare e rispondere a minacce sconosciute su più superfici di attacco. Fai un tour autoguidato per vedere come funziona.