Succede spesso che nel tentativo di ottenere risorse finanziare per le proprie progettualità, l’IT faccia fatica a farsi approvare il budget. Spesso, infatti, le promesse allettanti di “più contatti” o “più vendite” perorate da Marketing e Vendite, o la velata minaccia di “meno sanzioni” sventolata dai ragazzi della Compliance, hanno un peso specifico d’interesse maggiore per il management rispetto al buon proposito del “più sicuri” salmodiato dall’IT.
Purtroppo, il primo grande problema, per creare la tanto chiacchierata postura di sicurezza informatica e per rendere l’organizzazione matura, non è una questione tecnologica o di risorse economiche. Il primo grande è di comunicazione ed incomprensione fra le diverse funzioni silos dell’organizzazione.
Se il management ignora i rischi cyber: i problemi di comunicazione e come superarli
Sovente una comunicazione chiara ed efficace è caratterizzata da obiettivi altrettanto lapalissiani e consapevoli. Ad obiettivi certi, solitamente corrispondono strategie ben definite, richieste di finanziamento coerenti e progettualità autoesplicative. Questi elementi avvicinano le parti e permettono al management di comprendere appieno le richieste dei tecnici, rendendo meno ostica l’approvazione del budget IT.
Un secondo aspetto, assolutamente non trascurabile nell’identificare correttamente e puntualmente i propri obiettivi di sicurezza informatica, è il tema della misurabilità e del corretto monitoraggio dei KPI associati a ciascun obiettivo o sotto-obiettivo.
Ma quali sono i possibili obiettivi della sicurezza informatica?
Vantaggio competitivo
Utilizzare la sicurezza informatica come elemento di differenziazione competitivo potrebbe essere un eccezionale strumento per la creazione di valore, quando i clienti hanno a cuore la sicurezza informatica.
La domanda a cui l’organizzazione ed il management dovrebbero rispondere è: “L’aspettativa dei clienti è che la cybersecurity sia prioritaria?” Se la risposta è positiva, un’adeguata postura di sicurezza ed elementi aggiuntivi, quali certificazioni specifiche, diverranno un valore differenziante nella proposizione dell’offerta dell’organizzazione sul mercato. L’IT, da funzione di supporto alle attività di business e dedite alla protezione passiva del patrimonio informativo, diverrà elemento attivo e possibile volano del business.
Una seconda domanda, correlata alla precedente, che organizzazione e management dovrebbero porsi è: “I clienti comprerebbero un prodotto piuttosto che uno concorrenziale, avendo come elemento preferenziale una maggiore sicurezza?”
Una terza domanda è: “I clienti sarebbero disposti a sostenere incrementi proporzionali di prezzo, in cambio di una sicurezza informatica più robusta?”
Alcuni settori sono sempre più soggetti a vincoli normativi o di mercato, che li condizionino sulla scelta di fornitori, che debbano rispondere a specifici e stringenti requisiti di sicurezza informatica.
Bancari, finanziari, assicurativi e tutta la P.A. in generale, sono sempre più stimolati, da riferimenti normativi cogenti o da linee guida di settore, ad essere sempre più strutturati lato sicurezza informatica.
Nell’automotive le grandi case automobilistiche tedesche stanno imponendo a tutta la filiera di fornitura le verifiche di sicurezza Tisax. I soggetti del comparto i-tech, l’industria, le telecomunicazioni, necessitano sempre più di adeguate posture di sicurezza, poiché è il rischio intrinseco di finire fuori dal mercato ad imporre loro una particolare attenzione alla cybersecurity.
Se la sicurezza è elemento abilitante per la generazione di fatturati aggiuntivi, l’IT non avrà solo la funzione di proteggere il patrimonio aziendale ma al contrario anche di generare valore. In tal caso per il management saranno giustificabili e facilmente allocabili le risorse aggiuntivi all’IT. Marketing e Vendite diverranno gli stakeholder interni da ingaggiare e i migliori alleati dell’IT, per far valere le proprie pretese.
Le disposizioni normative da rispettare
Un obiettivo evidente per l’IT è il rispetto di un requisito normativo, di un obbligo contrattuale o di uno standard di settore.
Se per la casistica precedente il giustificativo per allocare risorse all’IT era la prospettiva di un maggior volume d’affari, in questa fattispecie, lo scopo sarà di evitare possibili sanzioni o controversie legali.
Si pensi per semplicità alle sanzioni che potrebbero essere irrogate all’organizzazione in materia di Regolamento Europeo 679/2016 in assenza di adeguate misure di sicurezza, siano esse tecniche o organizzative, come da articolo 32 dello stesso. Si pensi ancora a nuovi adempimenti insorgenti come la conservazione documentale sostitutiva o anche detta “a norma”, come definita dalle linee guida AgID sulla formazione, gestione e conservazione dei documenti informatici, entrate in vigore nel 2021. Si pensi ai nuovi regolamenti o normative europei in arrivo.
Se la sicurezza è elemento cogente per il rispetto della normativa e per evitare problemi contabili e finanziari legati all’insorgenza di sanzioni, per il management sarà improcrastinabile un intervento atto ad allocare risorse aggiuntive all’IT e garantire la conformità dell’infrastruttura informatica.
Ufficio compliance e Risk management saranno utili supporti da attivare, sia in fase di individuazione dei vincoli da rispettare, sia in fase di pressione al management per ottenere le risorse necessarie.
Difendersi dagli attacchi
Stiamo parlando della cybersecurity propriamente detta. Stiamo paventando lo scenario in cui un agente malintenzionato attraverso attacchi massivi ed indistinti ad un ampio spettro di soggetti, oppure attraverso un puntuale e mirato attacco specificamente indirizzato ad una specifica organizzazione, si inserisca nei sistemi di un’organizzazione e metta in atto i propri illeciti propositi.
L’obiettivo è ridurre la probabilità, che gli aggressori possano impedire il funzionamento di sistemi e applicazioni critiche. Il tema è di continuità operativa e core business, l’impatto più significativo, immaginando lo scenario di un’azienda produttiva, è il fermo macchine con la forza lavoro lasciata a casa fino al pieno ripristino delle attività.
Le domande che il reparto IT dovrebbe porsi sono:
- Abbiamo piena conoscenza e comprensione di quali sistemi e processi siano critici per l’organizzazione? Creare un elenco di risorse critiche e utilizzarlo per gestire l’attività di sicurezza, potrebbe aiutare sia in fase di prevenzione che di pianificazione finanziaria degli interventi mitigatori.
- Sappiamo quale tipo di cybercriminale potrebbe prendere di mira l’organizzazione? Il panorama degli attori malevoli è variegato e mosso da motivazioni anche significativamente differenti. Sapere da dove possa arrivare la minaccia potrebbe essere utile, sia che possa giungere per mano di Hacktivisti, che lottino contro aziende con una forte impronta ambientale, da cybercriminali, in cerca di riscatti milionari o di riconoscibilità, e che prendano di mira organizzazioni danarose o mediaticamente visibili, o che sia spionaggio governativo o industriale, interessato a brevetti o informazioni strategiche.
Se la sicurezza è prerequisito per continuare ad esistere e rimanere sul mercato, per il management e le Operations, pensando all’azienda produttiva, sarà improcrastinabile un intervento atto ad allocare risorse aggiuntive all’IT, per garantire la continuità operativa dell’organizzazione.
Management, proprietà, azionariato, funzioni di core business, finance potrebbero essere tutte significativamente sensibili al tema e divenire i primi fautori di un irrobustimento della postura di sicurezza.
Diligenza e fattore umano
Per “cura dovuta” o diligenza necessaria si intende quello che è l’obiettivo più tradizionale, cui si pensa, immaginando le attività tipiche di un tecnico IT all’interno dell’organizzazione. Esse sono le attività di aggiornamento del software, di regolare applicazione delle patch, della gestione degli accessi, della sicurezza e manutenzione delle apparecchiature, del Change management o del Capacity management, della connettività, delle attività di back-up, dei log e via discorrendo.
La maggior parte delle organizzazioni si affida ai fornitori di soluzioni software e/o hardware per gestire “cure” quali patch, update o upgrade. La vulnerabilità Human factor, con la quale si fa riferimento alle persone, è rimandata a misure di sicurezza organizzative quali policy / procedure e di consapevolezza, la cui responsabilità applicativa spetta all’organizzazione stessa.
Potremmo dire che questo è il minimo sindacale, che possa essere richiesto dall’organizzazione al proprio reparto IT. È ciò che il management si aspetta venga fatto dai tecnici. Talvolta l’errore preconcettuale di chi sta ai piani alti è che il tecnico è un buon tecnico se non se ne sente mai l’esigenza, se il sistema e l’infrastruttura continuano a funzionare, senza problemi, cali prestazionali o malfunzionamenti.
Peccato che senza risorse nemmeno il miglior tecnico può garantire certe aspettative.
Correggere e migliorare
Siamo pieni di difetti, alcuni sono noti, altri no. Qualsiasi sistema è passibile di defect, bug, flaw, più o meno critici. I difetti e i problemi di progettazione o implementazione sono una condizione persistente e non risolvibile di un ambiente digitale. È possibile porre rimedio alla maggior parte di questi, alcuni in tempi brevi, altri in tempi più significativi, ma ad essi altri ne seguiranno, così come le onde del mare si abbattono sul bagnasciuga, così nuove vulnerabilità verranno create e vecchie vulnerabilità non ancora scovate verranno individuate.
Questa dinamica fluida insita e persistente nella sicurezza informatica dovrebbe essere spiegata e resa più evidente al management, che spesso è convinto che basti un buon antivirus per mettere al sicuro il perimetro aziendale.
Le domande che il reparto IT dovrebbe porsi sono:
- Disponiamo di processi di rilevamento di defect, bug e flaw?
- Disponiamo di processi di rilevamento dei difetti per identificare bug e falle di sicurezza?
- Disponiamo di automatismi di monitoraggio e segnalazione efficaci?
- Riusciamo a classificarli in base alla facilità di exploit?
Se la sicurezza informatica non è così solida ed inamovibile come spesso la si dipinge, se è insicura, discontinua e costantemente in ricorsa dell’ultima vulnerabilità riscontrata, il management comprenderà l’importanza di piani d’investimento continuativi di lungo periodo. Spesso l’errore è “vendere” al management un investimento in sicurezza informatica come l’investimento risolutivo, quello che risolverà il problema.
In realtà tutti i settori dell’azienda vivono uno stato completamente fluido di continuo aggiornamento. I ragazzi della contabilità inseguono continuamente modifiche ed aggiornamenti; quelli del digital marketing sono alla mercè delle continue variazioni degli algoritmi dei big tech; la compliance deve continuamente riaggiornarsi per stare al passo nella nuova norma o gestire gli audit di seconde o terze parti; tutte le funzioni, chi più chi meno, vivono situazioni fluide. La sicurezza informatica non ne è esente ma talvolta viene vista come un investimento puntuale e non come una voce di costo ripetitiva e continuativa.
Non vendiamo al management false promesse o potremmo essere vittime di noi stessi. Alla sicurezza informatica ci si abbona e mensilmente le si paga un canone, talvolta salato.
Ripetibilità degli incidenti
In linea con quanto poc’anzi detto, compreso appieno il panorama delle vulnerabilità pendenti sui nostri sistemi, cosa buona e giusta, sarebbe strutturarsi affinchè i problemi di sicurezza vengano misurati e compresi in termini di ripetibilità e frequenza di accadimento.
Le domande che il reparto IT dovrebbe porsi sono:
- La nostra gestione è abbastanza matura per sapere se continuano a presentarsi gli stessi tipi di problemi?
- Disponiamo di processi affidabili di rilevamento dei difetti in atto e i risultati vengono monitorati e segnalati?
Un’argomentazione efficace per il management è evidenziare quanto siano frequenti certi attacchi.
Una delle metafore più associate alla sicurezza informatica è quella delle mura di una città medioevale. Personalmente mi ha sempre lasciato un po’ stranito come paragone. L’idea che si trasmette con questo esempio è che una volta costruita la nostra cinta difensiva con spessi blocchi di pietra si possa dormire allungo sonni tranquilli.
Personalmente la sicurezza informatica è più prossima metaforicamente alla Battaglia d’Inghilterra, dove quotidianamente i bombardieri tedeschi cercavano di aver la meglio contro la contraerea inglese. Se il management sentisse le sirene antiaeree, forse il budget IT sarebbe un poco più sostanzioso.
La concorrenza
Raggiungere un livello di sicurezza informatica almeno paragonabile a quello della concorrenza, potrebbe essere una scelta consapevole e corretta, sia in un’ottica di mitigazione di un vantaggio competitivo dei concorrenti, sia in termini di dotazioni di sicurezza al settore di riferimento.
- Quanto si concentra la strategia aziendale sull’analisi competitiva? L’analisi competitiva o benchmark dovrebbe essere svolta non solo in termini di prezzi e funzionalità dei prodotti / servizi offerti dalla concorrenza ma anche sia in compliance, in cui l’aspetto ITC è spesso significativo, sia in sicurezza informatica.
- Cosa possiamo scoprire sul livello di investimento nella sicurezza informatica presso aziende come la nostra in termini di dimensioni, numero di clienti, settore verticale, ecc.? I report internazionali sono ottimi anche nel definire l’incidenza e la frequenza di minacce per aree geografiche e settori economici. Avere piena conoscenza di quanto e come sia attenzionato il proprio settore di appartenenza potrebbe essere utile. Aggiungo che se all’interno del comparto il livello medio di sicurezza informatica fosse significativamente più alto del proprio, questo potrebbe avere un qualche peso sulla probabilità di essere attaccati.
Questo tipo di dati di benchmarking potrebbe essere molto utile come leva di persuasione verso il proprio management motivandolo a fare investimenti similari ai competitor anche solo per tenerne il passo.
Perché porsi un obiettivo di sicurezza informatica
In poche parole, un obiettivo sicurezza informatica è un desiderata realistico di una condizione futura, per il cui raggiungimento si pianificano azioni, cronoprogrammi e budget economici.
Qualsiasi organizzazione oggi dipende in una qualche misura da strumenti digitali. La digitalizzazione non è stata pensata e creata sicura by default e purtroppo non tutti gli applicativi sono automaticamente o originariamente sicuri.
La digitalizzazione della propria organizzazione e delle proprie attività è un’impresa intrinsecamente rischiosa e questa consapevolezza dovrebbe indurci ad adottare un approccio intenzionale e consapevole alla protezione dei nostri asset.
Purtroppo, vuoi per vincoli finanziari, vuoi per non piena consapevolezza del proprio rischio digitale, vuoi perché altre funzioni interne sono più abili ad accaparrarsi risorse scarse, la sicurezza informatica non tiene il passo né degli investimenti garantiti ad altre progettualità aziendali né alle minacce, che si aggirano al di fuori del proprio perimetro organizzativo.