La sicurezza informatica dipende da molti fattori e uno degli elementi più impattanti sono le risorse economiche, per poter costruire e mantenere la propria postura.
Le risorse finanziarie sono spesso scarse in qualsiasi organizzazione e compito del management è quello di allocarle ai settori più strategici dell’organizzazione. Talvolta però la percezione di cosa sia più strategico è condizionata dalla limitata comprensione delle persone o dalla bravura, di altre funzioni in competizione con noi, nello strappare risorse limitate.
Se il management ignora i rischi cyber: i problemi di comunicazione e come superarli
Proviamo allora a descrivere alcune metriche molto utili allo scopo dello strappare un budget IT congruo, e approfondiamo concretamente quali tecniche comunicative siano più efficaci per rendere tali metriche convincenti per il management, in sede di definizione del budget.
Indice degli argomenti
Tentativi di intrusione rilevati
Chi si occupa di cybersecurity spesso non considera particolarmente rilevante come dato il numero di tentativi di intrusione in un certo periodo. La statistica in effetti non è certo la più importante dal punto di vista della sicurezza informatica.
La stessa però ha un certo potere informativo, talvolta stordente per chi non si occupa di sicurezza informatica.
Il management vive sonni tranquilli, si crogiola in un certo senso di quiete, determinato dai propri elementi informativi, esperienziali, per cui la propria organizzazione fino ad ora non è ancora stata “bucata”. Quel certo senso di mal riposta fiducia dettata dall’erroneo pensiero: “non è mai successo nulla, perché dovrebbe accadere oggi”, ben si confà a molte realtà.
Ovviamente non mi sto rivolgendo a quelle organizzazioni i cui manager sono particolarmente illuminati o al contrario hanno già subito il brusco risveglio dell’aver subito un data breach, che abbia comportato significative perdite economiche. In quelle realtà l’IT non dovrà fare particolari salti mortali, per farsi approvare un budget.
Fornire, a chi deve approvare lo stanziamento delle risorse economiche necessarie, un quadro del numero complessivo di minacce che l’azienda deve affrontare su base annua o trimestrale, e poi in drill down fare alcuni approfondimenti su alcuni eventi specifici, brillantemente affrontati, oppure riferiti ad altre realtà similari alla propria, potrebbe essere estremamente utile.
Come detto, il problema con la sicurezza IT è che, quando i meccanismi di prevenzione funzionano e si verificano pochi incidenti, il management tende a presumere di non essere più in pericolo. Condividere statistiche, che dimostrano il contrario, è un buon modo per dimostrare che le minacce alla sicurezza informatica continuano a esistere e sono in continua crescita. Gli investimenti in sicurezza debbono tenerne il passo.
Burn down metric e lifetime
Le metriche o i grafici di burndown sono particolarmente apprezzati nel mondo agile, perché permettono di evidenziare visivamente quanto è stato fatto e di parametrarlo lungo una linea del tempo programmata.
Di esempi grafici googlando se ne possono trovare a bizzeffe, basta scrivere “burndown chart” e nel menù in alto a destra cliccare su immagini. Vedrete diverse composizioni grafiche, che potranno essere d’ispirazione. I grafici più classici avranno sull’asse verticale il carico di lavoro e su quello orizzontale il tempo. La curva, che dovrebbe essere a scendere, rappresenta la distribuzione del carico lavorativo o dello sforzo profuso.
Nel nostro caso l’oggetto dell’analisi potrebbe essere il numero delle vulnerabilità riscontrate sul sistema e il grafico dovrebbe offrire in un colpo d’occhio come la massa significative di eventi sia stata ben gestita e governata nel tempo.
Il reparto IT dovrà però, in un gioco di sottile equilibrismo, lodarsi quanto basta ed evidenziare che la “lotta è improba”, sottolineando la propria difficoltà e scarsità di mezzi. Ovviamente ogni reparto tecnico, conoscendo la propria realtà, dovrà valutare quanto calcare la mano in un senso o nell’altro. L’errore in cui non si dovrebbe mai incappare, quando si richiedono dei fondi ad un management, che purtroppo deve gestire risorse scarse, è eccedere nella propria adulazione, poiché così facendo si potrebbe vanificare l’intento di ottenere un budget congruo, per le sfide del prossimo futuro.
Il grafico mostrerà, oltre a quantità degli eventi, tempo e sforzo, altri due elementi: I picchi di carico subentranti nel corso del periodo analizzato e le attività inevase in fondo alla curva.
La curva dovrebbe infatti non essere perfettamente discendente, perché nel corso del periodo preso in analisi, nuovi eventi si presenteranno movimentandola verso l’alto. Il consiglio è di dare la giusta enfasi sul fatto che la cybersecurity sia un’attività continuativa e estremamente fluida, e che lo scenario di domani potrebbe essere completamente diverso da quello fin qui affrontato.
La curva dovrebbe non appiattirsi mai completamente perché alcune vulnerabilità, anche non recenti, continueranno a persistere, per difficoltà di gestione o semplicemente, perché essendo particolarmente recenti non si è potuti ancora intervenire.
Il consiglio è di dare la giusta importanza al tema del lifetime delle vulnerabilità. Non si lasci passare l’errata interpretazione che la curva, in quanto discendente, possa essere sottovalutata. I tecnici sanno perfettamente che della significativa mole di eventi quotidianamente riscontrati, la maggior parte sia innocua o facilmente gestibile con strumenti standard. Ciò di cui dobbiamo preoccuparci, e tale deve essere veicolato al management, è la sparuta minoranza di vulnerabilità, che persistono per lunghi periodi all’interno dell’organizzazione.
Il fattore umano
Un altro problema cognitivo, che ha chiunque non lavori in ambito cybersecurity, è che le minacce provengano solo dall’esterno e che l’unico scenario di rischio sia un qualche hacker russo incappucciato di nero.
Sensibilizzare il management sulle minacce interne, sovente un problema molto più grave, potrebbe permettere al reparto IT non solo di farsi approvare soluzioni tecnologiche utili alla postura di sicurezza complessiva, o l’implementazione di un framework zero-trust, ma soprattutto d’intervenire sensibilmente sui colleghi, sia per fare awareness, sia per acquisire centralità nelle logiche interne all’organizzazione.
In un precedente articolo sottolineavo l’importanza di creare strategie win win con altre funzioni aziendali quali marketing, vendite, compliance, affinchè l’IT divenga strategico e centrale alle logiche di tutti i settori organizzativi e venga finanziariamente supportato come merita.
Volumi
Sebbene non sia propriamente una metrica di sicurezza, spiegare al management quanti dati vengono generati dall’organizzazione e gravitino sulla rete aziendale, e come la situazione si sia modificata nel tempo, evidenziando la tendenza alla loro continua crescita, o come talune scelte strategiche e/o operative possano mutare la situazione contingente ed in introdurre improvvisi volumi di traffico, può essere di grande aiuto per evidenziare come le necessità cambino nel tempo e come gli investimenti manutentivi, integrativi o di trasformazione / migrazione ad altre soluzioni, debbano essere programmati e proporzionati alle necessità.
I cambiamenti nei volumi, graduali o improvvisi, possono aiutare a giustificare la necessità di strumenti di sicurezza nuovi o aggiornati. Questa metrica, se ben descritta e corredata da grafici che evidenzino gli andamenti, aiuterà a veicolare l’idea che, qualunque crescita organizzativa, sia essa di persone, operations, volumi produttivi, comporta sempre o quasi sempre, maggiori volumi di dati, che comportino un consequenziale aumento anche delle risorse assegnate per progettare e proteggere tale crescita.
Attenzione ai report “esecutivi” preconfezionati
Molti fornitori di sicurezza informatica consentono ai clienti di generare report automatici o semi automatici.
Se i report sono eccessivamente granulari e tecnici, non fanno al nostro caso. O per lo meno, non fanno al caso dell’obiettivo, descritto in questo articolo, di strappare al management l’approvazione di un budget IT soddisfacente. I report hanno senso solo se sono calibrati sull’obiettivo e soprattutto se lo comunicano correttamente.
Se un report è eccessivamente tecnico, i non tecnici, e forse anche qualche tecnico, non lo leggerà vanificando la sua utilità.
Sebbene i report preconfezionati siano un enorme risparmio di tempo, se non vengono letti e se non comunicano ciò che vogliamo trasmettere al management, il poco tempo impiegato per produrli, sarà inutile.
Un report dovrebbe essere personalizzato e calibrato sull’obiettivo che vuole perseguire e sui sotto obiettivi di sicurezza informatica affinché possa innescare logiche e leve di pressione interne all’organizzazione. Individuare obbiettivi concreti, concatenarli alle strategie di sviluppo del management, accrescerà la forza persuasiva dell’IT nel farsi affidare risorse finanziarie adeguate.
Sicurezza informatica, definire gli obiettivi per impostare il budget: ecco come fare
Inoltre, i report non dovrebbero semplicemente essere generati e inviati tramite e-mail ai dirigenti, sperando che da soli ottengano un risultato che non possono ottenere. I report o qualunque forma grafica si deciderà di dargli devono essere presentati personalmente affinché emozione e passione contagino e condizionino, chi dovrà decidere l’entità delle risorse economiche del reparto IT per il prossimo anno.
Infine, poter strappare l’approvazione piena del proprio budget IT o per lo meno il compromesso migliore possibile, oltre ad efficaci metriche necessiteremo di adeguati strumenti di presentazione.
La presentazione delle metriche: come creare l’effetto “wow”
La premessa doverosa è che il segreto numero uno di qualsiasi presentazione efficace è riuscire a creare quello che gli americani chiamano effetto “wow”, un senso di stupore dovuto ad un’emozione. L’emozione può essere sia positiva, evidenziando numeri o elementi di successo, oppure negativa sottolineando la portata delle minacce e dell’impatto in termini di danno per l’organizzazione, qualora la sicurezza a livello informatico non fosse sufficientemente robusta.
Il trittico perfetto per poter ottenere una presentazione “wow” è usare una metrica autoesplicativa, presentarla in maniera accattivante, usando meno testo possibile.
Utilizziamo una metrica semplice ed autoesplicativa. Mi riferisco a quei KPI, che non hanno bisogno di spiegazioni, poiché sono brutalmente chiari, anche per chi di cybersecurity capisce nulla o poco nulla.
Creiamo una grafica accattivante, che enfatizzi il messaggio insito nella metrica. La componente grafica è essenziale. Ricordiamoci che la nostra platea, il management, è costantemente bombardato da presentazioni prodotte dal marketing interno o da quello dei diversi vendor, che di volta si interfacciano con la direzione. La grafica prodotta dall’IT non può e non deve sfigurare. Se non sei particolarmente abile con gli strumenti di presentazione, chiedi aiuto al Marketing o lasciati ispirarti dai moltissimi esempi di slide presenti online; ti basterà googolare “slide template” cliccando, nel menù in alto, su Immagini. Mi raccomando, evita le icone, ma se proprio non puoi farne a meno attenzione alla risoluzione e soprattutto alla coerenza cromatica di tutti i diversi elementi, che inserirai nella presentazione.
Ho visto spesso slide prodotte dall’IT che erano veramente imbarazzanti. Io personalmente uso poco le immagini a meno che non siano davvero spettacolari e per trovare quella giusta ci vuole spesso molto tempo. Non uso mai icone scaricate da internet, trovare quella giusta è quasi impossibile. Coordino i colori con la medesima cura con cui mia moglie abbina vestiti e scarpe. Preferisco lo stile minimal, difficilmente si scontra con il senso del gusto del mio interlocutore e soprattutto enfatizzo quello che è il vero protagonista, il messaggio che viene veicolato attraverso la slide.
Infine, non metto alcun testo. Tutto ciò che serve in una slide in termine di elementi testuali sono un succinto ed efficace titolo. Non servono spiegazioni, non servono box di testo, non servono elenchi puntati, non servono paginate e paginate di informazioni. Le slide non sono e non debbono diventare supporti testuali, non sono brochure, non sono opuscoli illustrativi, non sono paper. I testi, quelli che di solito servono soprattutto al presentatore, per ricordargli cosa debba dire, e che nel migliore dei casi distraggono la platea, distraendola perché intenta a leggere, o nel peggior dei casi sconfortandola, vedendone la verbosità, vanno tagliati ed incollati nell’utilissimo strumento “note del presentatore”.
Tutto ciò che serve è una metrica brutalmente fredda e diretta, una cornice visuale che funga da palcoscenico, un titolo. Al resto penserà l’emozione suscitata dalla slide e la capacità di narrare i fatti del presentatore.
Quanto descritto in quest’ultima sezione dell’articolo, in termini di convincimento del management ad approvare un budget per l’IT, potrebbe essere persino più importante delle metriche utilizzate per descrivere problemi ed opportunità.
