7 difficili discussioni sulla sicurezza informatica che ogni leader IT deve affrontare

Parlare può costare poco, ma quando si tratta di sicurezza informatica, le conversazioni strategiche con i colleghi, i partner commerciali e altre parti interessate possono avere un valore inestimabile.

Il valore insito nell’affrontare i problemi di cybersecurity attraverso discussioni continue consiste nell’ottenere l’allineamento aziendale su strategie efficaci e solide, afferma Roger Albrecht, co-responsabile dell’unità preposta alla sicurezza informatica della società di ricerca e consulenza tecnologica ISG.”

“Tali discussioni assicurano l’integrazione delle iniziative di cybersecurity e dei requisiti di risorse negli obiettivi aziendali”, aggiunge. “Le discussioni affrontano l’evoluzione delle indicazioni normative e di conformità e rivelano le vulnerabilità e le minacce per mitigare i rischi”.

Secondo Albrecht, le conversazioni continue sulla strategia per la sicurezza informatica dovrebbero affrontare il rischio a cui può andare incontro l’azienda, e raggiungere gli obiettivi strategici. “Tali conversazioni… dovrebbero concludersi con azioni chiare, benefici, tempistiche e budget, nonché le risorse necessarie per colmare le lacune”.

Per i leader IT che desiderano stabilire una strategia di cybersecurity più solida, le sette domande seguenti sono spunti fondamentali per conversazioni approfondite sulla strategia che dovreste tenere con i colleghi della C-suite, i partner aziendali e il personale IT.

1. I nostri sistemi sono adeguati per la sicurezza?

Secondo Phil Venables, CISO di Google Cloud, le aziende dovrebbero discutere i modi in cui possono modernizzare la loro infrastruttura tecnologica per supportare architetture in cui la sicurezza sia incorporata e non semplicemente inserita.

I sistemi legacy sono spesso intrinsecamente difettosi perché non sono stati progettati per essere difendibili come lo sono le architetture più moderne, tipicamente i cloud pubblici o privati. Venables osserva che, nell’ultimo decennio, si sono verificati molti casi in cui le aziende hanno investito pesantemente in prodotti di cybersecurity senza però aggiornare l’infrastruttura IT complessiva o modernizzare l’approccio allo sviluppo del software.

“Questo equivale a costruire sulla sabbia”, spiega. “Senza una costante attenzione e senza gli investimenti nella modernizzazione dell’IT, le aziende non saranno in grado di sfruttare appieno i vantaggi dei progressi della sicurezza, lasciando l’azienda vulnerabile alle attività dannose”.

Venables raccomanda che le conversazioni sulla modernizzazione si tengano nei consigli di amministrazione, nelle riunioni della leadership esecutiva e nelle sessioni strategiche specifiche delle business unit.

“In definitiva, se le discussioni avvengono tra gli stakeholder giusti e se viene attivata una roadmap, l’impresa si sta preparando al successo”, osserva.

2. Affrontiamo gli scenari informatici nella misura in cui dovremmo?

Rahul Mahna, partner e leader dei servizi IT in outsourcing della società di consulenza manageriale Eisner Advisory Group, ritiene che il gioco degli scenari con i team e i colleghi del management possa fornire utili spunti di riflessione sulla sicurezza.

Oltre alle conversazioni regolari, Mahna consiglia di organizzare una riunione annuale incentrata sulla sicurezza, combinata con un test del piano di risposta agli incidenti, per tenere aggiornati i dirigenti e i manager-chiave sull’evoluzione delle politiche, delle pratiche e dei ruoli.

Pianificare cosa fare quando si verifica un attacco informatico è un bene incredibilmente prezioso che dovrebbe essere materialmente qualificato e quantificato in un processo controllato, consiglia Mahna. “Questo runbook dovrebbe essere condiviso e messo a disposizione dei membri designati del team di sicurezza per fornire un percorso che consenta, in caso di violazione della sicurezza, di eseguire con successo un piano di risposta ben congegnato”.

Cosa succederebbe, per esempio, se l’attività di un cliente-chiave venisse interrotta da un attacco informatico? Quali sarebbero i passi successivi? “Questo tipo di pianificazione della risposta agli incidenti è estremamente prezioso nelle nostre conversazioni con i clienti”, spiega Mahna. Suggerisce di non considerarle occasionali e una tantum, ma come una serie di colloqui continui e periodici.

3. Abbiamo promosso una cultura della sicurezza?

I leader stabiliscono il tono della strategia di sicurezza IT della loro azienda, dichiara Ryan Orsi, partner lead mondiale per la sicurezza di Amazon Web Services. “Una cultura della sicurezza, in cui i singoli dipendenti si sentono autorizzati a muoversi rapidamente all’interno dei confini di sicurezza approvati, porta a cicli di innovazione più rapidi, a risultati aziendali più veloci e, in generale, a clienti finali più felici”.

Secondo Orsi, le imprese che ispirano i singoli a innovare e a muoversi rapidamente all’interno di confini di sicurezza ben definiti sono le più efficaci. “Se pensate che la vostra apra dei ticket per richiedere l’approvazione del team di sicurezza prima di pubblicare elementi come gli aggiornamenti delle applicazioni, gli aggiornamenti del sito web e le modifiche al database, potenzialmente non state operando con una cultura della sicurezza”, avverte. “Integrandola in tutta la leadership, probabilmente, sentirete la differenza”.

4. Siamo davvero aggiornati sulla valutazione delle minacce emergenti?

I criminali informatici non dormono mai, sono sempre in azione. “Quando si parla di strategia di sicurezza informatica, è necessario tenere una conversazione molto diretta sulla nuova natura delle minacce informatiche”, suggerisce Griffin Ashkin, senior manager della società di consulenza aziendale MorganFranklin Consulting.

L’esperienza recente ha dimostrato che i criminali informatici stanno andando oltre il ransomware per passare alla cyber-estorsione, avverte Ashkin. “Minacciano di diffondere all’esterno le informazioni di identificazione personale (PII) dei dipendenti, esponendo i dipendenti a un rischio significativo di furto d’identità”.

Ashkin ritiene che i responsabili della sicurezza debbano sforzarsi di trasferire il maggior numero possibile di risorse infrastrutturali on-premise, spostando così le responsabilità della protezione informatica ai fornitori di cloud. Inoltre, le conversazioni periodiche con il management dovrebbero portare a decisioni-chiave, come quelle relative ai potenziali investimenti in strumenti di sicurezza aumentati, ai materiali di formazione aggiornati per la consapevolezza della sicurezza, alla comunicazione aggiuntiva con gli utenti finali per sensibilizzarli sulle più recenti minacce alla sicurezza e qualsiasi altra misura rilevante necessaria per affrontare e mitigare il rischio dei dipendenti.

5. Abbiamo un piano di risposta agli incidenti realmente efficace?

Ogni azienda deve tenere una conversazione incentrata sulla risposta agli incidenti, raccomanda Zachary Folk, direttore delle soluzioni di ingegneria della società di cybersicurezza Camelot Secure.

Secondo Folk, la pianificazione è fondamentale. Le discussioni devono coinvolgere il personale esecutivo dell’azienda, tra cui il CIO, il CISO, il CTO, il coordinatore del team di risposta agli incidenti e tutti i capi reparto. Le riunioni e le conversazioni dovrebbero portare allo sviluppo o all’aggiornamento di un piano di risposta agli incidenti, suggerisce Folk. Le discussioni dovrebbero anche esaminare gli asset e le priorità mission-critical, valutare il probabile impatto di un attacco e identificare le minacce più probabili.’

Cambiando l’approccio alla gestione del rischio dell’azienda, passando da una misurazione basata su matrici (alta, media o bassa) a una riduzione quantitativa del rischio, si basa l’impatto potenziale effettivo sul numero di variabili necessario, dice Folk. “Utilizzando semplici simulazioni Monte Carlo e i dati raccolti dall’azienda, è possibile fornire ai membri del personale senior una probabilità effettiva di perdita, un evento potenziale e un impatto”.

6. Stiamo ottenendo il massimo ROI sui nostri investimenti in sicurezza?

È ora di smettere di fuggire dalle conversazioni sul ROI della sicurezza, afferma Brian Contos, CSO di Sevco, società che si occupa di visibilità degli asset IT e di cybersecurity. Le aziende hanno investito molto in CMDB, SIEM, SOAR, EDR [in inglese], gestione delle vulnerabilità e soluzioni correlate.

“Per ottenere valore da queste soluzioni, le imprese devono assicurarsi che le informazioni che vi confluiscono, come quelle sulle risorse, siano tempestive, accurate e con uno spazio ridottto al minimo”, tiene a precisare. Una solida asset intelligence all’interno delle soluzioni di sicurezza di classe enterprise non solo aiuterà a mitigare meglio i rischi, ma migliorerà il ritorno di questi investimenti.

Secondo Contos, la conversazione sul ROI dovrebbe portare i team dedicati alla sicurezza, alle IT operations e alla GRC (governance, risk e compliance) a ottenere una migliore visibilità del proprio ambiente. Dovrebbe concentrarsi su tutto ciò che è positivo e negativo, identificando le aree che richiedono un miglioramento più rapido. Le azioni prioritarie possono quindi essere assegnate ai team appropriati per affrontare argomenti quali licenze, miglioramento dei processi, ricerca di vulnerabilità, visibilità dei controlli di sicurezza e mandati normativi.

“In definitiva, la mitigazione del rischio e la massimizzazione del ROI dovrebbero combinarsi quando l’asset intelligence viene utilizzato per arricchire l’efficacia degli strumenti esistenti incentrati sulla sicurezza, sulle operazioni IT e sul GRC”, consiglia l’esperto.

7. Qual è la reale portata della nostra esposizione finanziaria?

Forse la conversazione più critica sulla strategia di sicurezza IT si concentra sulla risposta a un’unica domanda: “Quali perdite finanziarie subirebbero i nostri clienti se i nostri sistemi IT andassero in tilt?”.

L’obiettivo di queste discussioni dovrebbe essere la creazione di un ambiente IT sicuro, solido e resiliente, che i clienti possano percepire come attivo e funzionante, consentendo la fornitura di prodotti e servizi senza interruzioni, dice Rob Fitzgerald, field CISO della società di strategie e servizi gestiti IT Blue Mantis.

Questa conversazione dovrebbe avvenire non meno di una volta all’anno e, idealmente, prima della stagione del budget, in modo che il CIO e il CISO possano pianificare di conseguenza, consiglia Fitzgerald. Se si verificano eventi di grande impatto per l’azienda, la conversazione deve avvenire anche in quei momenti. “Per esempio, se un’impresa sta per vendere una divisione o acquisire un’altra azienda, il CIO e il CFO hanno l’obbligo fiduciario di rivalutare la perdita fiscale che i clienti subirebbero in caso di indisponibilità dei sistemi IT”.