Perché i leader IT stanno dando più importanza agli investimenti per la sicurezza

Gartner prevede che la spesa per i prodotti e per i servizi che rientrano nell’ambito della sicurezza informatica e della gestione del rischio crescerà dell’11,3%, raggiungendo, quest’anno, oltre 188,3 miliardi di dollari. Ma, nonostante questa crescita degli investimenti, si sono già verificate almeno 13 gravi violazioni di dati, tra cui quelle di Apple, Meta e Twitter.

Per concentrare meglio gli esborsi per la sicurezza, alcuni Chief Information Security Officer (CISO) stanno spostando la valutazione dei rischi dai sistemi IT ai dati, alle applicazioni e ai processi generali che fanno funzionare l’azienda.

“Se si guarda alla sicurezza da una prospettiva prettamente tecnica, è facile perdersi nel ‘devo avere questo oggetto nuovo e scintillante perché ce l’hanno tutti’”, afferma David Christensen, vice president e CISO del fornitore di software per la gestione dei benefit PlanSource. “La realtà è che spesso la soluzione di sicurezza più popolare o più conosciuta può comportare uno spreco di denaro e rallentare l’attività, soprattutto se non è in linea con gli obiettivi aziendali. Senza contare che, la parte dell’azienda o del processo che aiuta a proteggere potrebbe non essere quella dove si concentrano i principali rischi”.

Don Pecha, Chief Information Security Officer del fornitore di servizi gestiti FNTS, concorda e aggiunge: “Ogni unità dell’azienda potrebbe avere applicazioni specifiche in materia di conformità, normative o privacy, e ogni attività potrebbe avere rischi peculiari che il consiglio di amministrazione o la prima linea del management devono prendere in considerazione”.

Frank Kim, CISO della società di venture capital YL Ventures, e fellow del SANS Institute, cita il caso di un suo pari grado licenziato dopo aver segnalato che costosi programmi di rilevamento e risposta degli endpoint e degli incident response non erano adatti a una startup. “Il loro obiettivo era la sopravvivenza e la crescita dei ricavi”, spiega Kim. “Non aveva capito che il suo compito non era di segnalare una serie di nuove funzionalità di sicurezza, ma di abilitare il business”.

Una nuova definizione del concetto di valore

L’allineamento della sicurezza con l’azienda va oltre i metodi tradizionali di giustificazione della relativa spesa, come l’avvertimento sulle conseguenze delle violazioni o il tentativo di dimostrare il ROI. Ai team interni che si occupano di security, Kim suggerisce di accettare il fatto che quello della security debba essere un centro di costo vero e proprio, e di dimostrare come il CISO gestisca, nel tempo, il relativo investimento. Ciò potrebbe includere l’aggiornamento dei CFO e degli amministratori delegati sulla riduzione dei costi specifici, come quelli per la spesa che riguarda i fornitori di sistemi per la security, o per la ricerca di un prodotto meno costoso per soddisfare un’esigenza di sicurezza o, ancora, il miglioramento delle metriche interne, così come il costo medio per mitigare una vulnerabilità, aggiunge Tyson Kopczynski, SVP e CISO del fornitore di servizi finanziari Oportun.

Christensen suggerisce, inoltre, ai Chief Information Security Officer di spiegare come la sicurezza possa ridurre le spese o aumentare la produttività. Per esempio, i firewall per le applicazioni web non solo proteggono le applicazioni, ma riducono anche i costi di rete limitando il traffico spurio o dannoso. Inoltre, l’adozione di architetture zero-trust e di tecnologie edge per i servizi di accesso sicuro può contribuire a incrementare la produttività, liberando gli utenti dall’implementazione manuale di reti private virtuali per accedere alle risorse, o dall’interruzione delle riunioni quando la loro VPN non funziona.

Kopczynski aggiunge che i CISO possono scoprire l’incidenza di tali miglioramenti con domande quali: l’azienda utilizza tutte le funzioni di uno strumento di sicurezza? Tali funzioni si sovrappongono ad altri strumenti? Sta pagando troppo per le licenze o per una loro quantità eccessiva? I modi per massimizzare il valore includono la presa in considerazione di strumenti che svolgono più funzioni di sicurezza o l’esecuzione di penetration test, simulazioni di attacchi o campagne offensive che dimostrino che uno strumento sia in grado di respingere attacchi ad alto impatto? Per esempio, l’impiego del motore per la crittografia Titaniam nel supportare diversi casi d’uso della protezione dei dati, oltre agli strumenti di sicurezza forniti da fornitori di cloud come Amazon e Microsoft. “Inoltre, consideriamo le soluzioni generiche di sicurezza del cloud che forniscono più tipologie di protezioni, piuttosto che affrontare un caso d’uso particolare”, argomenta.

Secondo Rik Wright, CIO dell’agenzia di marketing globale e società di consulenza The Channel Company, le considerazioni sull’importanza della sicurezza devono essere profondamente radicate nella strategia aziendale e nella definizione del budget, dalla necessità di soddisfare il GDPR dell’Unione Europea al rispetto dei requisiti di sicurezza dei clienti.

Anche la prevenzione delle minacce fa parte del valore della sicurezza dell’azienda per la quale lavora, che si avvale del fornitore di servizi gestiti GreenPages sia per l’infrastruttura che per soddisfare le esigenze di security. Wright sostiene di aver visto alcune imprese spendere cifre importanti, fino a 20 milioni di dollari, dopo un attacco ransomware, e ciò testimonia come la prevenzione di tali perdite rappresenti un valore reale.

La comprensione delle esigenze aziendali

L’adeguamento della spesa per la sicurezza alle esigenze aziendali inizia con la comprensione di ciò che è più importante per i manager.

Kim consiglia di utilizzare la formula “rischio = impatto x probabilità” e di capire su una scala da 1 a 10 quali sono i processi e gli asset più importanti. “I dati finanziari potrebbero essere un 10, mentre quelli relativi alle risorse umane potrebbero essere un 7, in quanto non rappresentano un fattore di differenziazione aziendale”, spiega Kim. “L’utilizzo di una semplice griglia di valutazione per il calcolo del rischio aiuta a individuare le priorità”.

Christensen sostiene che, oltre all’azienda nel suo complesso, i CISO devono consultare in modo approfondito anche l’IT per comprendere il carico amministrativo che una nuova tecnologia di sicurezza potrebbe comportare, nonché verificare tutte le aree in cui uno strumento di sicurezza potrebbe essere utilizzato per massimizzarne il valore. Utilizza il Secure Web Gateway di dope.security non solo per controllare gli accessi, ma anche per capire a quali informazioni e siti web accedono gli utenti e i potenziali rischi a cui espongono l’azienda.

Anche i framework standard del settore, come il NIST (National Institute of Standards and Technology), possono fornire un linguaggio e una struttura comuni per la valutazione dei rischi, sulla cybersecurity. “È semplice al punto da non dover essere un professionista della sicurezza per comprenderlo, ma si modella sulle vostre esigenze e vi aiuta a condividerle con gli stakeholder aziendali”, sottolinea Christensen, aggiungendo che la piattaforma si basa su standard di settore piuttosto che sulle opinioni del CISO, e viene continuamente aggiornata sui nuovi rischi.

Secondo Pecha, ogni settore ha un framework di sicurezza più adatto alle sue esigenze. “Se sono un ente pubblico, mi allineerò con il NIST”, dice Pecha. “Se siete un’azienda globale, utilizzate la famiglia di standard ISO/IEC 27000. Non è necessario essere certificati, ma è importante essere conformi e capire quali sono i controlli per comprendere le esigenze di sicurezza vostre e dei vostri partner”.

Scott Reynolds, responsabile senior della sicurezza e dell’ingegneria di rete per il produttore Johns Manville, utilizza lo standard ISA/IEC 62443 per creare un’intesa tra responsabili aziendali, esperti di sicurezza e fornitori su termini comuni come le “zone” di beni che condividono esigenze di sicurezza comuni. “Questo processo dimostra anche che siamo d’accordo sullo stesso livello di rischio per l’intera zona, e non solo per ciascun asset, tiene a precisare: l’anello più debole si ripercuote su tutti gli asset che la compongono”.

CISO e CSO presso il vendor di tecnologie per la creazione e l’editing media Avid Technology, Dmitriy Sokolovskiy utilizza il Cybersecurity Framework del NIST per misurare la maturità dei processi di sicurezza, e i principali controlli di sicurezza del Center for Internet Security per indicazioni tattiche specifiche, che, a suo dire, mettono in evidenza gli aspetti a basso rischio che le aziende possono facilmente affrontare all’interno della loro infrastruttura.

Attenzione ai benchmark

Diversi CISO si sono dimostrati scettici sull’utilizzo di benchmark per confrontare la propria spesa per la sicurezza con quella dei competitor. Questo perché, secondo loro, le aziende possono definire gli investimenti per la security in modo diverso, o avere differenti esigenze. Inoltre, i benchmark spesso non descrivono come e perché le aziende allocano i loro budget. Di conseguenza, utilizzano i sistemi di confronto come guida approssimativa per la definizione dei costi, basandosi, principalmente, sulle proprie valutazioni del rischio.

Ma Kim mette in guardia i Chief Information Security Officer dal rifiutare le richieste di benchmarking dei livelli superiori. “Non è irragionevole chiedere un benchmark”, argomenta. Un direttore finanziario non può dire: ‘Non possiamo confrontare i nostri utili per azione con quelli di altri settori’”. Fornite i benchmark, dice, ma come parte di una spiegazione più ampia di come la vostra spesa per la sicurezza si confronta con quella altrui, delle sfide che l’impresa deve affrontare, e di come state riducendo il costo totale di proprietà della sicurezza nel tempo.

“I CISO dovrebbero descrivere le minacce e gli attacchi attuali”, afferma Pecha, e fornire alternative per porvi rimedio. Spetta, poi, al consiglio di amministrazione e alla prima linea del management decidere cosa è accettabile e cosa è necessario fare per gestire il rischio complessivo per l’azienda, perché solo loro hanno il potere di guidare il cambiamento.

Insistere sul fatto che un dirigente aziendale accetti formalmente un rischio aziendale, anche per iscritto, spesso può convincerlo ad approvare la spesa proposta per la sicurezza. Quando Sokolovskiy ha insistito su questo tipo di approvazione, “senza alcun dubbio, l’unità aziendale è stata spinta a ridurre il rischio perché ne era proprietaria”, dichiara.

Secondo Christensen, un approccio incentrato sul business può anche stimolare gli sforzi dei team di sicurezza e aziendali per identificare le opportunità di aumentare l’efficienza e risparmiare denaro, per esempio, eliminando sistemi e processi ridondanti. “Con l’allineamento aziendale, non si ha altra scelta che trovare modi unici e innovativi per risolvere i problemi generati dal modo in cui l’azienda opera”, conclude.