digital relax EPisode 2: CYBERSECURITY GOVERNANCE

Scritto da Roberta Bianchi

il gruppo E torna CON una nuova serie podcast in 6 episodi, digital relax, da ascoltare per scoprire, senza fretta, le novità dell’it: tecnologie, trend e atteggiamenti ricorrenti da parte delle aziende.

il SECONDO episodio è dedicato ALLA SECURITY GOVERNANCE eD è tenuto da ALESSANDRO DA RE, GRC Executive advisor del gruppo e.

Il rischio cyber è al centro delle priorità delle aziende. Quanto è importante la presenza di strumenti di controllo e monitoraggio specifici in azienda per attenuarlo? fino a che punto questi possono garantire fiducia nella sicurezza delle informazioni?

ALESSANDRO DA RE Nell’information security un concetto fondamentale è la fiducia, intesa come fiducia nel proprio operato e in quelle delle persone che collaborano con te. Quella che in inglese chiameremmo “confidence”. È un concetto chiave e una cosa che però spesso manca nella security governance. Se ti chiedessi, in quanto CIO o CISO di un’azienda, quanta fiducia hai rispetto al governo della sicurezza delle informazioni nella tua azienda, so che potrei ottenere risposte molto diverse, da moltissima fiducia a pochissima fiducia. La security governance serve a massimizzare questa sensazione di fiducia, che si riflette poi in maniera diretta sul business aziendale. La fiducia, in questo senso, può esistere solo se esistono degli strumenti di controllo e monitoraggio specifici.

Senza questi strumenti potresti non avere la giusta visibilità sulle tue capacità di gestire il rischio. Il governo della sicurezza fornisce gli strumenti necessari per farti essere fiducioso di due cose:

  • Che la tua azienda stia compiendo tutti i passi necessari per avere un grado di rischio accettabile (che tu hai deciso)

  • Che la tua azienda sia pronta a reagire in caso di incidente di cyber sicurezza

Alla base della security governance c’è dunque il concetto di fiducia. Chi si occupa di garantirla?

ALESSANDRO DA RE La figura che aiuta a costruire questa fiducia può certamente essere un professionista  come il GRC executive advisor. E questo perché  è in grado di impostare assieme a te, la giusta rotta per un miglioramento progressivo della postura sulla sicurezza cyber. Lo fa con un ruolo super-partes: ti aiuta progettare e indirizzare i piani di governo della sicurezza in modo che producano un risultato armonico, che solo con la collaborazione e il coordinamento di tutti si può ottenere. L’executive advisor osserva ciò che accade normalmente in azienda riguardo le questioni del rischio cyber, ipotizza cosa possa accadere, prepara le persone ad agire in caso avvenisse un incidente di sicurezza, senza lasciare nulla al caso. Qualora ci fosse qualcosa di non previsto, fornisce gli strumenti (mentali, organizzativi, d’approccio e tecnologici) per gestire l’imprevisto.

Un nostro cliente mi disse, quando l’incontrai  per la prima volta: “Io devo sapere se sono a rischio e di quanto;  voglio essere ragionevolmente certo di avere in mano la situazione”. Ecco che la governance mitiga proprio questa preoccupazione. Tanto più sei preparato, tanto più sai, più pronto sei. L’obiettivo è uno solo: la resilienza del business. L’information security diventa invisibile, non fastidiosa, tanto che si fonde con il DNA dell’organizzazione. Viene incorporata nelle fibre del business.

Sembrerebbe che si possa essere sempre sicuri al 100%.

ALESSANDRO DA RE La sicurezza al 100% è chiaramente un’utopia, così come è utopico il Rischio zero; Ecco allora che nasce il concetto di rischio accettabile: ovvero il grado di rischio che l’azienda ha individuato come il giusto compromesso tra business, sicurezza e caratteristiche dell’IT. La sicurezza dell’informazione è proprio questo: il punto d’incontro tra il business, le esigenze di protezione e le caratteristiche dell’IT.

Come si definiscono i confini del rischio in azienda e come questo influisce sul modo in cui il rischio stesso viene gestito? Insomma, più in generale, come si affronta questo tema?

ALESSANDRO DA RE Sì, hai ragione, quello del rischio è un tema delicato e complesso, perché è qualcosa che l’organizzazione deve comprendere a fondo e misurare. Oggi vedo che continua ad essere molto difficile avere contezza di un indice di rischio che sia coerente e veritiero. Il rischio dipende in gran parte dall’estensione del perimetro. I social fanno parte del perimetro? WhatsApp fa parte del perimetro? Ho visto aziende in grosse difficoltà per un post social mal fatto e non autorizzato. Ho visto aziende in enorme difficoltà perché all’interno dell’organizzazione giravano via Whatsapp fotografie e screenshot inopportuni.

Esistono degli ausili innovativi all’analisi e gestione del rischio; L’intelligenza Artificiale, ad esempio in parte, può già oggi aiutare l’Advisor in tal senso

Come si comprende il rischio?

La security governance parte dalla conoscenza, come chi abbia in cura un campo agricolo, dove ogni pianta è soggetta a un tipo diverso di rischio, che va conosciuto.
— Alessandro Da Re

ALESSANDRO DA RE Beh diciamo che il più grande problema nel risk management è proprio la comprensione del rischio. E non è solo tecnologico, anzi. Il modo migliore è definire “scenari di rischio” che possano essere plausibili al modello di business e alla peculiarità dell'organizzazione e per fare questo esistono degli standard e dei framework di riferimento conosciuti a livello internazionale.

Immagina l'azienda come un vasto fondo agricolo con varie colture che crescono, ognuna di diverso tipo, ognuna con i suoi punti deboli, ognuna con le sue minacce specifiche e le sue peculiarità di mercato e quindi di guadagno. Ci saranno le piante sensibili al freddo, quelle sensibili al caldo, quelle che possono essere danneggiate dal vento, quelle che possono essere danneggiata dalla pioggia. Solo quando hai una chiara planimetria del tuo territorio e una conoscenza approfondita delle tue piante, puoi pianificare con precisione quali strategie adottare per proteggerle dalle avversità. Allo stesso modo anche tu come CIO/CISO devi conoscere i tuoi information asset, e la loro collocazione valutarne gli scenari di rischio a cui è soggetto, per implementare le giuste misure e ridurre il rischio al minimo.

Oggi l’informazione è distribuita e questo è il grande problema: la globalizzazione del dato aumenta il cyber rischio in maniera esponenziale. Per questo la valutazione della security posture, il primo grande e fondamentale passo per la security governance, è così importante. Non è un lavoro che può fare un tecnico, lo deve fare un manager che comprende e conosce il business. È il nostro mestiere di advisor, che diamo una marcia in più al referente dell’ Information security in azienda per capire quanto sia esteso lo scenario di rischio cyber.

CHE RUOLO HA l’intelligenza artificiale in questo scenario?

ALESSANDRO DA RE Parto con il dire che abbiamo un problema di estensione dei perimetri d’attacco, un aumento delle minacce, in continua evoluzione. E allo stesso modo gli scenari di rischio cambiano costantemente, e di conseguenza cambiano gli impatti che le minacce insieme alle vulnerabilità rilevate portano.

Quindi: gli scenari sono in continua evoluzione e L’AI può aiutare nella loro definizione, nell’automazione dei processi e alcune analisi predittive che oggi si rivelano strategiche. Il fattore umano, il contributo dell’analista resta tuttavia determinante.

Come vengono gestiti gli incidenti di sicurezza?

ALESSANDRO DA RE

È la governance che descrive il funzionamento dei processi in azienda per la sicurezza delle informazioni e che indirizza il migliore approccio operativo per far fronte agli incidenti cyber. La tecnologia e la sua gestione fa poi il resto. Ad esempio, quando le funzioni di monitoraggio e intervento – come può essere un  Security Operation Center  - rilevano un potenziale incidente, ci sono procedure operative che ti dicono:

  1. Se l’incidente è vero

  2. Quanto è grave

  3. Come procedere

Nulla è lasciato al caso. Un approccio organico di governo previene, prepara, contiene i danni e risponde. È importante dire che i programmi di governo, come per esempio la roadmap di sicurezza non sono piani di rimedio momentaneo a una situazione transitoria, un sistemare le cose delle cose che non vanno, bensì un approccio a lungo termine per migliorare la postura di sicurezza aziendale. Non è più IT Security o Cyber Security ma Information  Security Governance.

Il budget. Come si definisce l’investimento necessario? 

ALESSANDRO DA RE L’investimento è parte stessa della strategia e si collega al concetto di rischio accettabile che citavo prima. Tu come CIO/CISO investi per raggiungere un livello di rischio che sia accettabile. Ecco, i piani di governance hanno in questo senso due vantaggi; il primo è che ti permettono di calcolare con buona precisione la spesa sugli investimenti che indirizzerai nell’arco temporale di 2 – 3 anni, ed in secondo luogo ti permetteranno di comunicare verso il tuo Business i razionali con i quali hai scelto quei piani, quali e quanti rischi riuscirai a gestire, mitigare contenere.

Credimi, la comunicazione verso gli Stakeholders è determinante per ottenere fiducia nelle iniziative di governo e quindi la capacità di investimento. Questo ti permette di decidere quali rischi cyber contenere, quali accettare e quali eventualmente trasferire a terzi, per esempio alle assicurazioni. E Ricordiamoci sempre che questa decisione non la può prendere il CISO in autonomia, ma dev’essere sempre sostenuta e avallata dal Business. Si capisce benissimo ora che il budget è un elemento essenziale, parte stesso della strategia, perché ti permette di raggiungere i tuoi obiettivi di gestione e governo del Cyber Risk.

Come ci si avvicina, qual è il primo passo a una gestione ottimale della sicurezza delle informazioni?

ALESSANDRO DA RE Si parte sempre dalla definizione della posture, della postura di sicurezza. Noi come advisor la comprendiamo con delle attività di analisi oppure la validiamo se compiuta da altri. Già in questa fase ci sono gli embrioni della metodologia che ci servirà per mettere a punto i piani di governance. A partire dalla definizione della posture, verranno prodotti una serie di elementi, di documenti, di risultati che diranno chi è l’azienda e quali siamo gli obiettivi termini strategici e di gestione della sicurezza delle informazioni. Verrà messo a punto un piano di governo nell’immediato, chiamata Baseline Security che normalmente si esaurisce nel giro di 6 mesi-un anno. Già da quel momento potremo definire un approccio strategico e operativo di lungo periodo che possa diventare nel tempo il piano permanente sull’Information Security.

Man mano che percorreremo assieme questo processo di miglioramento, come Advisor saremo al tuo fianco per fornirti tutti gli strumenti necessari e farti apprezzare la nostra capacità di incorporare nella quotidianità i migliori framework di comprensione e gestione del rischio; da quel momento il percorso sarà più semplice e la strada più confortevole.

Roberta Bianchi
Indietro

digital relax: L’IT SOSTENIBILE
Avanti

digital relax: si parte con I servizi gestiti per la sicurezza