La sicurezza informatica: decisioni obiettive o suggestioni?

Network
0 0 Non ci sono commenti

Le decisioni relative alla sicurezza informatica devono basarsi sulle
esigenze specifiche dell’azienda e non sull’opinione del mercato

Troppo spesso le decisioni relative alla spesa per la sicurezza informatica si basano su suggestioni provenienti dal mercato piuttosto che su una reale esigenza di business. Le aziende si lasciano spesso influenzare da ciò che i vendor o i consulenti consigliano, o anche da quanto altre aziende stanno facendo, piuttosto che da ciò che è realmente necessario per la loro operatività. Eppure se i Cso si muovessero verso un approccio obiettivo piuttosto che soggettivo per quanto riguarda gli investimenti economici per la sicurezza ? correlando le risorse per le sicurezza informatica a asset di business strategici e strumenti di priorità ? risulterebbe molto più semplice misurare l’efficacia della strategia e dimostrare il ritorno sull’investimento.

Un’interessante analogia con questo processo decisionale soggettivo si può trovare nel settore delle linee aeree. Come conseguenza delle minacce alla sicurezza, molte linee aeree hanno introdotto posate di plastica come misura di sicurezza, ma non tutte. Questo vuol dire che le linee aree che continuano a utilizzare posate di metallo non sono sicure? Non necessariamente. Inoltre, molti operatori aeroportuali ora richiedono che ci si levino le calzature e le si passi attraverso i raggi x quando si attraversano i controlli di sicurezza ma, ancora una volta, ciò non avviene in tutte le nazioni. In poche parole, non c’è omogeneità nei requisiti di sicurezza per i viaggi aerei poiché molte decisioni vengono prese in modo istintivo piuttosto che in modo obiettivo. Si tratta di una questione di possibilità piuttosto che di fatti.

Lo stesso è spesso valido per la sicurezza informatica. Un recente studio commissionato da McAfee e condotto dalla London School of Economics ha rilevato che una mancanza di benchmark rende difficoltoso per i Cso e i Cio scegliere e calibrare i livelli di investimento o di sofisticazione tecnica più appropriati.
?La mancanza di benchmark rende per noi più difficile stimare il valore o l’efficacia delle nostre azioni, poiché l’unico indicatore reale di cui disponiamo per valutare i livelli di sicurezza della nostra azienda sono le violazioni. Ma le violazioni si verificano troppo di rado per essere un indicatore affidabile.?, ha dichiarato un esperto svedese di sicurezza, citato nel McAfee Reputation Risk Report 2006.

Parte del problema è che la sicurezza It è cambiata moltissimo nel corso degli ultimi due anni. L’era dei worm nelle email che potevano diffondersi in tutto il mondo infettando milioni di Pc in poche ore è finita. Invece, le aziende si trovano a affrontare minacce molto più mirate e letali che arrivano dall’esterno, e vulnerabilità dall’interno create dai loro stessi dipendenti.
Poi esiste la compliance che, secondo Gartner, rimarrà l’elemento trainante più importante per la spesa in sicurezza informatica fino al 2010.

I Cso si trovano di fronte a un vasto spettro di rischi per la sicurezza della loro azienda che devono essere mitigati utilizzando un budget limitato, che, a sua volta , può essere spesso difficile giustificare a livello di consiglio di amministrazione. E’ semplicemente impossibile far fronte a ogni rischio di sicurezza, il che significa che spesso i Cso fanno ricorso a un processo decisionale di tipo tattico, allocando le risorse sul problema più pressante, che potrebbe essere urgente solo secondo un vendor o altri Cso. Senza dati concreti e solidi sul livello del rischio per la sicurezza informatica che le aziende devono affrontare, chiedere più budget al consiglio di amministrazione può essere una sfida. Adottare un approccio più obiettivo e strategico alla sicurezza significa in primo luogo accettare che alcuni livelli di rischio per la sicurezza It sono inevitabili. Le risorse saranno sempre limitate e quindi dovranno essere prioritizzate. Un approccio strategico implica il bilanciamento delle risorse rispetto alle priorità di business per raggiungere un livello di rischio accettabile. Il secondo stadio per un approccio strategico di successo deve perciò essere quello di comprendere l’ambiente di business e le sue priorità , identificando quali asset sono critici per la continuità delle operazioni aziendali.

Legato a ciò è la comprensione dei requisiti imposti alle aziende dalle norme governative. Così, mentre i sistemi che sostengono i servizi finanziari di una banca sono vitali per l’azienda, l’integrità dei dati dei clienti sono fondamentali in base alle leggi in vigore. Questo collegamento tra le risorse per la sicurezza informatica e i sistemi prioritari dell’azienda è strategico per giustificare in ultima analisi la spesa in sicurezza It. Comprendere quale è la ?value proposition? è altrettanto indispensabile per implementare dei validi controlli di sicurezza con le risorse disponibili. Quale è il ritorno economico di un nuovo firewall, dell’applicare delle patch, della cifratura, della formazione, dei controlli fisici o di qualunque altra tecnologia o tool? Per cosa abbiamo speso e perché era importante? Troppo spesso queste decisioni vengono prese senza una metrica efficace e il mercato è pieno di questi racconti di guerra, molti dei quali non hanno un lieto fine.

I Chief Security Officer devono essere in grado di affrontare la domanda ?Quanto siamo sicuri?? senza far ricorso a risposte vaghe non sostenibili (poco, bene, meglio, male). Oggi, le organizzazioni di sicurezza dispongono di una pletora di tool e tecnologie di sicurezza, scanner,cruscotti, gestori di eventi, e così via. L’elemento critico mancante è la capacità di fornire una metodologia di processo ripetibile, come il Capability Maturity Model (Cmm). Inoltre, il processo deve essere enunciato in base a metriche obiettive perché, come dice il vecchio detto, ?non puoi gestire ciò che non puoi misurare?. Gruppi di business, gruppi commerciali, gruppi produttivi, devono prendere quotidianamente decisioni basate su metriche chiare in modo da poter gestire le aspettative. Le metriche devono essere criteri decisionali basati sul business (non sulle intrusioni sul firewall, o sulle email analizzate o dati similari che sono dati puramente informativi e non decisionali) e il Cso deve essere in grado di mostrare un chiaro trend di riduzione del rischio e produrre dati obiettivi che supportino il rispetto alla compliance.
Non esistono scuse per processi decisionali soggettivi quando si tratta di sicurezza informatica in qualsiasi grande azienda. Decisioni obiettive vanno basate sui fatti. Se sapete quali sono i sistemi business critical e potete vedere il livello di rischio che tali asset devono affrontare, allora è possibile prendere decisioni ben definite e fondate su dove è necessario indirizzare le risorse o dove sono necessari ulteriori investimenti. In ultima analisi,le decisioni relative alla sicurezza informatica devono basarsi sulle esigenze specoofche dell’azienda e non sull’opinione del mercato.

Martin Carmichael, Chief Security Officer di McAfee

Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore