Talking Cyber Security with the Board of Directors

Discussione sulla cyber sicurezza con il consiglio di amministrazione

Intervista con Josh Shaul, VP, prodotti per la sicurezza web

Quali sono i concetti basilari che i membri del consiglio di amministrazione devono sapere oggi in merito alla cyber sicurezza?

I membri del consiglio di amministrazione riconoscono l'importanza sempre maggiore della cyber sicurezza. L'interesse e la preoccupazione hanno raggiunto livelli alti. È per questo che rientrano nei loro programmi. Ma probabilmente hanno diversi livelli di competenze tecniche e, perciò, non hanno lo stesso livello di comprensione dei problemi. Quindi, quando il CIO o il CSO comunica al consiglio di amministrazione l'approccio adottato dall'azienda in fatto di cyber sicurezza, in genere è necessario fare una preparazione formativa e una classificazione dei livelli.

I membri del consiglio di amministrazione dovrebbero prima di tutto avere coscienza del panorama delle minacce e della sua natura continuamente variabile. Ciò significa anche comprendere i concetti basilari relativi ai tipi di attacchi e di difese. Dovrebbero saper cogliere anche il fatto che diversi attacchi (DDoS, malware, attacchi web) richiedono strategie di difesa diverse. La sicurezza è complessa.

Seconda cosa, dovrebbero riconoscere che le difese che prevedono il tradizionale firewall del perimetro non sono adeguate per un'azienda che lavora online ed è altamente connessa a clienti e partner, a volte sparsi nel mondo. Il perimetro dovrà avere delle aperture, ma quando le reti e le applicazioni sono aperte ai clienti, sono esposte anche ad attacchi. Poiché il business è diventato molto distribuito, anche la sicurezza deve esserlo.

Terza cosa, occorre riconoscere che non esiste una difesa completamente ermetica. La domanda "L'azienda è sicura?" non può presupporre una risposta come sì o no. Le domande da discutere sono: L'azienda è abbastanza sicura per svolgere normalmente le proprie attività? Che livello di rischio siamo disposti ad accettare? Quanto siamo disposti a investire per ridurre il livello di rischio?

Quarta cosa, è bene sapere che il successo è locale. I media che parlano di grandi violazioni continuano a ricordarci quanto possano essere costosi gli errori e quante lezioni sia possibile imparare da ciò che succede agli altri. Ma la cyber sicurezza deve focalizzarsi sulle potenziali minacce e sulle vulnerabilità specifiche dell'azienda, anche in caso di copertura dei media.

In un mondo perfetto, cosa direbbe un CIO o CSO al consiglio di amministrazione in merito all'approccio locale alla sicurezza?

La discussione riguarderebbe tre argomenti: difese, clienti e risposta.

Difese. Abbiamo difese efficaci. Ci teniamo aggiornati sui cambiamenti che avvengono nel panorama delle minacce. Abbiamo visibilità sulle nostre risorse e reti digitali. Abbiamo fatto con diligenza tutto ciò che è in nostro potere per proteggerci da un potenziale attacco informatico. Oltre alle difese perimetrali, abbiamo uno scudo globale nel cloud, che protegge le nostre risorse e comunicazioni ovunque esse siano. Monitoriamo anche le comunicazioni interne e ci proteggiamo dalle minacce interne con lo stesso rigore con il quale ci guardiamo da quelle esterne. E, cosa molto importante, testiamo e verifichiamo regolarmente le nostre difese con delle "esercitazioni verosimili". Chiediamo a degli hacker esperti di tentare di insinuarsi nei nostri sistemi e risolviamo immediatamente tutto ciò che risulta essere vulnerabile.

Clienti. Monitoriamo continuamente l'accesso dei nostri clienti all'azienda e desideriamo che abbiano un'experience ottima e sicura quando interagiscono con noi. Comprendiamo i loro comportamenti online usuali e ci guardiamo attentamente da accessi anomali. Verifichiamo che siano davvero dei clienti ad interagire con i nostri sistemi e non bot che si spacciano per loro. E, quando dei truffatori potrebbero aver rubato le loro credenziali o persino l'identità, lo segnaliamo ai clienti. Quindi, proteggiamo i nostri clienti, la loro privacy e i loro dati, per conservare la loro fiducia in noi.

Risposta. Siamo pronti, anche al peggio. Il nostro team è qualificato. Sa come rispondere in caso di attacco o violazione. Il nostro piano d'azione è stabilito, sappiamo chi informare e a chi rivolgerci, chi fa parte dello staff della direzione aziendale, di quello legale e delle comunicazioni. Sappiamo come raccogliere prove e condurre indagini di informatica forense. Effettuiamo esercizi di risposta a incidenti realistici. Non ci faremo cogliere impreparati, perché abbiamo perfezionato le nostre procedure di risposta agli incidenti e ci siamo esercitati a lungo.

Per riassumere: siamo protetti nel miglior modo possibile, proteggiamo i nostri clienti e siamo pronti anche agli imprevisti. Ora, abbiamo parlato di un "mondo ideale". Non sono molte le organizzazioni che oggi possono dire in tutta onestà queste cose.

Perché no? Cosa le ostacola?

La risposta più semplice, in genere, è la mancanza di fondi per la creazione di un programma di sicurezza più completo. Ma si tratta solo del sintomo più superficiale. Tolto questo, il problema è la mancanza di contesto e gestione. Molte organizzazioni hanno difficoltà a determinare il livello di sicurezza necessario oppure il grado di rischio che sono disposte ad affrontare, o ancora quanto sono disposte a spendere per dimensionare il rischio a un livello accettabile.

Per aiutarle a oltrepassare questi ostacoli, consigliamo di sviluppare delle dichiarazioni formali relative alla propensione al rischio dell'azienda. Ad esempio, un'agenzia governativa all'interno del Ministero del tesoro ha una propensione al rischio complessiva abbastanza bassa in fatto di tecnologia, che viene ripartita in questo modo:
  • Nessuna propensione al rischio per l'accesso non autorizzato ai sistemi, perciò i controlli devono essere il più possibile rigorosi.
  • Bassa propensione al rischio riguardo la flessibilità del business e ciò significa che se i sistemi subiscono interruzioni, devono tornare attivi al più presto.
  • Propensione al rischio moderata per l'uso di soluzioni tecnologiche innovative, al fine di soddisfare le richieste degli utenti: va bene sperimentare entro i limiti.
Un'azienda commerciale che lavora 24 ore su 24, 7 giorni su 7 e prova ad ampliare mercati in tutto il mondo avrebbe una propensione al rischio molto diversa. Il punto è capire a che punto vi trovate voi, per stabilire dei limiti utili e basarsi su quelli. Per un'area così importante come la cyber sicurezza, l'adeguamento e l'approvazione finale della propensione al rischio dovrebbe estendersi anche al team direttivo, che dovrebbe accertarsi che il consiglio di amministrazione comprenda le sue decisioni.

Queste dichiarazioni di principi guida sono un potente metodo di gestione. Mettono paletti in terra, aiutano a dare priorità agli obiettivi e alle azioni e forniscono una base per prendere le decisioni. Avendo concordato sul progetto più ampio stabilito nei principi, le parti interessate sono più disposte ad accettare il modo in cui agiscono i dettagli, scendendo anche a compromessi. E i responsabili della gestione delle attività e delle decisioni tattiche (in questo caso il CIO e il CSO) hanno una base molto più solida dalla quale partire, nonché metodi più convincenti per spiegare e giustificare le proprie azioni.

Diteci altro sui metodi di determinazione della propensione al rischio.

È d'aiuto avere dei punti di riferimento esterni, siano essi benchmark del settore relativo alle procedure di sicurezza o modelli di maturità della cyber sicurezza più generici. Terze parti di fiducia possono valutare le funzionalità di sicurezza di un'azienda e talvolta fare una stima dei budget rispetto ai colleghi del settore e ai concorrenti. I risultati possono chiarire e giustificare le azioni necessarie, specialmente onde evitare di trovarsi ad essere, all'interno del settore, quelli più vulnerabili a un attacco.

I modelli di maturità organizzano difese e procedure operative e gestionali all'interno dei livelli di funzionalità, di solito cinque all'incirca. Un'organizzazione potrebbe fare una valutazione e concludere così: "Siamo al secondo livello ed è troppo basso: il nostro business è troppo esposto". Il modello di maturità può indicare quali sono le ulteriori attività necessarie a raggiungere il livello tre. Le dichiarazioni relative alla propensione al rischio dell'azienda devono guidare gli obiettivi legati al livello di maturità.

Una tecnica utile è verificare le dichiarazioni legate alla propensione al rischio rispetto a scenari locali e a situazioni reali. Ad esempio, un'azienda, di primo acchito, potrebbe pensare che deve soddisfare tutti i suoi clienti online 24 ore su 24, 7 giorni su 7, senza eccezioni. Ma nel caso di un attacco grave, sarebbe disposta a disattivare un sistema chiave e a impedire l'accesso al 30% dei suoi clienti, per permettere a tutti gli altri di accedere?

Altro esempio, l'azienda potrebbe volere una tolleranza zero per gli accessi non autorizzati alla sua rete. Ma è un obiettivo impossibile, persino per le agenzie di sicurezza governative più sicure. Nella maggior parte delle organizzazioni, un tale accesso si è già verificato e si sta verificando anche adesso. La loro sfida è trovare e bloccare gli intrusi. Quindi, la domanda realistica riguardante la propensione al rischio diventa: quali tipi di intrusioni dobbiamo riconoscere e ridimensionare maggiormente?

Scenari come questi dovrebbero essere presi in considerazione in anticipo e diventare parte del piano d'azione di risposta. La programmazione degli scenari dovrebbe comprendere anche il mettersi nei panni degli autori degli attacchi e anticipare le possibili risorse più vulnerabili. Se potete evitarlo, non desiderate prendere decisioni importanti all'improvviso, mentre siete sotto attacco e nel bel mezzo della "foga della guerra".

La procedura di sviluppo e verifica delle dichiarazioni relative alla propensione al rischio è iterativa, spesso incentrata sui costi e spinta dai veri elementi necessari a soddisfare gli obiettivi di sicurezza. "Abbiamo bisogno di un livello X di sicurezza". "Costa 30 milioni di dollari". "Ok, in tal caso, possiamo star bene anche con un livello inferiore a X". Le dichiarazioni relative alla propensione al rischio devono essere anche modificate subito dopo gli attacchi, riconoscendo il bisogno di una migliore sicurezza oppure accettando che la realtà è che l'organizzazione non è all'altezza del suo profilo di rischio.

Ultima cosa, ma non meno importante, le dichiarazioni relative alla propensione al rischio non possono essere generiche o teoriche. Devono essere abbastanza specifiche rispetto alla situazione della vostra azienda, al fine di guidare le persone nel prendere decisioni e accettare compromessi, anche quelli più difficili.

Si è parlato di visibilità nell'ambiente di elaborazione. Deve essere una base per una cyber sicurezza efficace.

Lo è certamente. Più completa è la vostra visibilità (sulle risorse, le connessioni, l'attività di rete e le vulnerabilità), più sarete in grado di proteggere l'intero ambiente. Ma le cose non sono così semplici.

Una sicurezza completa necessita tanto per cominciare di un inventario preciso delle reti, dei sistemi e dei dati dell'azienda e si tratta di una sfida su vari fronti. Un esempio comune è la posizione dei dati sensibili. Molte organizzazioni non sanno dove sono conservati tutti i dati. Un altro esempio è l'area della superficie della rete dell'organizzazione: tutte le connessioni, i partner, gli URL che potrebbero condurre all'ambiente di elaborazione. In una grande azienda online da tanto tempo, può essere molto difficile mantenere un inventario completo.

Persino con un buon inventario, la visibilità di un'azienda relativamente al proprio ambiente potrebbe non essere completa per svariate ragioni:
  • Potrebbe non sapere dove o cosa cercare. In quel caso, potrebbe rivolgersi alla guida di un esperto.
  • Potrebbe non sapere come cercare. In tal caso, potrebbe anche aiutarsi con strumenti tecnologici per l'infrastruttura di monitoraggio.
  • Potrebbe non voler cercare per paura di cosa potrebbe trovare...
Si tratta di un'area delicata e, forse, di una "realtà scomoda" per la comunità degli addetti alla sicurezza. Possono esserci delle zone buie laddove le aziende non hanno intenzione di fare luce, perché sarebbero poi obbligate a correggere gli errori rilevati e ciò potrebbe risultare difficile e costoso. A volte, potrebbe sembrare che stiate meglio quando non conoscete i vostri problemi. Ma non è questo il caso.

Lasciare i problemi dove sono non va bene. L'ignoranza non deve essere la scusante per una violazione. Tuttavia, rilevare i problemi e lasciarli dove sono, senza correggerli, può andare bene. È una questione di priorità. Nessuna azienda ha i soldi, il personale e le altre risorse necessarie a risolvere tutto. E si crea una tensione inevitabile tra le capacità di difendersi, i costi e il rischio per l'azienda. Perciò, torniamo di nuovo a parlare di propensione al rischio. Con una piena visibilità e consapevolezza, potete concentrarvi sulla risoluzione delle vulnerabilità che comportano i rischi maggiori. L'azienda può operare comodamente con la sua attuale propensione al rischio.

Per concludere, dateci i punti chiave utili per i CIO e i CSO.

Prima cosa, quando si lavora con il consiglio di amministrazione, occorre trattare altri temi oltre allo stato delle difese tecniche e al rischio di attacchi. Parlate anche della protezione dei clienti, dell'adeguatezza della sicurezza dell'organizzazione e delle procedure di risposta agli incidenti in caso di attacco. Tutti questi argomenti insieme rappresentano una due diligence approfondita.

Seconda cosa, il consiglio di amministrazione deve capire che l'azienda non potrà mai essere completamente al sicuro. Ma può operare con una propensione al rischio accettabile e appositamente stabilita. In generale, il CEO e il consiglio di amministrazione dovrebbero comunicare la strategia di sicurezza e la propensione al rischio alle parti interessate: clienti, dipendenti, autorità di regolamentazione e azionisti.

Terza cosa, i leader della sicurezza spesso faticano a trovare le risorse necessarie ad adempiere alle proprie responsabilità. Molti trovano che sia difficile comunicare il valore per l'azienda e la necessità di programmi di sicurezza ai dirigenti finanziari. È utile parlare regolarmente di cyber sicurezza e propensione al rischio con il team direttivo e con il consiglio di amministrazione. La chiave per ottenere risorse potrebbe essere mettersi a confronto con i colleghi del settore. Ma tenete presente che la realtà della quale ha bisogno la sicurezza basata sul rischio potrebbe non comprendere tutto ciò che i leader della sicurezza vorrebbero realizzare.

E, quarta cosa, quando le funzionalità per la sicurezza e la propensione al rischio sono chiare, i programmi e le procedure di sicurezza possono aiutare l'azienda a stabilire dei limiti di azione. La sicurezza non dovrebbe contenere solo frasi come "Non puoi fare", ma anche "hai la libertà di lavorare e innovare online". Il personale addetto alla cyber sicurezza dovrebbe essere coinvolto sin dai primi stadi nella concezione e nello sviluppo delle nuove iniziative aziendali. La cyber sicurezza dovrebbe favorire l'avanzamento dell'azienda, prevenendo, allo stesso tempo, le mosse degli avversari.

Related CIO Content