Le domande a cui deve rispondere un CISO
Premessa: per essere a capo della sicurezza informatica di un’azienda, PMI, grande impresa o di un gruppo di esse, è importante riuscire ad avere una visione più ampia della singola dinamica che ti si presenta davanti in modo da poter sviluppare una strategia di cybersecurity sempre efficace indipendentemente dal problema specifico sorto.
Se sei in grado di fare ciò, non avrai problemi a rispondere ad alcuna di queste domande:
1. Quanto siamo al sicuro – o siamo esposti – dalle minacce?
Per trovare risposta a questo quesito è necessario conoscere ogni dispositivo e tecnologia dell’azienda,
così come di ogni aspetto di ognuno di essi, incluse le risorse in
cloud, i sistemi di controllo industriali e i dispositivi mobile.
Questo
aiuta a non lasciare nulla al caso e a focalizzarsi non solo sulle aree
di competenze in cui si è più forti, ma anche in quelle più trascurate:
per esempio, se la tua azienda è particolarmente attenta allo sviluppo
di codici e ai suoi punti deboli, probabilmente le vulnerabilità
dell’ultima versione di Windows non saranno un grosso problema come
invece possono esserlo per le imprese meno esperte.
2. Come stiamo riducendo la nostra esposizione alle minacce nel tempo?
La tua abilità nel rispondere a questa domanda è una misura dei tuoi progressi.
Tutto parte dall’analisi: identifica quindi delle metriche e dei KPI
(Key Performance Indicator) con i quali misurare il tuo impegno e i tuoi
sforzi.
L’obiettivo deve essere quello di capire in che modo il
profilo di esposizione cambia mese per mese, trimestre per trimestre e
anno per anno, così da aiutare in primis i tuoi colleghi e capire dove
stanno sbagliando e dove invece hanno successo, mentre aiuta il
consiglio di amministrazione e comprendere se gli investimenti in ambito
cybersecurity sono adeguati.
3. Quali sono le nostre priorità?
Per rispondere, si deve avere a disposizione una combinazione di
informazioni basata sulle minacce che solitamente devono essere
affrontate e sulla criticità delle risorse da proteggere.
Non solo, definire una scala delle priorità da difendere è importante anche per ottimizzare gli sforzi, le attività e il budget a disposizione:
una linea guida per creare una scala gerarchica è quella di proteggere
meglio le aree vulnerabili che potrebbero costare di più alla tua
azienda in termini di lavoro, sanzioni, tempo di recupero e reputazione.
4. Siamo allo stesso livello delle aziende che operano nel nostro stesso settore?
Quale miglior modo di avere una percezione se ciò che stai facendo è corretto se non paragonandoti ai tuoi “colleghi” che lavorano per altre aziende?
Oltre ad aiutarti a migliorare la rete di sicurezza, ti permette di capire quanto è importante che anche la tua impresa contribuisca in modo attivo a rendere il più sicura possibile la tua infrastruttura:
il continuo scambio di informazioni tra aziende è anche veicolo di
maggiori vulnerabilità, tanto che una falla nel sistema può portare ad
una diffusione dell’attacco hacker in tutta la filiera, con conseguenze disastrose.
Ecco perché il rischio informatico non è diverso dagli altri rischi aziendali e perché dovrebbe essere gestito e trattato allo stesso modo.
Due pratiche di sicurezza pronte all’uso
Se pensi di aver trovato tutte le vulnerabilità, cerca più a fondo
Con la continua evoluzione di tecniche di attacco, è possibile che la prossima minaccia provenga da una direzione sconosciuta e inaspettata.
Non sottovalutare il rischio: non si può mai sapere quando si può rimanere vittime degli hacker, l’unica cosa certa è che nessuno viene risparmiato, nemmeno le grandi aziende solitamente più preparate al peggio.
Aggiorna di continuo l’elenco di vulnerabilità includendo tutti i
dispositivi IoT ma anche i servizi e gli ambienti cloud, i sistemi di
videosorveglianza, i dispositivi di controllo industriale, i sistemi
HVAC e qualsiasi altro sistema connesso a internet che solitamente viene
dimenticato.
Non tutti i dispositivi hanno la stessa importanza
Il tablet utilizzato dal CFO potrebbe essere un obiettivo di maggior valore rispetto a quello utilizzato in reception per l’accesso ai visitatori. Il consiglio è quindi quello di concentrarsi sulle risorse più importanti, considerando tra le varie voci che le rendono tali, come il tipo di informazioni trattate e le conseguenze legali in caso di loro furto, anche il tempo di recupero in caso di attacco hacker.
E tu, sei in grado di far fronte a queste quattro domande?