I giorni in cui il team dedicato alla sicurezza poteva implementare una nuova tecnologia di sicurezza e poi sedersi comodamente alla scrivania e considerarsi al sicuro sono definitivamente passati. Oggi le aziende si stanno rendendo conto che non si possono mai considerare protette al 100%. La domanda oggi è quanto rischio le aziende sono pronte ad assumersi.
Molti CISO, tuttavia, ritengono che quantificare il rischio per la cyber security sia troppo difficile, troppo ambiguo, troppo elusivo. E con i metodi di valutazione del rischio tradizionali utilizzati oggigiorno, possiamo dire che hanno ragione.
Ecco perché quando un CISO affronta il management per chiedere del budget per una nuova tecnologia o un’iniziativa di sicurezza, si assiste a un incontro tra persone che parlano linguaggi differenti. Il CFO e il CEO ragionano in termini di soldi – valore commerciale e ROI. Senza questi numeri a cui riferirsi, il CISO deve in qualche modo convincere il top management che l’investimento è necessario. Allora il CISO ricorre all’unico espediente che farà alzare l’attenzione degli executive: la paura! “Se non lo facciamo, sarà un disastro.”
Dopotutto, nessuna azienda ambisce ad occupare i prossimi titoli dei giornali.
Ma alla fine, un’azienda come fa a sapere se i suoi investimenti in sicurezza stanno efficacemente riducendo o eliminando i rischi nella misura che gli executive si attendono o immaginano? Le aziende spendono in programmi di training dei dipendenti, in sistemi di monitoraggio degli eventi, nel rimpiazzare software di sicurezza: ma come fa un’azienda a sapere se sta investendo nella giusta direzione o se con l’assicurazione ha stretto un adeguato contratto per coprire i danni in caso di una violazione di dati, un incidente ransomware o un attacco DDoS?
E come fa un CISO a dimostrare al top management quanto questi investimenti siano importanti per l’azienda senza ricorrere al “terrorismo” psicologico?
La risposta sta nell’essere in grado di quantificare l’impatto di una violazione informatica nella tua azienda, esercizio a cui i CISO spesso si sottraggono. E’ però vero che utilizzare sistemi di quantificazione ambigui o che indicano il rischio con i colori verde, giallo, blu, non porta molto lontano.
“La maggior parte dei manager si basa su orientamenti qualitativi ricavati da ‘mappe di calore’ che descrivono la loro vulnerabilità come ‘bassa’ o ‘alta’ in base a stime vaghe che raccolgono frequenti piccole perdite o rare grandi perdite,” scrivono Chacko, Sekeris and Herbolzheimer su Harvard Business Review. “Ma questo approccio non aiuta i manager a comprendere se hanno un problema da $10 milioni o da $100 milioni, né tanto meno a sapere se dovrebbero investire in difese contro i malware o nella protezione delle email. Come risultato, le aziende continuano a giudicare erroneamente a quali capacità di cyber security dovrebbero dare priorità e spesso ottengono un’insufficiente protezione assicurativa in materia di sicurezza informatica.”
Ma in realtà è possibile fornire numeri reali nelle valutazioni del tuo rischio informatico. E’ possibile parlare con un linguaggio che il tuo board comprenderà.
“Implementare questa tecnologia costerà $100.000, ma ridurrà il nostro rischio di $2 milioni”. “Possiamo ridurre la nostra copertura assicurativa di $50 milioni e vi spiego il perché”. Queste sono affermazioni che i CISO e i CFO possono fare e usare con l’aiuto di nuovi metodi per misurare e quantificare i rischi informatici. Il metodo di F-Secure è chiamato Cyber Breach Impact Quantification (CBIQ), e predice quanto un incidente di sicurezza informatica costerà a un’organizzazione. Mostra anche quanto un’azienda ridurrà il suo rischio implementando uno specifico controllo di sicurezza.
Marko Buuri, Principal Risk Management Consultant in F-Secure, spiega in questo video l’idea di base che sta dietro a CBIQ. Fa anche un esempio di quantificazione dell’impatto di una violazione di dati utilizzando il metodo CBIQ – scopri di QUI.
Buuri afferma che quantificare l’impatto di una violazione con importi monetari reali diminuisce o elimina totalmente i pregiudizi cognitivi che spesso intervengono quando si prendono decisioni basate su mappe di calore codificate con colori ambigui. Usare numeri reali, difendibili e trasparenti, apre la strada per una comunicazione migliore tra le parti.
Non si discute più se implementare una certa tecnologia – basta esaminare i numeri e lasciarli parlare da soli.
O, come dice Buuri, “Perché incorrere in critiche quando si può produrre una vista difendibile del rischio?”
Visita il sito per scoprire di più sull’approccio di F-Secure alla gestione del rischio – puoi anche scaricare un’infografica sui vantaggi del metodo CBIQ paragonato agli strumenti tradizionali di quantificazione del rischio.
Scopri di più sull’approccio F-Secure
Articolo tratto da “Yes, You Can Put A Dollar Amount on Cyber Risk” di Melissa Michael, Content Producer, F-Secure Corporate Communications.
Categorie