È ora di immaginare un nuovo modello di cybersecurity

Il continuo aumento del numero delle minacce e delle superfici d’attacco a cui sono potenzialmente soggette tutte le aziende, pur nelle loro specifiche caratteristiche, è un fenomeno che negli ultimi dieci anni si è dimostrato inarrestabile e si è evoluto in modo esponenziale. Se in qualche modo con interventi ad hoc, o con l’evoluzione delle soluzioni già operative in casa, i Ciso e i security manager fino a oggi sono riusciti a portare queste novità sotto l’ombrello della IT security aziendale, confermando quindi il modello di sicurezza già in produzione da tempo nelle proprie realtà, non è detto che quest’ultimo possa presto entrare in crisi per le nuove problematiche che sul fronte cybersecurity si dovranno presto affrontare.

Basti pensare al fatto che, per esempio, nelle imprese manifatturiere, ma in realtà in tutte quelle aziende dove sono attivi degli automatismi meccanici, come la banale apertura/chiusura di un cancello automatico, se oggi sono comandati elettronicamente o meccanicamente a distanza e/o in modo non presidiato, non è detto che presto questi sistemi non possano invece essere comandati da una soluzione IT che oltre a sostituire il servomeccanismo precedente, aggiunge valore perché raccoglie in loco ed elabora delle informazioni importanti ai fini della produzione o del controllo.

È il grande tema della convergenza tra le attività IT e quelle OT (operation technology) abilitata da reti e protocolli IoT, che impatterà pesantemente molte aziende nei prossimi anni e che apre degli scenari di possibili minacce e degli effetti dannosi di queste che possono risultare a oggi inimmaginabili. Un malware che porta alla sottrazione di dati, può portare sicuramente a danni sotto il profilo reputazionale e/o economici magari anche molto importanti se l’azienda rimane inattiva per un certo tempo. Ma un malware che attacca in un’infrastruttura industriale l’impianto che controlla i livelli di protezione dei lavoratori su delle linee di produzione particolarmente pericolose può potenzialmente causare dei danni diretti sulle persone ben più drammatici… E qui l’ultimo responsabile, ossia l’amministratore delegato dell’azienda che subisce un attacco di questo tipo, rischia molto di più di quanto rischia con i malware attuali.

La continua crescita delle superfici d’attacco, quindi, inevitabilmente metterà in crisi nei prossimi anni il modello di come si fa IT security in azienda. Più cose da sorvegliare, più cose da proteggere, più soluzioni da mettere in campo, più esperti di sicurezza da reclutare al proprio interno o come consulenti esterni… Via, via questi fenomeni concatenati rischiano di disegnare un circolo vizioso che condanna le aziende a due scenari possibili, entrambi negativi. O la creazione di organizzazioni e di processi di security elefantiaci, o la scelta di non proteggersi, o di proteggersi solo in parte, dalle nuove minacce che espone però l’azienda a nuovi attacchi potenzialmente molto rischiosi. Prima di arrivare a questa situazione, forse val la pena che tutti gli ‘stakeholder’ del mondo della sicurezza, in primis le aziende che si devono proteggere, ma anche i vendor del settore, inizino a immaginare un nuovo modello di sicurezza, più agile, più snello, ma allo stesso tempo in grado di andare a coprire con una certa facilità le criticità che si potranno palesare in futuro.

Per iniziare a immaginare un nuovo modello di gestione della cybersecurity in azienda, alcuni analisti di Gartner (Brian Lowans, Richard Hunter, Douglas Laney e Tom Scholtz) hanno iniziato a proporre alcune riflessioni sulle possibili evoluzioni e componenti che possono contribuire a configurare un nuovo modo di fare sicurezza in azienda. In questo articolo riportiamo quindi le considerazioni e gli spunti più interessanti relative al tema.

Sicurezza integrata nella cultura aziendale

Rileggere lo status quo della cybersecurity nelle aziende è oggi una priorità, a partire dall’individuazione delle risorse già disponibili e dalla necessità di costruire una rinnovata cultura della sicurezza, in cui vantaggi e svantaggi siano noti e possano aiutare a orientare le scelte gestionali. Perché tutto ciò sia realizzabile è importante andare oltre l’assunto che avere un team dedicato alla sicurezza in costante evoluzione sia l’unica soluzione praticabile per governare e mitigare i rischi.

La funzione security deve cambiare: non è più possibile limitarsi alla protezione di tutte le infrastrutture e i dati, mentre è necessario invece orientarsi verso un ruolo di facilitatore delle decisioni partendo dall’analisi dei rischi. Si tratta di configurare una funzione che sempre più deve equilibrare l’esigenza di protezione dell’organizzazione con l’esigenza di ottenere i risultati di business attesi. La rapida innovazione richiesta dalla trasformazione digitale in atto spinge infatti verso l’adozione di approcci sempre più dinamici, con controlli fluidi e agili, in grado di monitorare le trasformazioni in corso. La security deve essere pienamente integrata nel tessuto produttivo e gestionale dell’azienda; non si tratta più di qualcosa che viene aggiunto o inserito in un secondo tempo, diventa parte integrante della progettazione e della produzione.

Significa che le decisioni, i controlli e le azioni di security devono essere parte integrante dei processi, delle applicazioni, del sistema infrastrutturale e del comportamento delle persone. In un futuro non troppo lontano, il team dedicato alla security potrebbe anche non essere più necessario, perché la cybersecurity sarà già parte della cultura aziendale. Pratiche efficaci di security richiedono audit periodici oltre a un’accurata valutazione della maturità dell’organizzazione preposta, valutazione che rappresenta un’opportunità interessante per valutare lo stato dell’arte, mettendo a fuoco i punti di forza. Gli audit hanno anche il vantaggio di identificare le funzioni non presidiate, quelle cioè che richiedono l’implementazione di nuovi processi o la ricerca di nuove risorse, oltre che l’esplorazione di nuove capacità e l’individuazione di nuove competenze relazionali, gestionali e tecniche. Gli audit permettono di identificare anche funzioni già presidiate ma suscettibili di sostanziali migliorie, talvolta prendendone in considerazione l’esternalizzazione.

Approccio snello alla sicurezza

Tra gli approcci promettenti individuati c’è il design di un’organizzazione di ‘lean security’, in cui un leader dedicato gestisce il coordinamento centralizzato delle attività chiave di governance. Tra le funzioni primarie del leader si colloca proprio il coordinamento delle attività di security tra i team specializzati e non. Si tratta di un approccio dinamico, che responsabilizza tutti i soggetti coinvolti e, grazie a un comitato di coordinamento, permette di condividere scenari diversi, tra l’altro in costante cambiamento. La matrice Raci (responsable, accountable, consulted e informed) è un tool indispensabile per la programmazione tattica, perché permette di mappare funzioni e processi chiave del piano strategico di security.

Per meglio comprendere l’acronimo è utile ricordare che R (responsable) indica persona o funzione responsabile dell’esecuzione di un’attività, A (accountable) identifica persona o funzione, C (consulted) definisce persone o funzioni che hanno informazioni rilevanti sull’attività, infine I (informed) a cui si associa persona o funzione informata sul progresso e sui risultati. L’approccio lean permette di far fronte alla carenza di skill, facendo sì che gli specialisti di IT management o risk management e gli specialisti del business possano estendere il proprio portafoglio di skill, ampliando, o consolidando. le conoscenze già maturate in ambito security.

I possibili benefici

In particolare, esperti di rischi finanziari e operativi, esperti di comunicazione, staff a supporto dell’I&O, specialisti di enterprise architecture hanno la possibilità di focalizzare l’attenzione sul sempre più pervasivo e trasversale tema della security. Un altro potenziale vantaggio dell’approccio lean è la riduzione dell’impatto della burocrazia, ostacolo frequente al cambiamento, soprattutto quando il cambiamento richiesto deve essere veloce. Spostare il focus di alcune responsabilità di security alle funzioni chiave per il supporto del digitale può infatti aiutare a sviluppare analisi dei rischi più precise, per prendere decisioni tempestive e informate, senza commettere l’errore di affidarsi a controlli troppo superficiali o troppo stringenti, comunque deleteri quando è richiesta agilità.

Non è detto che i ‘near miss’ o gli incidenti di security diminuiscano; si ottiene però un allineamento più efficace delle esigenze del business, migliorando l’accettazione di protocolli e controlli anche invasivi. L’organizzazione lean della security, inoltre, agisce da catalizzatore nella mitigazione degli effetti legati alla carenza di skill specifiche. Naturalmente, però, non mancano gli svantaggi, come una progressiva frammentazione dei ruoli legati alla security e una conseguente polverizzazione delle responsabilità, spalmate su più linee di reporting. Ma là dove l’uso di matrici delle responsabilità e tecniche di programmazione è consolidato, l’impatto dell’approccio lean mostra svantaggi più contenuti.

Diversa la situazione delle aziende con equipe di security consolidate che potrebbero non gradire l’approccio diffuso, percepito anche come uno strumento di ridimensionamento del proprio ruolo. Si tratta di una difficoltà piuttosto comune, superabile, per esempio, valorizzando le figure che già hanno responsabilità e affidando loro il compito di sviluppare e potenziare le skill dei nuovi colleghi affidati.

Snello non vuol dire ‘meno costoso’

Qualunque sia il contesto di azione, la strategia lean non dovrebbe essere percepita come un esercizio di ridimensionamento dei costi; valorizzare le skill, distribuirle su più persone offre però la possibilità di ridimensionare alcune voci di spesa. Gartner ricorda che l’adozione di soluzioni decentralizzate non è scevra da rischi; per limitarli è utile verificare l’esistenza di alcuni prerequisiti: chiarezza nel supporto executive, con una leadership pienamente consapevole e motivata; l’esistenza di adeguata esperienza nella gestione di squadre di lavoro distribuite; la presenza di funzioni di governo e gestione altrettanto decentrate; una cultura aziendale particolarmente aperta al nuovo, capace di pensare ‘out of the box’; budget adeguati per far fronte a esigenze formative inedite; e infine processi maturi e consolidati, ben conosciuti dalle persone direttamente coinvolte nella gestione.

Investire in security

Gli investimenti in security sono raramente connessi a un aumento dei guadagni o a un reale taglio dei costi; sebbene si parli molto di cybersecurity, c’è ancora una parte consistente di leader del business che considera i costi sostenuti per la sicurezza un ‘male necessario’ piuttosto che un investimento. Non gradiscono dedicare tempo all’argomento e si limitano ad autorizzare i budget proposti, cercando di sprecare quante meno risorse possibili, sia in termini economici che temporali. Eppure, lo sviluppo di una cultura della cybersecurity è una sfida che coinvolge tutta l’azienda, dai soggetti apicali ai collaboratori più operativi. Per meglio aiutare i decisori a comprendere il valore di business della cybersecurity può aiutare a presentarla come un’assicurazione che interviene nelle criticità.

Come suggerisce Gartner, sviluppare un modello di Security Business Value significa disporre di un ulteriore strumento di analisi e comunicazione, concentrato su quattro direttrici principali: integrità delle operazioni, con impatto sull’affidabilità; investimenti, da cui attendere ritorni economici, finanziari e organizzativi; assicurazioni, sviluppate a partire dall’analisi dei rischi specifici; indennità, analizzata in funzione del quadro regolatorio del contesto (dalle iniziali delle parole Integrità, Investimenti, Indennità e Insurance, ossia coperture assicurative in inglese, questo modello viene chiamato 4I, ndr).

Insieme, le quattro direttrici indicate descrivono un contesto ancora più ampio che può essere sintetizzato dal termine ‘fiducia’, obiettivo di molte organizzazioni, talvolta però non declinato nelle sue componenti più tecniche e misurabili.

Il modello 4I non è la panacea che risolve le criticità della comunicazione, così come non è la garanzia per sviluppare un piano di motivazione e comunicazione riservato alla cybersecurity; rappresenta però uno strumento utile per impostare il piano strategico, comprensivo della valutazione costi e dell’analisi delle risorse necessarie. Al tempo stesso consente di impostare un piano di feedback destinato agli executive. Accade infatti spesso che il buon lavoro svolto da un security team resti sconosciuto a chi prende decisioni, mentre l’unica voce conosciuta rimane sempre quella del budget da approvare. Si tratta di un approccio miope che non contribuisce a sviluppare la cultura della security necessaria perché motivazione, convinzione e fiducia siano elementi portanti delle scelte tecniche. Il supporto al gruppo della security contribuisce a mantenere alta la credibilità della squadra.

Anche il Ciso diventa ‘virtuale’

A partire dal 2022, Gartner stima che il 20% delle PMI farà ricorso a chief information security officer virtuali; si tratta di una scelta che risolve in parte la mancanza di Ciso. Quando la sicurezza è trattata con ruoli part-time o condivisi, l’attenzione è spesso riposta su progetti operativi e iniziative di programmazione. Il Ciso virtuale, o virtual Ciso (vCiso) come chiamato in inglese, permette di soddisfare molti requisiti tattici di breve periodo oltre a sviluppare soluzioni mirate per la gestione del rischio organizzativo.

Il Ciso virtuale è una combinazione di staff, consulenti, strateghi e advisor che non richiede necessariamente una presenza fisica a meeting, eventi, operazioni e strategie di diffusione; offre però un presidio costante capace di modulare le risposte in funzione della domanda. Una soluzione interessante che si adatta bene anche a realtà medio-piccole. Il Ciso virtuale può aiutare a governare le attività quotidiane della tattica, offre guida e vision per sviluppare approcci programmatici, chiarendo obiettivi e traguardi, in sostanza diventa il facilitatore di approcci proattivi alla sicurezza.