Sicurezza informatica: il fulcro dell’impresa digitale

Negli ultimi anni sono emersi due temi coerenti e correlati nella tecnologia aziendale, che comportano entrambi cambiamenti rapidi e drammatici. Il primo è l’ascesa dell’impresa digitale in tutti i settori e a livello internazionale. Il secondo è la necessità che l'IT reagisca rapidamente e sviluppi innovazioni in modo aggressivo per soddisfare le aspirazioni digitali dell'azienda. I risultati della ricerca sullo stato di avanzamento della digitalizzazione aziendale all'interno delle aziende, che comprende settori, asset e operazioni. Tuttavia, mentre le organizzazioni IT cercano di digitalizzarsi, molte si trovano ad affrontare sfide significative in termini di sicurezza informatica. Azienda dopo azienda, sorgono tensioni fondamentali tra la necessità di digitalizzazione dell'azienda e la responsabilità del team di sicurezza informatica di proteggere l'organizzazione, i suoi dipendenti e i suoi clienti nell'ambito dei modelli e delle pratiche operative informatiche esistenti. Se vogliono evitare di diventare ostacoli alla digitalizzazione e diventarne invece dei facilitatori, i team di sicurezza informatica devono trasformare le loro capacità lungo tre dimensioni. Devono migliorare la gestione del rischio, applicando l’analisi quantitativa del rischio. Devono integrare la sicurezza informatica direttamente nelle catene del valore delle imprese. E devono supportare la prossima generazione di piattaforme tecnologiche aziendali, che includono innovazioni come lo sviluppo agile, la robotica e i modelli operativi basati sul cloud.

Il ruolo della sicurezza informatica nella digitalizzazione

Ogni aspetto dell’impresa digitale ha importanti implicazioni sulla sicurezza informatica. Ecco solo alcuni esempi. Poiché le aziende cercano di creare esperienze cliente più digitali, devono decidere di allineare i propri team che gestiscono la prevenzione delle frodi, la sicurezza e lo sviluppo dei prodotti in modo da poter progettare controlli, come l'autenticazione, e creare esperienze che siano allo stesso tempo convenienti e sicure. Man mano che le aziende adottano una massiccia analisi dei dati, devono determinare come identificare i rischi creati da set di dati che integrano molti tipi di informazioni incredibilmente sensibili sui clienti.

Devono inoltre incorporare controlli di sicurezza nelle soluzioni di analisi che potrebbero non utilizzare una metodologia formale di sviluppo software. Quando le aziende applicano l’RPA (Robotic Process Automation), devono gestire le credenziali dei bot in modo efficace e assicurarsi che i “casi limite” – casi con fattori imprevisti o insoliti o input che sono al di fuori dei limiti normali – non introducano rischi per la sicurezza.

Allo stesso modo, quando le aziende creano interfacce di programmazione delle applicazioni (API) per clienti esterni, devono determinare come identificare le vulnerabilità create dalle interazioni tra molte API e servizi e devono creare e applicare standard per l’accesso appropriato degli sviluppatori.1 Devono continuare a mantenere il rigore nella sicurezza delle applicazioni durante la transizione dallo sviluppo a cascata allo sviluppo agile delle applicazioni.

Sfide con i modelli di sicurezza informatica esistenti

Nella maggior parte delle aziende, i chief information officer (CIO), i chief information-security officer (CISO) e i loro team hanno cercato di rendere la sicurezza informatica un servizio di livello aziendale. Che cosa significa? Hanno consolidato le attività legate alla sicurezza informatica in una o poche organizzazioni. Hanno cercato di identificare i rischi e di confrontarli con la propensione al rischio a livello aziendale per comprendere le lacune e prendere decisioni migliori su come colmarle. Hanno creato politiche a livello aziendale e le hanno supportate con standard. Hanno stabilito la governance come contrappeso alla tendenza dei team di sviluppo a dare priorità al time-to-market e ai costi rispetto al rischio e alla sicurezza. Hanno creato offerte di servizi di sicurezza che richiedono ai team di sviluppo di creare un servizio di richiesta di ticket da un gruppo centrale prima di poter ottenere una scansione di vulnerabilità o un test di penetrazione.

In tutti i settori, le aziende si stanno digitalizzando, con profonde implicazioni per le funzioni di sicurezza informatica.

Livelli di digitalizzazione

  Asset Usage Labor
Sector   Overall digitization   Digital spend   Digitalasset stock   Transactions   Interactions   Business processes   Market making   Digital spend on workers   Digital capital   Digitization of work
                                         
Media                                        
                                         
Professional services                                        
                                         
Finance and insurance                                        
                                         
Wholesale trade                                        
                                         
Personal and local services                                        
                                         
Government                                        
                                         
Transportation and warehousing                                        
                                         
Healthcare                                        
                                         
Entertainment and recreation                                        

Tutte queste azioni si sono rivelate assolutamente necessarie per la sicurezza di un'organizzazione. Senza di essi, le violazioni della sicurezza informatica si verificano più frequentemente e, spesso, con conseguenze più gravi. Le azioni necessarie, tuttavia, esistono in tensione con il modello emergente di impresa digitale – il risultato di una trasformazione digitale end-to-end – dall’interfaccia con il cliente fino ai processi di back-office. Quando le aziende cercano di utilizzare servizi di cloud pubblico, spesso scoprono che la sicurezza è il “lungo palo della tenda” – la parte più difficile del problema delle applicazioni permanenti sull’infrastruttura del cloud pubblico.

Presso un istituto finanziario, i team di sviluppo erano frustrati dal lungo periodo necessario al team di sicurezza per convalidare e approvare elementi incrementali nel catalogo del fornitore di servizi cloud per l'utilizzo in produzione. Gli sviluppatori di altre aziende sono perplessi sul fatto che possono avviare un server in pochi minuti ma devono attendere settimane per poter entrare in produzione. Le organizzazioni IT di tutto il mondo stanno scoprendo che i modelli di sicurezza esistenti non funzionano alla “velocità del cloud” e non forniscono un supporto specializzato sufficiente agli sviluppatori su questioni come analisi, RPA e API.

Il disallineamento tra i team di sviluppo e quelli di sicurezza informatica porta alla perdita di opportunità di business, poiché le nuove capacità tardano a raggiungere il mercato. In alcuni casi, la pressione per colmare il divario ha causato una maggiore vulnerabilità, poiché i team di sviluppo modificano le regole per aggirare le politiche e gli standard di sicurezza.

La sicurezza informatica per l’impresa digitale

In risposta alla digitalizzazione aggressiva, alcune delle funzioni di sicurezza informatica più sofisticate del mondo stanno iniziando a trasformare le proprie capacità lungo le tre dimensioni che abbiamo descritto: utilizzare l’analisi quantitativa del rischio per il processo decisionale, integrare la sicurezza informatica nella catena del valore aziendale e abilitare le nuove piattaforme operative tecnologiche. che combinano molte innovazioni. Queste innovazioni includono approcci agili, robotica, cloud e DevOps (la combinazione di sviluppo software e operazioni IT per abbreviare i tempi di sviluppo e fornire nuove funzionalità, correzioni e aggiornamenti in linea con il business).

Attività

  • Architettura e design

    – Analizzare la disponibilità delle risorse dal fornitore di servizi cloud
    – Analizzare i requisiti di capacità
    – Sviluppare la progettazione iniziale della soluzione
    – Progettare interfacce

  • Implementazione

    – Istanziare ambienti di sviluppo e test
    – Iniziare l'implementazione della soluzione

  • Revisione del codice

    – Rivedere il codice
    – Eseguire la scansione automatizzata del codice
    – Accetta il codice nella codebase

  • Test

    – Sviluppare casi di test
    – Effettuare test continui
    – Correggere bug ed errori;
    Fare cambiamenti
    – Eseguire test di regressione

  • Distribuzione

    – Istanziare l'infrastruttura cloud
    – Stabilire servizi cloud
    – Distribuire l'applicazione di produzione
    – Effettuare i test finali

Utilizzo dell'analisi quantitativa del rischio per il processo decisionale

Al centro della sicurezza informatica ci sono le decisioni su quali rischi informativi accettare e come mitigarli. Tradizionalmente, i CISO e i loro partner commerciali prendono decisioni sulla gestione del rischio informatico utilizzando una combinazione di esperienza, intuizione, giudizio e analisi qualitativa. Nelle imprese digitali di oggi, tuttavia, il numero di risorse e processi da proteggere, nonché la sempre minore praticità ed efficacia delle protezioni adatte a tutti, hanno ridotto drasticamente l'applicabilità dei tradizionali processi decisionali e delle euristiche.

In risposta, le aziende stanno iniziando a rafforzare i propri ambienti aziendali e tecnologici con analisi quantitative del rischio in modo da poter prendere decisioni migliori e basate sui fatti. Questo ha molti aspetti.

Sono cambiati i requisiti prioritari per l’acquisizione di prodotti Internet of Things: la sicurezza informatica è passata ai vertici.

Le 5 principali priorità quando si acquistano prodotti IoT,¹

numero di risposte al sondaggio

IoT = Internet delle cose. Oltre alle funzionalità di base. Fonte: FORFIRM 2019 IoT Pulse Survey condotto su oltre 1.400 professionisti dell'IoT (dai quadri intermedi ai dirigenti) che stanno eseguendo l'IoT su larga scala (oltre i progetti pilota). La composizione proveniva per il 61% dagli Stati Uniti, per il 20% dalla Cina e per il 19% dalla Germania, con organizzazioni con entrate da 50 milioni di dollari a oltre 10 miliardi di dollari. Questa domanda sugli acquisti di prodotti IoT ha ricevuto 1.161 risposte.

Include una sofisticata segmentazione di dipendenti e collaboratori esterni nonché un'analisi comportamentale per identificare segnali di possibili minacce interne, come modelli sospetti di attività e-mail. Include anche l'autenticazione basata sul rischio che considera i metadati

– come la posizione dell'utente e l'attività di accesso recente

– determinare se concedere l’accesso ai sistemi critici. Infine, le aziende inizieranno a utilizzare dashboard di gestione che collegano risorse aziendali, intelligence sulle minacce, vulnerabilità e potenziale mitigazione per aiutare i dirigenti senior a realizzare i migliori investimenti in sicurezza informatica. Saranno in grado di concentrare gli investimenti sulle aree aziendali che garantiranno la massima protezione con il minor disagio e costo minimo.

Integrare la sicurezza informatica nella catena del valore aziendale

Nessuna istituzione è un’isola quando si tratta di sicurezza informatica. Ogni azienda, di qualsiasi complessità, scambia dati sensibili e interconnette reti con clienti, fornitori e altri partner commerciali. Di conseguenza, le questioni di fiducia legate alla sicurezza informatica e l’onere di mitigare le protezioni sono diventati centrali nelle catene del valore in molti settori. Ad esempio, i CISO dei gestori dei benefit farmaceutici e degli assicuratori sanitari devono dedicare molto tempo a capire come proteggere i dati dei propri clienti e quindi a spiegarlo a tali clienti. Allo stesso modo, la sicurezza informatica è assolutamente fondamentale per il modo in cui le aziende prendono decisioni sull’acquisizione di assicurazioni sanitarie o aziendali di gruppo, prime brokerage e molti altri servizi. È il fattore più importante che le aziende considerano quando acquistano prodotti Internet of Things (IoT).

Le aziende leader stanno iniziando a integrare la sicurezza informatica nelle relazioni con i clienti, nei processi di produzione e nelle interazioni con i fornitori. Alcune delle loro tattiche includono quanto segue:

— Utilizzare il design thinking per creare esperienze cliente online sicure e convenienti. Ad esempio, una banca ha consentito ai clienti di personalizzare i propri controlli di sicurezza, scegliendo password più semplici se accettavano l’autorizzazione a due fattori.

— Istruire i clienti su come interagire in modo sicuro e protetto. Una banca ha un dirigente il cui compito è viaggiare per il mondo e insegnare ai clienti con patrimoni elevati e ai family office come evitare che i loro conti vengano compromessi.

— Analizzare i sondaggi sulla sicurezza per comprendere cosa si aspettano i clienti aziendali e creare basi di conoscenza in modo che i team di vendita possano rispondere alle richieste di sicurezza dei clienti durante le negoziazioni con il minimo attrito. Ad esempio, un fornitore di software come servizio (SaaS) ha scoperto che i suoi clienti insistevano per avere disposizioni particolarmente rigorose sulla prevenzione della perdita di dati (DLP).

— Trattare la sicurezza informatica come una caratteristica fondamentale della progettazione del prodotto. Ad esempio, una rete ospedaliera dovrebbe integrare un nuovo dispositivo per sala operatoria nel suo ambiente di sicurezza più ampio.

— Avere una visione fluida della sicurezza informatica tradizionale e della sicurezza tecnologica operativa per eliminare le vulnerabilità. Un fornitore di ricambi per auto ha scoperto che il sistema che contiene la versione master di alcuni dei suoi firmware potrebbe fungere da vettore di attacco ai sistemi di iniezione del carburante da lui prodotti. Con questa consapevolezza, è stato in grado di mettere in atto ulteriori protezioni. Le aziende farmaceutiche hanno scoperto che per affrontare alcune vulnerabilità chiave era necessaria una visione end-to-end della protezione delle informazioni lungo le loro catene di fornitura.

— Utilizzare l'intelligence sulle minacce per interrogare esternamente le reti tecnologiche dei fornitori e valutare il rischio di compromissione.

Se eseguite di concerto, queste azioni producono benefici. Migliorano la fiducia dei clienti, accelerando la loro adozione dei canali digitali. Riducono il rischio che clienti o dipendenti tentino di eludere i controlli di sicurezza. Riducono gli attriti e i ritardi mentre fornitori e clienti negoziano responsabilità e responsabilità per i rischi legati alle informazioni. Introducono la sicurezza intrinsecamente nei processi operativi e rivolti ai clienti, riducendo la “perdita secca” associata alle protezioni di sicurezza.

How to embed security into a product-development process.

From treating security and privacy as afterthoughts …   … to incorporating them by designing and building an agile security-and-privacy model
Developers are unclear when security and privacy requirements are mandatory Product owners don’t consider security and privacy tasks during sprint planning Requirements Prioritize security and privacy tasks according to product risk level Make product owners aware of need to prioritize security and privacy tasks and be accountable for their inclusion in releases
    Design    
Unclear how to handle distribution of tasks within development team Chief information-security and privacy ocers (CISPOs) have limited capacity to support development teams Development Security and privacy champions (tech leads) assist teams in distributing tasks Add capacity through CISPOs, who clarify security and privacy requirements with champions and product owners
No uni…ed real-time standardized monitoring of state of security and privacy tasks Testing Product-assessment dashboards give developers real-time views of security and privacy within products
Security and privacy needs are often dealt with before deployment, causing launch delays Teams unclear how often to engage CISPOs Deployment Launch delays eliminated as security and privacy tasks are executed across life cycles Simplified predeployment activities with CISPOs only for releases meeting risk criteria
Unclear accountability for security and privacy in product teams Lack of integration in security and privacy tool sets introduces complexity Throughout process Define and communicate roles and responsibilities during agile ceremonies Integrate and automate security- and privacy-related testing and tracking tools

cloud

Dynamic, cloud-based network optimization
left left left down--v1 down--v1 down--v1 down--v1 right right
 down--v1 left left left  down--v1 right  right right down--v1
 down--v1  down--v1     down--v1      down--v1 down--v1
 down--v1  down--v1      down--v1      down--v1  down--v1

exterior

Suppliers

country-house

Bulk manufacturing

country-house

Finishing and packaging

dog-house

Smart-warehouse distribution center

conference-call--v1

Customers
 
Advanced business capability   Resulting cyberrisks

Suppliers

  • Predictive supplier risk protection
  • Risk of exposed vendor details and trade secrets

Bulk manufacturing

  • Yield optimization through advanced analytics and digitized operations
  • Hacking of legacy equipment
  • Unauthorized changes in safety or compliance regulations
  • Loss of intellectual property and competitive advantage

 

Finishing and packaging

  • Fully integrated and automated production
  • Attack on process, leading to shutdowns or errors
  • Transition from closed to open systems prompts new security risks

Customers

  • No-touch order management
  • Leak of customer data, leading to loss of customer trust and competitive data

 

Overarching technologies

  • Machine-learning forecasting and integrated production planning
  • Inaccurate business decisions and bad-actor access
  • Real-time monitoring
  • Unauthorized monitoring of processes and leakage of business decisions

Abilitazione di una piattaforma operativa agile e basata sul cloud, potenziata da DevOps

Sembra che molte aziende stiano cercando di cambiare tutto ciò che riguarda le operazioni IT. Stanno sostituendo i tradizionali processi di sviluppo software con metodologie agili. Stanno rimpatriando i talenti ingegneristici dai fornitori e offrendo agli sviluppatori l’accesso self-service all’infrastruttura.

Alcuni si stanno sbarazzando del tutto dei propri data center sfruttando i servizi cloud. Tutto ciò viene fatto per rendere la tecnologia sufficientemente veloce e scalabile da supportare le aspirazioni digitali di un'impresa. A sua volta, l’attuazione di un modello tecnologico moderno richiede un modello operativo di sicurezza informatica molto più flessibile, reattivo e agile. I principi chiave di questo modello includono quanto segue:

— Passare da interfacce basate su ticket ad API per servizi di sicurezza. Ciò richiede l’automazione di ogni possibile interazione e l’integrazione della sicurezza informatica nella catena degli strumenti di sviluppo software. Ciò consentirà ai team di sviluppo di eseguire scansioni di vulnerabilità, modificare le regole DLP, impostare la sicurezza delle applicazioni e connettersi per identificare e ottenere l’accesso ai servizi di gestione tramite API.

— Organizzare i team di sicurezza in agile scrum o scrumban team che gestiscono servizi riconoscibili dagli sviluppatori, come la gestione delle identità e degli accessi (IAM) o DLP. Inoltre, può essere utile reclutare leader dei team di sviluppo che fungano da proprietari di prodotto per i servizi di sicurezza, proprio come i manager aziendali sono proprietari di prodotto per i percorsi dei clienti e i servizi orientati al cliente.

— Integrare strettamente la sicurezza nei servizi aziendali per gli utenti finali, in modo che dipendenti e collaboratori possano facilmente ottenere strumenti di produttività e collaborazione tramite un portale intuitivo, simile ad Amazon.

— Costruisci un modello di sicurezza nativo del cloud che garantisca agli sviluppatori l'accesso immediato e senza interruzioni ai servizi cloud entro determinati limiti.

— Collaborare con i team dell'infrastruttura e dell'architettura per creare i servizi di sicurezza richiesti in soluzioni standardizzate per analisi di massa e RPA.

— Cambiare il modello del talento per incorporare coloro che hanno competenze “a forma di e” – professionisti della sicurezza informatica con diverse aree di profonda conoscenza, come la risoluzione integrata dei problemi, l’automazione e lo sviluppo – nonché le tecnologie di sicurezza.

Automation, orchestration technology, and application programming interfaces can eliminate manual security processes and interactions.

Automation opportunities in a notionally secure DevOps model
  design external-implement-business-administration-wanicon-lineal-wanicon inspect-code test-results deployment
  Architecture and design Implementation Code review Testing Deployment
App application programming interfaces (APIs) API-congurable application-level controls designed into new applications APIs for conguration and debugging (eg, test instrumentation) added during implementation phase Automated code-review systems modied to search for applicationspecic threat scenarios Automated and congurable security test cases added to nightly testing regime Fully congured, production-ready application possible via API calls alone
Process APIs New application-level API options added to deploymentconguration process Congurable security tests added to nightly testing regime Congurable automated code reviews added to precommit/ preacceptance process for newly written code Nightly testing results collected and curated for individual developers/ teams via congurable test-management system Predeployment security-review process replaced by automated tests and conguration checks
Infrastructure APIs API for deployment and instantiation processes rearchitected to accommodate new applications Conguration options for instantiation of automated, projectspecic development environment made available Automated code scanning implemented for deployed web applications to maintain quality and code integrity Cloud environments regularly tested for security via automated vulnerability assessment and identication tools Security tools and conguration options applied via API to new environments at deployment time

 

Come una grande azienda biofarmaceutica ha creato funzionalità di sicurezza informatica per consentire un'impresa digitale

Una grande azienda biofarmaceutica ha recentemente concluso un importante programma di investimenti per migliorare le sue capacità fondamentali di sicurezza informatica, riducendo drasticamente il suo profilo di rischio. Tuttavia, la strategia aziendale ha iniziato ad evolversi in modi nuovi, con l’espansione delle relazioni con i consumatori online, prodotti abilitati digitalmente, una maggiore automazione della catena di fornitura e un uso massiccio dell’analisi. L’azienda aveva ora bisogno di nuove funzionalità di sicurezza informatica che affrontassero i nuovi rischi aziendali e facilitassero l’innovazione aziendale e tecnologica.

Per iniziare, il team di sicurezza informatica ha coinvolto un’ampia gamma di partner commerciali, catturando le iniziative strategiche attuali e pianificate. Ha poi delineato i nuovi rischi che queste iniziative avrebbero creato e i modi in cui le protezioni della sicurezza informatica potrebbero rallentare o bloccare l’acquisizione di opportunità di business. Allo stesso tempo, il team di sicurezza informatica ha esaminato un’ampia gamma di pratiche e tecniche emergenti dell’industria farmaceutica e di altri settori, tra cui servizi online, servizi bancari e produzione avanzata. Sulla base di tutto ciò, ha sviluppato una visione generale su come la sicurezza informatica potrebbe proteggere e supportare l’agenda digitale dell’azienda e ha dato priorità a 25 iniziative. Alcuni dei più importanti sono stati i seguenti:

— Collaborare con il team commerciale per rafforzare la fiducia dei pazienti progettando la sicurezza nei percorsi online dei pazienti

— Collaborare con il team di produzione per migliorare la trasparenza nella configurazione delle risorse dell'impianto

— Collaborare con il team tecnologico più ampio per creare le interfacce di programmazione delle applicazioni (API) e il modello per garantire la configurazione sicura dei sistemi in esecuzione nel cloud pubblico

— Ampliare drasticamente l'automazione dell'ambiente di sicurezza per ridurre i ritardi e le frustrazioni sperimentate da sviluppatori e utenti quando interagiscono con il team di sicurezza informatica

Il team di sicurezza informatica ha quindi utilizzato la propria visione e le proprie iniziative per spiegare al senior management come realizzare la strategia di business digitale dell'azienda e il supporto e l'assistenza di cui avrebbe bisogno da parte di altre organizzazioni per farlo.

Nel loro insieme, queste azioni elimineranno gli ostacoli alla creazione di modelli operativi e piattaforme di tecnologia digitale. Cosa forse ancora più importante, possono garantire che le nuove piattaforme digitali siano intrinsecamente sicure, consentendo la loro adozione per ridurre i rischi per l’azienda nel suo insieme.

Con digitalizzazione, analisi, RPA, agile, DevOps e cloud, è chiaro che l’IT aziendale si sta evolvendo rapidamente e in modi entusiasmanti e capaci di creare valore. Questa evoluzione crea naturalmente tensione con i modelli operativi di sicurezza informatica esistenti. Affinché le organizzazioni possano superare la tensione, dovranno applicare l’analisi quantitativa del rischio per il processo decisionale, creare catene di valore aziendali sicure e abilitare piattaforme operative che includano le ultime innovazioni. Queste azioni richiederanno un adattamento significativo da parte delle organizzazioni di sicurezza informatica. Molte di queste organizzazioni sono ancora nelle fasi iniziali di questo viaggio. Man mano che continuano, diventeranno sempre più capaci di proteggere le aziende supportando al contempo gli obiettivi innovativi dei team aziendali e IT.

L’approccio basato sul rischio alla sicurezza informatica

I top manager della maggior parte delle aziende riconoscono il rischio informatico come un argomento essenziale nella loro agenda. In tutto il mondo, i consigli di amministrazione e i leader esecutivi vogliono sapere quanto bene viene gestito il rischio informatico nelle loro organizzazioni. Nelle regioni e nei settori più avanzati, i leader richiedono, visti anni di investimenti significativi nella sicurezza informatica, che i programmi dimostrino il loro valore anche in termini di riduzione del rischio. Le autorità di regolamentazione stanno mettendo alla prova i livelli di resilienza aziendale che le aziende affermano di aver raggiunto. E quasi tutti – dirigenti aziendali, autorità di regolamentazione, clienti e pubblico in generale – concordano sul fatto che il rischio informatico è serio e richiede un’attenzione costante.

Cosa dovrebbero fare esattamente le organizzazioni è una questione più difficile. Questo articolo propone un approccio “basato sul rischio” alla sicurezza informatica, il che significa che per ridurre il rischio aziendale, i leader devono identificare e concentrarsi sugli elementi del rischio informatico da affrontare. Più specificamente, le numerose componenti del rischio informatico devono essere comprese e prioritarie per gli sforzi di sicurezza informatica aziendale. Sebbene questo approccio alla sicurezza informatica sia complesso, stanno emergendo le migliori pratiche per realizzarlo.

Per comprendere l’approccio sono necessarie alcune definizioni. Innanzitutto, la nostra prospettiva è che il rischio informatico sia “solo” un altro tipo di rischio operativo. In altre parole, il rischio informatico si riferisce al potenziale di perdite aziendali di ogni tipo – finanziarie, reputazionali, operative, legate alla produttività e legate alla regolamentazione – nel dominio digitale. Il rischio informatico può anche causare perdite nel dominio fisico, come danni alle apparecchiature operative. Ma è importante sottolineare che il rischio informatico è una forma di rischio d’impresa.

Inoltre, i rischi informatici non sono la stessa cosa delle minacce informatiche, che sono i pericoli particolari che creano il potenziale del rischio informatico. Le minacce includono l'escalation dei privilegi, lo sfruttamento delle vulnerabilità o il phishing.1 Le minacce informatiche esistono nel contesto del rischio informatico aziendale come potenziali vie per la perdita di riservatezza, integrità e disponibilità delle risorse digitali. Per estensione, l’impatto del rischio delle minacce informatiche comprende frode, criminalità finanziaria, perdita di dati o perdita di disponibilità del sistema.

Le minacce informatiche stanno crescendo in gravità e frequenza.

Capacità e frequenza delle minacce informatiche oggi, attore delle minacce

Le decisioni su come ridurre al meglio il rischio informatico possono essere controverse. Tenendo conto del contesto generale in cui opera l’impresa, i leader devono decidere a quali sforzi dare priorità: quali progetti potrebbero ridurre maggiormente il rischio aziendale? Quale metodologia dovrebbe essere utilizzata per chiarire alle parti interessate dell'impresa (soprattutto nel settore IT) che tali priorità avranno il maggiore impatto sulla riduzione del rischio per l'impresa? Questa chiarezza è fondamentale per organizzare ed eseguire tali progetti informatici in modo mirato.

Al momento, gli aggressori traggono vantaggio dall’indecisione organizzativa sul rischio informatico, inclusa la prevalente mancanza di chiarezza sul pericolo e l’incapacità di eseguire controlli informatici efficaci.

Gli attacchi debilitanti contro istituzioni di alto profilo si stanno moltiplicando a livello globale e gli sforzi informatici a livello aziendale sono ora necessari con grande urgenza. È ampiamente riconosciuto che non c’è tempo da perdere: i leader aziendali di tutto il mondo, nelle istituzioni di tutte le dimensioni e in tutti i settori, sono seriamente alla ricerca dei mezzi ottimali per migliorare la resilienza informatica. Crediamo di aver trovato un modo per aiutare.

L'approccio alla sicurezza informatica basato sulla maturità: un cane che ha fatto il suo tempo

Ancora oggi, gli approcci “basati sulla maturità” per la gestione del rischio informatico sono ancora la norma. Questi approcci si concentrano sul raggiungimento di un particolare livello di maturità sviluppando determinate capacità. Per raggiungere il livello desiderato, ad esempio, un'organizzazione potrebbe costruire un centro operativo di sicurezza (SOC) per migliorare la maturità di valutazione, monitoraggio e risposta alle potenziali minacce ai sistemi informativi e alle applicazioni aziendali. Oppure potrebbe implementare l’autenticazione a più fattori (MFA) in tutta l’azienda per migliorare la maturità del controllo degli accessi. Un approccio basato sulla maturità può ancora essere utile in alcune situazioni: ad esempio, per avviare un programma da zero in un’impresa che è così indietro da dover “costruire tutto”. Per gli istituti che hanno fatto anche un ulteriore passo avanti, tuttavia, un approccio basato sulla maturità è inadeguato. Non potrà mai essere altro che un indicatore per misurare, gestire e ridurre effettivamente il rischio aziendale.

Un ulteriore problema è che i programmi basati sulla maturità, man mano che crescono organicamente, tendono a stimolare una crescita ingestibile del controllo e della supervisione. Nel monitoraggio, ad esempio, un programma basato sulla maturità tenderà a dilagare, aspirando a “monitorare tutto”. In breve tempo, il numero di applicazioni in coda per essere monitorate in tutta l'azienda supererà la capacità degli analisti di monitorarle e l'installazione di monitor ostacolerà i team di sviluppo delle applicazioni. La realtà è che alcune applicazioni rappresentano vulnerabilità più gravi – e quindi un maggiore potenziale di rischio – rispetto ad altre. Per concentrarsi direttamente sulla riduzione del rischio, le organizzazioni devono capire come passare da una posizione di monitoraggio di tutto a una in cui particolari applicazioni con un alto potenziale di rischio vengono monitorate in modi particolari. Un’altra questione legata alla politica del “monitorare tutto” è la spesa inefficiente. I controlli crescono anno dopo anno poiché la pianificazione dei programmi per la sicurezza informatica continua a richiedere maggiori spese per maggiori controlli. Ma il rischio d’impresa si sta riducendo? Spesso le risposte giuste si trovano altrove: ad esempio, il miglior ritorno sull’investimento nella riduzione dei rischi aziendali spesso risiede nella sensibilizzazione e nella formazione dei dipendenti. Tuttavia, un modello basato sulla maturità non richiede che l’organizzazione raccolga informazioni sufficienti per sapere che dovrebbe deviare i finanziamenti necessari a questo scopo dal monitoraggio aggiuntivo delle applicazioni. Sarà prevista una spesa per entrambi, anche se il primo sforzo (sensibilizzazione e formazione) potrebbe avere un impatto sproporzionato sulla riduzione del rischio d’impresa rispetto all’altro.

Se l’obiettivo è ridurre il rischio d’impresa, allora gli sforzi con il miglior ritorno sull’investimento nella riduzione del rischio dovrebbero attrarre la maggior parte delle risorse. Questo approccio è valido in tutto il panorama del controllo completo, non solo per il monitoraggio ma anche per la gestione degli accessi privilegiati, la prevenzione della perdita di dati e così via. Tutte queste funzionalità riducono in qualche modo il rischio, ma la maggior parte delle aziende non è in grado di determinare esattamente come e in che misura.

Lo svantaggio finale (e più pratico) dei programmi basati sulla maturità è che possono creare uno stallo paralizzante nell’implementazione. I pochi team o membri del team in grado di svolgere il lavoro pratico di implementazione dei numerosi controlli necessari diventano sovraccarichi di domanda. La loro preziosa attenzione è divisa in troppi sforzi. Il risultato frequente è che nessun progetto viene mai completamente implementato e i dashboard dei programmi mostrano uno stato “giallo” perpetuo per l’intera suite di iniziative informatiche.

La verità è che nel mondo iperconnesso di oggi, i programmi di sicurezza informatica basati sulla maturità non sono più adeguati per combattere i rischi informatici. Un approccio più strategico e basato sul rischio è fondamentale per una gestione del rischio efficace ed efficiente.

Ridurre il rischio per raggiungere l’appetito a costi inferiori

L’approccio basato sul rischio fa due cose fondamentali contemporaneamente. Innanzitutto, designa la riduzione del rischio come obiettivo primario. Ciò consente all'organizzazione di dare priorità agli investimenti, anche nella risoluzione dei problemi legati all'implementazione, basandosi esattamente sull'efficacia di un programma informatico nel ridurre i rischi. In secondo luogo, il programma distilla gli obiettivi di riduzione del rischio del top management in programmi di implementazione precisi e pragmatici con un chiaro allineamento dal consiglio alla prima linea. Seguendo l’approccio basato sul rischio, un’azienda non “costruirà più il controllo ovunque”; l'attenzione sarà piuttosto posta sulla creazione di controlli adeguati per le vulnerabilità peggiori, per sconfiggere le minacce più significative, ovvero quelle che prendono di mira le aree più critiche dell'azienda. L’approccio consente attività sia strategiche che pragmatiche per ridurre i rischi informatici.

Per molte aziende, l’approccio basato sul rischio rappresenta la fase successiva nel percorso verso la sicurezza informatica.

security-configuration methodical-approach high-risk proactivity
sort-down sort-down sort-down sort-down
Security not considered Maturity-based approach Risk-based approach Proactive cybersecurity

Security schmecurity

Lack of capability and awareness throughout organization, including among senior leadership

Example activities

• Assess cyber maturity (eg, data protection, access management) with or without benchmarks to highlight capability gaps

• Evaluate cyber awareness across organization

Build capabilities

Strengthen essential security and resilience fundamentals to plug gaps

Establish cyber operating model and organization to professionalize cybersecurity function

Example activities

• Build security operations center, incident-response playbooks, and identity- and access-management function; install multifactor authentication on apps; enable use of virtual private network

• Create and staff chief information security officer and connect to other relevant areas

Reduce enterprise risk

Identify, prioritize, deliver, manage, and measure security and privacy controls in line with enterprise-risk- management framework

Set risk-appetite thresholds for linked pairs of key risk indicators and key performance indicators

Include stakeholders from full enterprise in cyber operating mode

Example activities

• Implement cyberrisk quantification

• Measure and report on reduction of risk, not progress of capabilities

Achieve holistic resilience

Transform processes and adoption of next-generation technologies to reduce detection and response times to within recovery-time objectives

Embed security in technology products, services, and processes from point of inception through to execution to achieve complete “security by design”

Fully incorporate customers, partners, third parties, and regulators into management of enterprise resilience

Example activities

• Deploy advanced analytics and machine learning for preventative detection

• Implement security by design with multilayer response-time reduction
Foundational Foundational Advanced Advanced

Le aziende hanno utilizzato l’approccio basato sul rischio per ridurre efficacemente il rischio e raggiungere la propensione al rischio target a costi significativamente inferiori. Ad esempio, semplicemente riordinando le iniziative di sicurezza nel proprio portafoglio ordini in base all'approccio basato sul rischio, un'azienda ha aumentato la riduzione del rischio prevista di 7,5 volte rispetto al programma originale senza costi aggiuntivi. Un’altra azienda ha scoperto di aver investito massicciamente nel controllo di nuove capacità di sviluppo software come parte di una trasformazione agile. La spesa in eccesso è stata ritenuta necessaria per mantenere la promessa fatta al consiglio di raggiungere un certo livello di maturità che era, alla fine, arbitrario. Utilizzando l’approccio basato sul rischio, l’azienda ha ridotto i controlli e la spesa in aree in cui le capacità digitali desiderate erano fortemente controllate senza alcuna ragione di riduzione del rischio. Una particolare regione di successo con l’approccio basato sul rischio è stata l’America Latina, dove diverse aziende lo hanno utilizzato per superare una generazione di pensiero (e spesa) basato sulla maturità. Invece di ricapitolare le inefficienze del passato, queste aziende sono in grado di costruire esattamente ciò di cui hanno bisogno per ridurre i rischi nelle aree più importanti, fin dall’inizio dei loro programmi di sicurezza informatica. Gli aggressori informatici stanno crescendo in numero e forza, sviluppando costantemente nuovi stratagemmi distruttivi. Le organizzazioni a cui si rivolgono devono rispondere con urgenza, ma cercare anche di ridurre i rischi in modo intelligente, in un mondo di risorse limitate.

Un approccio basato sul rischio crea controlli personalizzati per le vulnerabilità critiche di un'azienda per sconfiggere gli attacchi a un costo complessivo inferiore.

Sicurezza informatica basata sulla maturità rispetto a quella basata sul rischio

Una trasformazione in azioni sequenziali

Le aziende che adottano l’approccio basato sul rischio e trasformano di conseguenza le loro attività di “corsa” e “cambiamento” si trovano inevitabilmente ad affrontare il crogiolo di come passare dalla sicurezza informatica basata sulla maturità a quella basata sul rischio. Dall’esperienza di diverse istituzioni leader, una serie di azioni basate sulle migliori pratiche è emersa come il percorso più rapido per raggiungere questa trasformazione. Queste otto azioni, intraprese più o meno in sequenza, allineeranno l'organizzazione al nuovo approccio e consentiranno gli sforzi adeguati per ridurre il rischio aziendale.

1. Integrare pienamente la sicurezza informatica nel quadro di gestione del rischio aziendale.

2. Definire le fonti di valore aziendale tra team, processi e tecnologie.

3. Comprendere le vulnerabilità dell'organizzazione a livello aziendale – tra persone, processi e tecnologia – internamente e per terze parti.

4. Comprendere i principali "attori delle minacce", le loro capacità e le loro intenzioni.

5. Collegare i controlli nelle attività di “esecuzione” e nei programmi di “cambiamento” alle vulnerabilità che affrontano e determinare quali nuovi sforzi sono necessari.

6. Mappare i rischi aziendali dal quadro di gestione del rischio aziendale, tenendo conto degli autori delle minacce e delle loro capacità, delle vulnerabilità aziendali che cercano di sfruttare e dei controlli di sicurezza delle attività di sicurezza informatica dell'organizzazione e del programma di cambiamento.

7. Considerare i rischi in rapporto alla propensione al rischio dell'impresa; riferire su come gli sforzi informatici hanno ridotto il rischio aziendale.

8. Monitorare i rischi e gli sforzi informatici rispetto alla propensione al rischio, agli indicatori chiave del rischio informatico (KRI) e agli indicatori chiave di prestazione (KPI).

1. Integrare pienamente la sicurezza informatica nel quadro di gestione del rischio aziendale

Un programma informatico basato sul rischio deve essere pienamente integrato nel quadro di gestione del rischio aziendale. Il quadro non dovrebbe essere utilizzato come linea guida generale, ma piuttosto come principio organizzativo. In altre parole, i rischi che l’impresa deve affrontare nel dominio digitale dovrebbero essere analizzati e classificati in un quadro di rischio informatico. Questo approccio demistifica la gestione del rischio informatico e lo radica nel linguaggio, nella struttura e nelle aspettative della gestione del rischio aziendale. Una volta che il rischio informatico sarà compreso più chiaramente come rischio aziendale che si verifica nel dominio digitale, l’organizzazione sarà giustamente orientata a iniziare ad implementare l’approccio basato sul rischio.

2. Definire le fonti del valore aziendale

I flussi di lavoro aziendali più preziosi di un'organizzazione spesso generano i rischi più significativi. È quindi di primaria importanza identificare questi flussi di lavoro e i rischi ai quali sono esposti. Ad esempio, nei servizi finanziari, il processo di prestito è parte di un flusso di lavoro che crea valore; è anche vulnerabile alla fuga di dati, un rischio aziendale. Allo stesso modo, un processo di pagamento crea valore ma è suscettibile di frode, un altro rischio aziendale. Per comprendere i rischi aziendali, le organizzazioni devono pensare al potenziale impatto sulle loro fonti di valore.

Identificare le fonti di valore è un esercizio abbastanza semplice, poiché gli imprenditori avranno già identificato i rischi per la loro attività. I professionisti della sicurezza informatica dovrebbero chiedere alle aziende quali processi considerano preziosi e i rischi di cui si preoccupano maggiormente.

Stabilire questa connessione tra il team di sicurezza informatica e le aziende è di per sé un passo molto prezioso. Motiva le aziende a preoccuparsi più profondamente della sicurezza, apprezzando l'impatto sui profitti di un controllo consigliato. L’approccio è molto più avvincente rispetto a quello basato sulla maturità, in cui la funzione di sicurezza informatica informa perentoriamente l’azienda che sta implementando un controllo “per raggiungere una maturità 3.0”.

È possibile definire i componenti di ciascun processo – team rilevanti, risorse informative critiche (“gioielli della corona”), le terze parti che interagiscono con il processo e i componenti tecnologici su cui viene eseguito – e si possono specificare le vulnerabilità di tali parti costituenti. .

3. Comprendere le vulnerabilità in tutta l'azienda

Ogni organizzazione analizza la propria infrastruttura, le proprie applicazioni e persino la propria cultura alla ricerca di vulnerabilità, che possono essere riscontrate in aree quali la configurazione, la sintassi del codice o la sensibilizzazione e la formazione in prima linea. Le vulnerabilità che contano di più sono quelle legate a una fonte di valore che particolari attori delle minacce con capacità rilevanti possono (o intendono sfruttare). Il collegamento ad una fonte di valore può essere diretto o indiretto. Un sistema altrimenti classificato come a basso potenziale per un attacco diretto, ad esempio, potrebbe essere incline al movimento laterale, un metodo utilizzato dagli aggressori per spostarsi attraverso i sistemi alla ricerca dei dati e delle risorse che in definitiva prendono di mira.

Una volta che l’organizzazione ha individuato le persone, le azioni, la tecnologia e i componenti di terze parti dei suoi processi di creazione di valore, è possibile procedere a un’identificazione approfondita delle vulnerabilità associate. Un processo viene eseguito, ad esempio, su un determinato tipo di server che utilizza un determinato sistema operativo (OS). La particolare combinazione server-sistema operativo avrà una serie di vulnerabilità ed esposizioni comuni identificate. Lo stesso varrà per i componenti di storage, rete ed endpoint. Le vulnerabilità di persone, processi e terze parti possono essere determinate mediante metodologie simili.

Da notare che le vulnerabilità e i controlli (efficaci) esistono in una sorta di simbiosi inversa: dove è presente l’uno, l’altro non lo è. Laddove è presente un controllo sufficiente, la vulnerabilità viene neutralizzata; senza il controllo, la vulnerabilità persiste. Pertanto, le vulnerabilità dell'impresa sono organizzate nella maniera più pratica secondo la struttura di controllo approvata dall'impresa.2 È qui che cominciano ad emergere le sinergie. Utilizzando una struttura e un linguaggio comuni, i team di sicurezza, rischio, IT e di prima linea possono lavorare insieme per identificare cosa è necessario fare per eliminare le vulnerabilità, guidare l'implementazione e segnalare i miglioramenti esattamente nello stesso modo e nello stesso linguaggio. L'esperienza conferma che quando l'intera organizzazione condivide un modo comune di considerare le vulnerabilità, la sicurezza può essere notevolmente migliorata.

L'esperienza conferma che quando l'intera organizzazione condivide un modo comune di considerare le vulnerabilità, la sicurezza può essere notevolmente migliorata.

4. Comprendere gli attori delle minacce rilevanti e le loro capacità

I gruppi o gli individui di cui un'organizzazione deve preoccuparsi, ovvero gli autori delle minacce, sono determinati da quanto le risorse dell'organizzazione si adattano agli obiettivi degli aggressori, economici, politici o di altro tipo. Gli autori delle minacce e le loro capacità (le tattiche, le tecniche e le procedure che utilizzano per sfruttare la sicurezza aziendale) definiscono il panorama delle minacce dell'organizzazione.

Solo comprendendo il proprio specifico panorama di minacce un’organizzazione può ridurre il rischio. I controlli vengono implementati in base alle minacce più significative. L’analisi delle minacce inizia con la domanda: quali attori delle minacce stanno cercando di danneggiare l’organizzazione e di cosa sono capaci? In risposta, le organizzazioni possono visualizzare le vulnerabilità comunemente sfruttate dalle minacce rilevanti e quindi selezionare e applicare controlli appropriati per mitigare queste specifiche aree di vulnerabilità.

Nell'identificare i controlli necessari per colmare le lacune specifiche, le organizzazioni devono valutare i potenziali aggressori, le loro capacità e le loro intenzioni: la forza e la volontà (intenzione) degli autori della minaccia di creare un evento di rischio. Ciò implica la raccolta di informazioni e la comprensione del modo in cui gli aggressori si collegano, tecnicamente e non tecnicamente, alle persone, ai processi e alle vulnerabilità tecnologiche all'interno dell'azienda.

5. Affrontare le vulnerabilità

Per sconfiggere gli autori delle minacce, le vulnerabilità scoperte nella terza azione che descriviamo verranno chiuse dai controlli esistenti – attività di normale esecuzione o iniziative di cambiamento esistenti – o richiederanno nuovi sforzi di controllo. Per i controlli esistenti, il team di governance informatica (per “esecuzione”) e il team di gestione del programma (per “cambiamento”) associano le loro attività attuali allo stesso quadro di controllo utilizzato per classificare le vulnerabilità. Questo mostrerà i controlli già in atto e quelli in fase di sviluppo. Eventuali nuovi controlli necessari vengono aggiunti al backlog del programma come iniziative autonome o composite.

Anche se un’organizzazione potrebbe non essere in grado di completare tutte le iniziative in arretrato in un solo anno, ora sarà in grado di scegliere cosa implementare dall’intero spettro di controlli necessari rilevanti per l’azienda perché applicabili per frustrare le capacità di minaccia rilevanti. L’approccio basato sul rischio basa in modo importante la portata delle iniziative esistenti e di quelle nuove nello stesso quadro di controllo. Ciò consente un ulteriore livello di allineamento tra i team: i team di delivery incaricati di spingere e riferire sui progressi dell’iniziativa possono finalmente lavorare in modo efficiente con la seconda e la terza linea di difesa (ove pertinente), che mettono in discussione in modo indipendente l’efficacia e la conformità dei controlli. Quando il team di consegna del programma (che agisce come prima linea di difesa) si siede con la seconda e la terza linea, parleranno tutti la stessa lingua e utilizzeranno le stesse strutture. Ciò significa che i gruppi combinati possono discutere cosa funziona e cosa non funziona e cosa dovrebbe essere fatto.

6. Mappare l'ecosistema del rischio aziendale

Una mappa dei rischi aziendali – dal quadro di gestione del rischio aziendale alle vulnerabilità e ai controlli aziendali fino agli attori delle minacce e alle loro capacità – rende visibile un “filo d’oro”, dall’implementazione del controllo alla riduzione del rischio aziendale. Qui l’approccio basato sul rischio può iniziare a prendere forma, migliorando sia l’efficienza nell’applicazione dei controlli sia l’efficacia di tali controlli nel ridurre i rischi. Dopo aver completato le azioni da uno a cinque, l’organizzazione è ora in grado di costruire il modello di sicurezza informatica basato sul rischio. L’analisi procede abbinando i controlli alle vulnerabilità che risolvono, alle minacce che sconfiggono e ai processi di creazione di valore che proteggono. I programmi di esecuzione e modifica possono ora essere ottimizzati in base all'attuale panorama delle minacce, alle vulnerabilità presenti e al programma di controlli esistente. In questo caso, ottimizzare significa ottenere la massima riduzione del rischio per un dato livello di spesa. Un livello di rischio desiderato può essere “prezzato” in base alle iniziative necessarie per raggiungerlo, oppure il punto di ingresso per l’analisi può essere un budget fisso, che viene poi strutturato per ottenere la massima riduzione del rischio.

L’ottimizzazione della sicurezza informatica determina il giusto livello e l’allocazione della spesa. La riduzione del rischio d’impresa è direttamente collegata alle iniziative esistenti e all’avvio di nuove. L'analisi sviluppa la base di fatti necessaria per discussioni tattiche su aree eccessivamente controllate da cui l'organizzazione potrebbe tirarsi indietro, nonché su aree in cui è necessario un migliore controllo per ottenere valore.

Incorporando tutti i componenti in un modello e utilizzando le fonti del valore e le strutture di controllo come linguaggio comune, i gruppi aziendali, IT, di rischio e di sicurezza informatica possono allinearsi. Le discussioni vengono inquadrate applicando il quadro di controllo aziendale alle fonti di valore più elevate. Questo crea l'effetto del filo d'oro. La leadership aziendale (come il consiglio di amministrazione e la funzione di rischio) può identificare un rischio aziendale (come la fuga di dati) e il team di sicurezza informatica può riferire su ciò che viene fatto al riguardo (come un controllo di prevenzione della perdita di dati sulla tecnologia o un controllo di ingegneria sociale su un team specifico). Ogni parte è connessa all'altra e ogni parte interessata lungo il percorso può connettersi alla conversazione. La metodologia e il modello sono al centro, agendo sia come traduttore che come ottimizzatore. L'intero team aziendale sa cosa fare, dal consiglio di amministrazione alla prima linea, e può muoversi in modo unificato per farlo.

7. Tracciare i rischi in base alla propensione al rischio; relazione sulla riduzione del rischio

Una volta che l’organizzazione ha stabilito una chiara comprensione e un approccio chiaro alla gestione del rischio informatico, può garantire che questi concetti siano facilmente visualizzati e comunicati a tutte le parti interessate. Ciò avviene attraverso una griglia di rischio, in cui l’applicazione dei controlli è dimensionata al potenziale livello di rischio.

L’approccio basato sul rischio applica i controlli in base alla propensione al rischio e alla probabilità e al potenziale impatto di un evento di rischio.

Eventi di rischio per entità dell’impatto e probabilità che si verifichino

Pianificare una riunione