Una trasformazione in azioni sequenziali
Le aziende che adottano l’approccio basato sul rischio e trasformano di conseguenza le loro attività di “corsa” e “cambiamento” si trovano inevitabilmente ad affrontare il crogiolo di come passare dalla sicurezza informatica basata sulla maturità a quella basata sul rischio. Dall’esperienza di diverse istituzioni leader, una serie di azioni basate sulle migliori pratiche è emersa come il percorso più rapido per raggiungere questa trasformazione. Queste otto azioni, intraprese più o meno in sequenza, allineeranno l'organizzazione al nuovo approccio e consentiranno gli sforzi adeguati per ridurre il rischio aziendale.
1. Integrare pienamente la sicurezza informatica nel quadro di gestione del rischio aziendale.
2. Definire le fonti di valore aziendale tra team, processi e tecnologie.
3. Comprendere le vulnerabilità dell'organizzazione a livello aziendale – tra persone, processi e tecnologia – internamente e per terze parti.
4. Comprendere i principali "attori delle minacce", le loro capacità e le loro intenzioni.
5. Collegare i controlli nelle attività di “esecuzione” e nei programmi di “cambiamento” alle vulnerabilità che affrontano e determinare quali nuovi sforzi sono necessari.
6. Mappare i rischi aziendali dal quadro di gestione del rischio aziendale, tenendo conto degli autori delle minacce e delle loro capacità, delle vulnerabilità aziendali che cercano di sfruttare e dei controlli di sicurezza delle attività di sicurezza informatica dell'organizzazione e del programma di cambiamento.
7. Considerare i rischi in rapporto alla propensione al rischio dell'impresa; riferire su come gli sforzi informatici hanno ridotto il rischio aziendale.
8. Monitorare i rischi e gli sforzi informatici rispetto alla propensione al rischio, agli indicatori chiave del rischio informatico (KRI) e agli indicatori chiave di prestazione (KPI).
1. Integrare pienamente la sicurezza informatica nel quadro di gestione del rischio aziendale
Un programma informatico basato sul rischio deve essere pienamente integrato nel quadro di gestione del rischio aziendale. Il quadro non dovrebbe essere utilizzato come linea guida generale, ma piuttosto come principio organizzativo. In altre parole, i rischi che l’impresa deve affrontare nel dominio digitale dovrebbero essere analizzati e classificati in un quadro di rischio informatico. Questo approccio demistifica la gestione del rischio informatico e lo radica nel linguaggio, nella struttura e nelle aspettative della gestione del rischio aziendale. Una volta che il rischio informatico sarà compreso più chiaramente come rischio aziendale che si verifica nel dominio digitale, l’organizzazione sarà giustamente orientata a iniziare ad implementare l’approccio basato sul rischio.
2. Definire le fonti del valore aziendale
I flussi di lavoro aziendali più preziosi di un'organizzazione spesso generano i rischi più significativi. È quindi di primaria importanza identificare questi flussi di lavoro e i rischi ai quali sono esposti. Ad esempio, nei servizi finanziari, il processo di prestito è parte di un flusso di lavoro che crea valore; è anche vulnerabile alla fuga di dati, un rischio aziendale. Allo stesso modo, un processo di pagamento crea valore ma è suscettibile di frode, un altro rischio aziendale. Per comprendere i rischi aziendali, le organizzazioni devono pensare al potenziale impatto sulle loro fonti di valore.
Identificare le fonti di valore è un esercizio abbastanza semplice, poiché gli imprenditori avranno già identificato i rischi per la loro attività. I professionisti della sicurezza informatica dovrebbero chiedere alle aziende quali processi considerano preziosi e i rischi di cui si preoccupano maggiormente.
Stabilire questa connessione tra il team di sicurezza informatica e le aziende è di per sé un passo molto prezioso. Motiva le aziende a preoccuparsi più profondamente della sicurezza, apprezzando l'impatto sui profitti di un controllo consigliato. L’approccio è molto più avvincente rispetto a quello basato sulla maturità, in cui la funzione di sicurezza informatica informa perentoriamente l’azienda che sta implementando un controllo “per raggiungere una maturità 3.0”.
È possibile definire i componenti di ciascun processo – team rilevanti, risorse informative critiche (“gioielli della corona”), le terze parti che interagiscono con il processo e i componenti tecnologici su cui viene eseguito – e si possono specificare le vulnerabilità di tali parti costituenti. .
3. Comprendere le vulnerabilità in tutta l'azienda
Ogni organizzazione analizza la propria infrastruttura, le proprie applicazioni e persino la propria cultura alla ricerca di vulnerabilità, che possono essere riscontrate in aree quali la configurazione, la sintassi del codice o la sensibilizzazione e la formazione in prima linea. Le vulnerabilità che contano di più sono quelle legate a una fonte di valore che particolari attori delle minacce con capacità rilevanti possono (o intendono sfruttare). Il collegamento ad una fonte di valore può essere diretto o indiretto. Un sistema altrimenti classificato come a basso potenziale per un attacco diretto, ad esempio, potrebbe essere incline al movimento laterale, un metodo utilizzato dagli aggressori per spostarsi attraverso i sistemi alla ricerca dei dati e delle risorse che in definitiva prendono di mira.
Una volta che l’organizzazione ha individuato le persone, le azioni, la tecnologia e i componenti di terze parti dei suoi processi di creazione di valore, è possibile procedere a un’identificazione approfondita delle vulnerabilità associate. Un processo viene eseguito, ad esempio, su un determinato tipo di server che utilizza un determinato sistema operativo (OS). La particolare combinazione server-sistema operativo avrà una serie di vulnerabilità ed esposizioni comuni identificate. Lo stesso varrà per i componenti di storage, rete ed endpoint. Le vulnerabilità di persone, processi e terze parti possono essere determinate mediante metodologie simili.
Da notare che le vulnerabilità e i controlli (efficaci) esistono in una sorta di simbiosi inversa: dove è presente l’uno, l’altro non lo è. Laddove è presente un controllo sufficiente, la vulnerabilità viene neutralizzata; senza il controllo, la vulnerabilità persiste. Pertanto, le vulnerabilità dell'impresa sono organizzate nella maniera più pratica secondo la struttura di controllo approvata dall'impresa.2 È qui che cominciano ad emergere le sinergie. Utilizzando una struttura e un linguaggio comuni, i team di sicurezza, rischio, IT e di prima linea possono lavorare insieme per identificare cosa è necessario fare per eliminare le vulnerabilità, guidare l'implementazione e segnalare i miglioramenti esattamente nello stesso modo e nello stesso linguaggio. L'esperienza conferma che quando l'intera organizzazione condivide un modo comune di considerare le vulnerabilità, la sicurezza può essere notevolmente migliorata.
L'esperienza conferma che quando l'intera organizzazione condivide un modo comune di considerare le vulnerabilità, la sicurezza può essere notevolmente migliorata.
4. Comprendere gli attori delle minacce rilevanti e le loro capacità
I gruppi o gli individui di cui un'organizzazione deve preoccuparsi, ovvero gli autori delle minacce, sono determinati da quanto le risorse dell'organizzazione si adattano agli obiettivi degli aggressori, economici, politici o di altro tipo. Gli autori delle minacce e le loro capacità (le tattiche, le tecniche e le procedure che utilizzano per sfruttare la sicurezza aziendale) definiscono il panorama delle minacce dell'organizzazione.
Solo comprendendo il proprio specifico panorama di minacce un’organizzazione può ridurre il rischio. I controlli vengono implementati in base alle minacce più significative. L’analisi delle minacce inizia con la domanda: quali attori delle minacce stanno cercando di danneggiare l’organizzazione e di cosa sono capaci? In risposta, le organizzazioni possono visualizzare le vulnerabilità comunemente sfruttate dalle minacce rilevanti e quindi selezionare e applicare controlli appropriati per mitigare queste specifiche aree di vulnerabilità.
Nell'identificare i controlli necessari per colmare le lacune specifiche, le organizzazioni devono valutare i potenziali aggressori, le loro capacità e le loro intenzioni: la forza e la volontà (intenzione) degli autori della minaccia di creare un evento di rischio. Ciò implica la raccolta di informazioni e la comprensione del modo in cui gli aggressori si collegano, tecnicamente e non tecnicamente, alle persone, ai processi e alle vulnerabilità tecnologiche all'interno dell'azienda.
5. Affrontare le vulnerabilità
Per sconfiggere gli autori delle minacce, le vulnerabilità scoperte nella terza azione che descriviamo verranno chiuse dai controlli esistenti – attività di normale esecuzione o iniziative di cambiamento esistenti – o richiederanno nuovi sforzi di controllo. Per i controlli esistenti, il team di governance informatica (per “esecuzione”) e il team di gestione del programma (per “cambiamento”) associano le loro attività attuali allo stesso quadro di controllo utilizzato per classificare le vulnerabilità. Questo mostrerà i controlli già in atto e quelli in fase di sviluppo. Eventuali nuovi controlli necessari vengono aggiunti al backlog del programma come iniziative autonome o composite.
Anche se un’organizzazione potrebbe non essere in grado di completare tutte le iniziative in arretrato in un solo anno, ora sarà in grado di scegliere cosa implementare dall’intero spettro di controlli necessari rilevanti per l’azienda perché applicabili per frustrare le capacità di minaccia rilevanti. L’approccio basato sul rischio basa in modo importante la portata delle iniziative esistenti e di quelle nuove nello stesso quadro di controllo. Ciò consente un ulteriore livello di allineamento tra i team: i team di delivery incaricati di spingere e riferire sui progressi dell’iniziativa possono finalmente lavorare in modo efficiente con la seconda e la terza linea di difesa (ove pertinente), che mettono in discussione in modo indipendente l’efficacia e la conformità dei controlli. Quando il team di consegna del programma (che agisce come prima linea di difesa) si siede con la seconda e la terza linea, parleranno tutti la stessa lingua e utilizzeranno le stesse strutture. Ciò significa che i gruppi combinati possono discutere cosa funziona e cosa non funziona e cosa dovrebbe essere fatto.
6. Mappare l'ecosistema del rischio aziendale
Una mappa dei rischi aziendali – dal quadro di gestione del rischio aziendale alle vulnerabilità e ai controlli aziendali fino agli attori delle minacce e alle loro capacità – rende visibile un “filo d’oro”, dall’implementazione del controllo alla riduzione del rischio aziendale. Qui l’approccio basato sul rischio può iniziare a prendere forma, migliorando sia l’efficienza nell’applicazione dei controlli sia l’efficacia di tali controlli nel ridurre i rischi. Dopo aver completato le azioni da uno a cinque, l’organizzazione è ora in grado di costruire il modello di sicurezza informatica basato sul rischio. L’analisi procede abbinando i controlli alle vulnerabilità che risolvono, alle minacce che sconfiggono e ai processi di creazione di valore che proteggono. I programmi di esecuzione e modifica possono ora essere ottimizzati in base all'attuale panorama delle minacce, alle vulnerabilità presenti e al programma di controlli esistente. In questo caso, ottimizzare significa ottenere la massima riduzione del rischio per un dato livello di spesa. Un livello di rischio desiderato può essere “prezzato” in base alle iniziative necessarie per raggiungerlo, oppure il punto di ingresso per l’analisi può essere un budget fisso, che viene poi strutturato per ottenere la massima riduzione del rischio.
L’ottimizzazione della sicurezza informatica determina il giusto livello e l’allocazione della spesa. La riduzione del rischio d’impresa è direttamente collegata alle iniziative esistenti e all’avvio di nuove. L'analisi sviluppa la base di fatti necessaria per discussioni tattiche su aree eccessivamente controllate da cui l'organizzazione potrebbe tirarsi indietro, nonché su aree in cui è necessario un migliore controllo per ottenere valore.
Incorporando tutti i componenti in un modello e utilizzando le fonti del valore e le strutture di controllo come linguaggio comune, i gruppi aziendali, IT, di rischio e di sicurezza informatica possono allinearsi. Le discussioni vengono inquadrate applicando il quadro di controllo aziendale alle fonti di valore più elevate. Questo crea l'effetto del filo d'oro. La leadership aziendale (come il consiglio di amministrazione e la funzione di rischio) può identificare un rischio aziendale (come la fuga di dati) e il team di sicurezza informatica può riferire su ciò che viene fatto al riguardo (come un controllo di prevenzione della perdita di dati sulla tecnologia o un controllo di ingegneria sociale su un team specifico). Ogni parte è connessa all'altra e ogni parte interessata lungo il percorso può connettersi alla conversazione. La metodologia e il modello sono al centro, agendo sia come traduttore che come ottimizzatore. L'intero team aziendale sa cosa fare, dal consiglio di amministrazione alla prima linea, e può muoversi in modo unificato per farlo.
7. Tracciare i rischi in base alla propensione al rischio; relazione sulla riduzione del rischio
Una volta che l’organizzazione ha stabilito una chiara comprensione e un approccio chiaro alla gestione del rischio informatico, può garantire che questi concetti siano facilmente visualizzati e comunicati a tutte le parti interessate. Ciò avviene attraverso una griglia di rischio, in cui l’applicazione dei controlli è dimensionata al potenziale livello di rischio.
L’approccio basato sul rischio applica i controlli in base alla propensione al rischio e alla probabilità e al potenziale impatto di un evento di rischio.
Eventi di rischio per entità dell’impatto e probabilità che si verifichino