Un pilastro fondamentale di un programma di rischio informatico maturo è la capacità di misurare, analizzare e segnalare le minacce e le prestazioni della cybersecurity. Detto questo, misurare la cybersecurity non è facile. Da un lato i leader aziendali faticano a comprendere il rischio informatico (perché di solito non provengono da un ambiente cyber), mentre dall’altro i professionisti della sicurezza si lasciano prendere da troppi dettagli tecnici che finiscono per confondere, disinformare o fuorviare gli stakeholder.

In uno scenario ideale, i professionisti della sicurezza devono misurare e riportare i dati sulla cybersicurezza in modo che i dirigenti li capiscano, li trovino utili, soddisfino la curiosità e portino a risultati concreti.

Cosa si può misurare nella cybersecurity?

La maggior parte degli stakeholder di solito si pone domande relative al rischio, alla conformità o alla sicurezza. Queste domande non possono trovare risposta in un unico dato, ma fortunatamente esiste un’ampia gamma di elementi che gli operatori della sicurezza possono misurare per rispondere alle domande e alle preoccupazioni degli stakeholder. Questi possono essere generalmente classificati in:

  • Controlli: Misure che vengono messe in atto per contrastare le minacce e ridurre il rischio informatico
  • Asset: Qualsiasi oggetto di valore o di proprietà dell’organizzazione
  • Vulnerabilità: Debolezze del sistema che possono essere sfruttate da una minaccia
  • Eventi minacciosi: Azioni avviate da una minaccia in grado di causare danni agli asset
  • Incidenti di sicurezza: Eventi che hanno avuto un impatto sull’azienda in termini di interruzioni, tempi di inattività, arresto del sistema, violazione dei dati, phishing, ransomware, ecc.

Queste categorie possono essere ulteriormente suddivise in termini di numeri, tempo o costi. Ad esempio, i numeri possono misurare i totali e le percentuali di server non patchati, il rapporto tra i server non patchati rispetto alla linea di base e alla capacità richiesta o il numero di server che è possibile patchare. Il tempo può misurare il tempo necessario per identificare un incidente o la frequenza di una particolare minaccia nel tempo. Il costo può aiutare a misurare l’impatto di un incidente in termini finanziari, il costo del recupero e il costo della perdita di attività dovuta ai tempi di inattività.

Perché concentrarsi sui KPI e non sulle metriche?

I professionisti della cybersecurity devono selezionare le misurazioni più rilevanti quando riferiscono ai team aziendali. La maggior parte dei team di sicurezza si concentra sulle metriche, che forniscono misurazioni di basso livello relative ad asset, vulnerabilità ed eventi di minaccia. I team esecutivi, invece, si preoccupano degli indicatori chiave di prestazione (KPI) e degli indicatori chiave di rischio (KRI) perché possono aiutare a rispondere a domande specifiche relative al rischio, alla salute, alla preparazione e ai professionisti della sicurezza informatica:

  • Siamo sicuri?
  • Gli investimenti in sicurezza stanno apportando valore all’azienda?
  • Stiamo rispettando gli obblighi normativi dal punto di vista della sicurezza?
  • Qual è la nostra preparazione in caso di attacchi ransomware o di attacchi alla catena di fornitura?

Questi sono i tipi di domande a cui i KPI e i KRI aiutano a rispondere ed è per questo che i professionisti devono concentrarsi sui KPI e sui KRI per valutare le prestazioni, la preparazione e l’efficacia della sicurezza.

cybersecurity

Come si può misurare la cybersecurity?

Costruire il giusto framework di misurazione è un processo graduale e iterativo. Analizziamo le cinque fasi principali della costruzione di un ciclo di misurazione della sicurezza.

Definire i requisiti

Instaurate una conversazione bidirezionale con gli stakeholder interessati per definire e comprendere le loro esigenze. Quando si inizia in piccolo, non sempre gli stakeholder hanno una buona comprensione del rischio informatico ed è quindi necessario un approccio più dal basso verso l’alto, in cui gli operatori della sicurezza misurano ciò che ritengono importante e riferiscono verso l’alto. Gli operatori della sicurezza possono utilizzare queste conversazioni per porre loro stessi delle domande, contribuendo a educare e a definire l’agenda, se necessario.

Selezionare gli indicatori chiave

Una volta definiti i requisiti degli stakeholder, i professionisti della sicurezza devono identificare e selezionare gli indicatori chiave che contribuiscono a supportare tali requisiti; tutti gli stakeholder devono essere consultati e informati sulle misurazioni che verranno presentate in una fase successiva. La visione degli indicatori chiave dovrebbe consentire agli stakeholder di agire o prendere decisioni. Questi indicatori devono essere pochi e di alto livello e l’obiettivo è quello di aiutare a prendere decisioni, non di sovraccaricare o confondere le persone con dati su dati.

Identificare le metriche

Dopo aver identificato gli obiettivi e gli indicatori di alto livello, i team di sicurezza devono ora concentrarsi sull’identificazione di metriche di livello inferiore che aiutino a fare rapporto su tali indicatori. A seconda della natura esatta dell’indicatore, potrebbero essere necessarie decine di metriche, appartenenti alle varie categorie di misurazione descritte in precedenza.

cybersecurity (1)

Raccogliere e analizzare le metriche per calcolare gli indicatori chiave

Dopo che i requisiti sono stati concordati, gli indicatori chiave sono stati selezionati e le metriche sono state identificate, i professionisti possono iniziare a raccogliere e analizzare i dati basati su questi indicatori chiave. Le metriche devono essere ricavate solo da dati accurati, tempestivi, pertinenti e affidabili. In caso contrario, l’azienda può prendere decisioni sbagliate con gravi conseguenze sulla sicurezza dell’organizzazione. I team di sicurezza devono inoltre trovare il modo di raccogliere questi dati su base continua (la maggior parte delle misurazioni richiede una visione delle tendenze nel tempo) e preferibilmente rendere il processo il più automatizzato possibile (il processo manuale può essere faticoso e richiede molto tempo).

Riferire gli indicatori chiave agli stakeholder

Gli indicatori chiave devono essere comunicati ai responsabili delle decisioni in modo tempestivo. I professionisti della sicurezza e gli stakeholder devono concordare una cadenza e decidere con quale regolarità deve avvenire la segnalazione. Anche lo stile di reporting deve essere concordato, poiché metodi diversi si adattano a stakeholder diversi. Sono necessarie delle dashboard o bastano semplici presentazioni con slide? Gli indicatori chiave devono essere ben visibili e facilmente comprensibili e, soprattutto, il reporting deve portare a decisioni o azioni.

Dopo ogni ciclo di reporting, è importante rivedere gli indicatori chiave e rivalutarli con gli stakeholder. I team di cybersecurity e gli stakeholder devono chiedersi: gli indicatori riportati forniscono ancora valore o c’è qualcosa da cambiare? Se i requisiti aziendali sono effettivamente cambiati, i professionisti devono tornare a definire i requisiti e analizzare una serie diversa di indicatori e metriche.

Non dimenticate infine che il panorama delle minacce è in continua evoluzione e che quindi anche la sicurezza deve evolversi di pari passo. Le organizzazioni, gli stakeholder e i professionisti della sicurezza non devono avere paura di andare avanti o indietro. La capacità di proseguire e di improvvisare o di riorganizzarsi è fondamentale per raggiungere il successo nella misurazione della cybersecurity.