Quando si tratta parla di minacce cyber in costante espansione è facile sentirsi sopraffatti. Il potenziale disastro è facilmente comprensibile, ma ci sembra non avere mai sufficiente personale o budget per gestire tutto in tempo reale. Da qualche parte, un cattivo ci osserva, nell’attesa che lasciamo uno spiraglio aperto o tralasciamo un punto debole. Ed ecco che ci attacca, sottraendoci il nostro asset più prezioso, i dati.
A che cosa dare precedenza quindi? Con attacchi sempre più rapidi e un numero sempre più elevato di vettori, non è possibile sopravvivere senza un forte senso di prioritizzazione dei rischi.
Potreste pensare di essere a posto dato che insieme al CdA avete approvato la richiesta urgente del CISO di aumentare il budget al fine di adottare strumenti moderni per monitorare gli eventi di sicurezza. Ripensateci. Sono certo che il vostro team SecOps si trova nel bel mezzo di un “alert overload.” Come sono messi? Veramente male. Nel settore bancario, per esempio, una ricerca conferma che i team interni devono verificare centinaia di migliaia di alert ogni giorno.
Uno dei principali driver nel definire le priorità è quello di mantenere l’agilità nei confronti della rapida evoluzione di cyber threat, difese tecnologiche, condizioni di business e obiettivi organizzativi.
Come affrontare questa situazione e uscirne vincenti? I leader non solo devono prendere decisioni sul da farsi, ma anche su ciò che NON va fatto. I tempi del business non sono mai stati così veloci e continueranno ad accelerare. Bisogna correre più rapidamente che mai per rimanere dove si è, e due volte più velocemente se si vuole progredire. E se non si è bravi a definire e ad aderire alle priorità di sicurezza, i team SecOps e IT verranno travolti.
Quali, quindi, i passi chiave per stabilire un set valido di priorità per i rischi cyber?
Partiamo dai gioielli della corona: i dati di clienti e dipendenti. Se vengono compromessi, l’organizzazione stessa potrebbe non essere in grado di sopravvivere. Ci sono poi numerose altre priorità mission-critical come proteggere la proprietà intellettuale e tutto ciò che rappresenta un vantaggio competitivo per l’azienda o che minaccia la business continuity se viene interrotto per un determinato periodo di tempo.
L’email non funziona per un’ora o due? Sconveniente, ma non critico per l’organizzazione. Scoprire che le liste clienti e i metadati delle loro carte di credito sono stati compromessi, o che avete perso la possibilità di registrare gli ordini online per un giorno? Riunione d’emergenza immediata.
Anche se è logico mettere temi come la conformità alle normative, i rischi legali e la corporate governance sulla lista delle cose “da proteggere a tutti i costi”, la realtà è che certe questioni si gestiranno da sole se state prioritizzando correttamente i dati e gli altri asset digitali. Questo non significa che non abbiano importanza, ma sono il risultato della mancanza della prioritizzazione, non la causa del problema.
Ovviamente, ogni responsabile di divisione avrà una definizione diversa dell’affermazione “se questo viene compromesso il modo finirà”. Il responsabile commerciale riterrà che i sistemi CRM sono i più importanti, il VP manufacturing minaccerà di dare le dimissioni se i sistemi di automazione della fabbrica non saranno messi in cima alla lista, mentre il CEO potrebbe decidere che la protezione dei virtual public network per permettergli di continuare a lavorare da casa è un must-have.
Ecco perché la prioritizzazione del cyber risk deve essere considerato in un’ottica più estesa, correlata agli obiettivi critici di business e pesata rispetto a una valutazione realistica delle minacce rispetto alle risorse.
Ci sarà poi una lunga lista di priorità di livello due, ma è essenziale che in azienda tutti siano consapevoli del fatto che certe attività e aree hanno la precedenza in tema di budget, personale, strumenti e capacità intellettuali.
________
di Naveen Zutshi, CIO di Palo Alto Networks.