Cybersecurity risk management si riduce a tre fattori chiave:
- La probabilità che si verifichi un evento;
- La gravità dell’impatto se si verifica tale evento; e
- Eventuali fattori attenuanti che possono ridurre la probabilità o la gravità.
Questo è stato il nostro takeaway da un’eccellente tavola rotonda facilitata dai nostri partner di Cylance, intitolata Cut Through the Risk Confusion: Shedding Light on Common Security Misperceptions.
La gestione del rischio è spesso confusa perché è irta di soggettività secondo il pannello. Caso in questione? I senior business leader-general counsel, CFO e CIO-hanno tutti percezioni diverse sulla composizione del rischio e sui controlli appropriati.
Mentre la discussione si è concentrata su come eliminare quella soggettività attraverso il processo, i relatori hanno fornito diversi suggerimenti eccellenti lungo la strada. Abbiamo articolato quelli che si sono distinti per noi di seguito.
- 1) Anche per i professionisti, la gestione del rischio informatico è difficile.
- 2) Includere la diversità nella prospettiva del rischio.
- 3) Commissionare una controargomentazione.
- 4) Un processo strutturato di gestione del rischio aiuta a “gestire up.”
- 6) Solo “spegnerlo” non è sempre la soluzione migliore.
- 7) Traduci tech speak in business talk.
- 8) Esaminare le tendenze e prepararsi.
1) Anche per i professionisti, la gestione del rischio informatico è difficile.
Vedere, identificare e comprendere gli indicatori di rischio non viene naturalmente alla maggior parte delle persone. Per illustrare questo punto, un membro del panel ha notato che ha perso gli indicatori di rischio dopo aver messo nuove scale in legno nella sua casa.
Nonostante diverse lamentele da parte degli ospiti che le nuove scale erano scivolose, ha cercato una soluzione solo dopo che è scivolato e si è rotto una caviglia che ha richiesto un intervento chirurgico. La soluzione era roll 50 rotolo di nastro antiscivolo.
Questo illustra lo scopo della gestione del rischio – e il valore di un investimento preventivo relativamente piccolo rispetto all’ampio costo (e dolore) per la bonifica dopo un evento.
2) Includere la diversità nella prospettiva del rischio.
Una prospettiva diversa è fondamentale per una buona gestione del rischio nella sicurezza informatica. Ancora più importante, il disaccordo non è slealtà. L’esame di un problema attraverso vari punti di vista impedisce il pensiero di gruppo e l’eccessiva sicurezza che può portare a scappatoie ed errori.
3) Commissionare una controargomentazione.
È utile caricare un membro, o una squadra, con il compito di argomentare la visione opposta. Questo è qualcosa di diverso dalla diversità in prospettiva, dato che la commissione è intenzionalmente alla ricerca di lacune in un argomento o idea.
Se la vista di consenso ritiene che un fattore sia a basso rischio, chiedi a qualcuno di creare un caso che sia ad alto rischio e viceversa. Il gruppo ha fatto riferimento a ciò come a garantire una “stratificazione del dialogo” al fine di vedere tutte le opzioni e i potenziali impatti.
4) Un processo strutturato di gestione del rischio aiuta a “gestire up.”
Un formato di rischio strutturato porta disciplina organizzativa per la gestione del rischio che è utile anche per la gestione dei rischi di notizie-driven. Il pannello chiamato questo ” Wall Street Journal risk management.”
Che cosa significa? Un membro del consiglio legge una storia sulla perdita di dati sulle porte USB e invia la storia al CEO. Il CEO, a sua volta, lo invia al CIO e improvvisamente la priorità assoluta per il team di rischio è la prevenzione della perdita di dati a livello di rete e host. Di conseguenza, le porte USB sono spente, ma i dipendenti hanno ancora accesso ai siti di condivisione di file commerciali.
Un processo strutturato consente al team di considerare tutte le opzioni e fornisce anche un quadro per la gestione diplomatica delle richieste di leader senior basate su eventi di notizie. Le storie sono un modo potente e sorprendente per comunicare, ma le storie sono punti dati, non dati.
5) Alcuni rischi appaiono solo più interessanti di altri.
Qualsiasi organizzazione che esegue test di penetrazione reali è probabile che arrivi alla stessa conclusione: la squadra rossa sta per entrare. Tuttavia, ciò non significa che il rischio di una squadra rossa trovi paralleli al rischio reale.
Un panelist ha notato, ad esempio, una squadra rossa che aveva abbandonato un dispositivo fisico sulla rete. Anche se interessante, le probabilità che questo accadesse davvero erano piuttosto basse. Questo fenomeno può distorcere la prospettiva del rischio, creare inutili preoccupazioni esecutive e finire con un’allocazione errata di risorse finite.
6) Solo “spegnerlo” non è sempre la soluzione migliore.
I dipendenti di una società erano piuttosto vocali sui social media durante gli annunci di guadagno. Ciò ha reso nervoso il team esecutivo per ovvi motivi di conformità, secondo un panelist che racconta la storia. La leadership voleva semplicemente chiudere l’accesso ai siti di social media dalla rete aziendale.
Tuttavia, facendo così nella valutazione del team di sicurezza, era improbabile che impedire ai dipendenti di fare la stessa cosa dalla rete guest, o da dispositivi personali. Ancora peggio, questa azione limiterebbe la visibilità dell’azienda per monitorare l’attività; sarebbe comunque accaduto, semplicemente non lo vedrebbero ora.
Una soluzione migliore, o almeno una che vale la pena considerare dal punto di vista della gestione del rischio, era quella di coinvolgere i dipendenti e modellare il comportamento con formazione e informazioni.
7) Traduci tech speak in business talk.
Lo spazio cybersecurity ha la sua giusta quota di parole d’ordine il business non può capire. I team di sicurezza devono esserne consapevoli quando colleghi di altre funzioni sono coinvolti nelle conversazioni di sicurezza.
Uno dei relatori ha ricordato una situazione in cui il team tecnico aveva trovato software dannoso su un’unità di backup. La probabilità di rischio era bassa, ma l’impatto era alto, quindi la conversazione è stata intensificata per includere altri membri del team di tutto il business. Nel processo, è diventato evidente che l’azienda non stava seguendo la discussione e quindi non poteva contribuire alla valutazione del rischio.
Il panelist ha detto che si avvicinò rapidamente con un’analogia per descrivere il problema di backup dei dati a portata di mano per l’effetto: Stiamo cercando di spostare le persone (dati) da un punto all’altro. Abbiamo usato un’auto per prendere le persone, ma non possiamo vedere quanti passeggeri sono in macchina o quanti sono arrivati sani e salvi a destinazione.
Una buona tecnica è quella di avere una “pre-discussione” prima di parlare con altri colleghi di business per garantire che i punti chiave siano presentati a livello aziendale, piuttosto che tecnico.
8) Esaminare le tendenze e prepararsi.
I professionisti della sicurezza sono in molti modi incaricati di prevedere le tendenze future e mettere in atto piani per preparare piani di emergenza. Per esempio, non è un tratto di prevedere che ransomware sta per intensificare e concentrarsi sulla distruzione dei dati.
Comprendere questa tendenza, e il costo aiuterà articolare le opzioni di business in caso di incidente. L’azienda può rifiutarsi di pagare il riscatto e perdere una settimana o più di entrate mentre lavora per ottenere sistemi operativi. Oppure può avere i mezzi per pagare il riscatto in bitcoin già stabilito nel caso in cui l’azienda persegue tale opzione – come alcune aziende sono.
La sicurezza informatica è “incredibilmente complicata” e più sei sicuro di una risposta, più ti senti preoccupato. Un rigoroso processo di analisi dei rischi informatici farà molto per raggiungere l’obiettivo di sicurezza della business assurance. Una registrazione completa di questa tavola rotonda è disponibile tramite Cylance al link fornito sopra.
Se ti è piaciuto questo post, potrebbe piacerti anche:
Cyberthreat Evolution sposta l’accento sul rilevamento e la prevenzione proattivi
Photo credit: (CC0 1.0)