Una delle sfide più difficili per i CISO (Chief Information Security Officer) è quella di comunicare nel modo giusto ai membri del consiglio di amministrazione aziendale i fatti chiave del panorama delle cyber minacce: con l’aumento degli attacchi informatici, infatti, i Cda sono sempre più interessati alla sicurezza informatica per comprendere i rischi a cui viene esposto il patrimonio informativo aziendale.
I professionisti della cyber security possiedono le conoscenze necessarie per rispondere alle domande dei consigli di amministrazione e realizzare un reporting completo e dettagliato sui piani di remediation e sul livello generale di preparazione nell’affrontare le minacce. Ma, allo stesso tempo, devono imparare a tradurre queste informazioni in un linguaggio aziendale utile e comprensibile.
Un rapporto, dunque, quello tra i CISO e i consigli di amministrazione, impegnativo e complicato dall’aumento della superficie di attacco causato da una trasformazione digitale ulteriormente accelerata dalla recente crisi pandemica e da attacchi su larga scala ricollegabili al conflitto tra Russia e Ucraina.
Cyber security come abilitante di business: un approccio omnicomprensivo e multidisciplinare
Indice degli argomenti
Il rapporto tra CISO e consiglio di amministrazione
È evidente che una comunicazione efficace deve tener presente la prospettiva aziendale del Cda sull’argomento in esame. Pertanto, per ottenere attenzione ed essere rilevanti per il Board è necessario collocare le tematiche di cyber security nel contesto ben più ampio degli obiettivi aziendali.
In poche parole, sono i CISO a dover adattarsi a parlare la lingua del business.
Per riuscire in questo compito, i responsabili della sicurezza informatica aziendale devono, innanzitutto, comprendere come esprimere al meglio le questioni di cyber security perché siano fruibili anche da parte dei professionisti meno esperti di tecnologia.
Così come indicato nel whitepaper di ISACA, “Reporting Cybersecurity Risk to the Board of Directors”: presentare la sicurezza informatica come una questione di rilevanza aziendale richiede un certo sforzo di traduzione.
Le aree di rischio strategico sono quelle che influenzano o derivano dalla strategia e obiettivi aziendali.
L’obiettivo della traduzione “dalla tecnologia al business” è quello di catturare gli elementi che potrebbero generare un disservizio tecnologico e collegarli agli obiettivi dell’azienda, presentandoli come rischio strategico.
Questo processo prevede tipicamente la scomposizione del rischio cyber in una serie di scenari di possibile perdita economica.
Tutto questo, però, tenendo conto del fatto che i CISO sono gli unici dirigenti C-level che non hanno un proprio strumento per misurare il ritorno di investimento (ROI, Return of Investment) delle proposte presentate al consiglio di amministrazione.
Se è vero, infatti, che nella maggior parte delle aziende i dirigenti della cosiddetta C-suite hanno a disposizione soluzioni software che consentono di aggregare, analizzare e fornire report dettagliati su ogni aspetto delle operazioni di interesse, è altrettanto vero che non esiste uno strumento simile per i CISO che così hanno maggiori difficoltà a misurare il ROI dei programmi di sicurezza o dimostrarne il valore aziendale.
Cosa tiene sveglio un CISO? Il reporting al Cda
La buona notizia è che, rispetto al passato, è ora più semplice “entrare nei radar” del consiglio di amministrazione e attirare l’attenzione dei suoi membri su ciò che occorre fare per preparare l’organizzazione a prevenire un attacco informatico, rilevare eventuali minacce e reagire di conseguenza.
E questo a dispetto del fatto che, come riportato dal WSJ Pro Cybersecurity Research, dall’analisi del background professionale di tutti i membri dei consigli di amministrazione delle aziende incluse nell’S&P 500, meno del 2% “ha avuto un’esperienza professionale rilevante nella sicurezza informatica negli ultimi 10 anni”.
Dunque, sembra un compito arduo attirare l’attenzione del board per qualcosa che, soprattutto in passato, veniva percepita come una tematica virtuale, esclusivamente appannaggio dei tecnici e poco legata al mondo “reale” del business.
In realtà, negli ultimi tempi si parla sempre più di cyber security e questo aiuta non poco i CISO a realizzare un reporting che permetta di far comprendere al consiglio di amministrazione dove l’azienda è vulnerabile, dove finiscono i controlli di sicurezza e dove inizia l’esposizione delle infrastrutture e del patrimonio informativo.
Quali informazioni condividere
Quali sono quindi le informazioni che devono essere assolutamente portate all’attenzione del Board e qual è il miglior modo di farlo?
Naturalmente, non esiste la ricetta unica e per almeno tre buone ragioni:
- Ogni consiglio di amministrazione è differente, essendo l’espressione dei servizi e prodotti che vengono offerti dall’azienda ma anche, soprattutto, delle persone che lo compongono. Anche il modo in cui questi board sono strutturati differisce a seconda delle realtà aziendale e, di conseguenza, le modalità di reporting dei nostri CISO si devono adattare;
- A seconda delle dimensioni dell’organizzazione e della sua complessità, alcune tematiche potrebbero o meno ricadere sotto la competenza del CISO. Pensiamo alle realtà in cui sono presenti anche Risk Manager, Data Protection Officer (DPO) o Internal Auditor;
- Non da ultimo, a seconda dell’area merceologica, potrebbero non essere presenti nel reporting alcune voci, pensiamo ad esempio alla “sicurezza dei prodotti” per una società di consulenza.
In generale, comunque, ad alto livello, le informazioni da condividere sono comunemente individuabili. Ne riportiamo giusto alcune.
Conformità a normative e standard/framework di sicurezza
Rappresentare il livello di conformità aziendale rispetto alle leggi e alle norme in materia di sicurezza (chi ha detto GDPR?), fornendo una valutazione dell’attuale livello di conformità e sottolineando eventuali aree in cui l’azienda deve ancora migliorare.
Includendo, se presenti, eventuali cambiamenti normativi significativi.
Presentare gli standard e i framework di sicurezza che l’azienda ha deciso di adottare per guidare le sue iniziative di sicurezza informatica.
Questi potrebbero includere ad esempio l’ISO 27001, NIST Cybersecurity Framework, CIS Controls o il nostrano Framework Nazionale per la Cybersecurity.
Dopo aver condiviso le ragioni dietro la scelta di ciascuno standard o framework, dovrà essere cura del CISO mantenere aggiornato il Board su come vengono implementati i controlli per migliorare la sicurezza, sul livello di aderenza e spiegare quali processi sono stati messi in atto per monitorare l’efficacia di queste implementazioni.
Minacce e tendenze
Per aiutare il Consiglio a comprendere le sfide in continua evoluzione che l’azienda potrebbe dover affrontare, è indispensabile fornire una panoramica delle minacce informatiche attuali e delle tendenze emergenti.
Anche in questo caso, negli ultimi anni, i CISO hanno potuto usufruire di un prezioso alleato: la Threat Intelligence. Questa è diventata un componente critico della cyber defense e un utile strumento in mano ai CISO per pianificare gli investimenti futuri.
Grazie a servizi di Threat Intelligence, a pagamento e open source, è possibile ottenere informazioni tecnologiche su chi sta attaccando (gli attori della minaccia) e su quali tattiche, tecniche e procedure stanno impiegando.
Naturalmente, queste informazioni non possono essere presentate al Board “tout court”, perché risulterebbero troppo complesse e poco efficaci.
Anche qui è importante che i CISO “traducano” le informazioni ottenute in una panoramica di alto livello, in grado di far comprendere lo scenario potenziale (aiutandosi magari con grafici e infografiche) per descrivere i rischi e le tendenze delle minacce emergenti a livello globale e riportando delle valutazioni sulle possibili ricadute nel contesto aziendale.
Incidenti di sicurezza recenti
Presentare al Consiglio una panoramica degli incidenti di sicurezza significativi che si sono verificati nel periodo considerato è fondamentale ma è anche un momento estremamente critico del reporting.
È importante fornire dettagli sui tipi di incidenti, l’impatto che hanno avuto sull’azienda e le azioni intraprese per risolverli.
Tuttavia, è altrettanto importante spiegare perché gli incidenti si sono verificati nonostante le misure di sicurezza in atto e cosa è stato fatto per prevenirne la ricorrenza.
Quando si affronta il Consiglio riguardo agli incidenti di sicurezza, è importante adottare un approccio costruttivo.
Evitare di colpevolizzare o criticare individui o reparti specifici.
Concentrarsi, invece, sull’apprendimento dagli incidenti e sulle azioni positive intraprese per migliorare la sicurezza complessiva.
Dimostrare che l’azienda è impegnata a trarre insegnamenti dagli incidenti e a migliorare costantemente la sicurezza.
Mostrare che si è pronti ad affrontare criticamente i problemi e a imparare da essi, mantenendo un ambiente di responsabilità e trasparenza.
L’obiettivo è trasmettere al Board la consapevolezza che la sicurezza è un percorso continuo di miglioramento e che l’azienda è impegnata a proteggere i dati e i sistemi dagli attacchi futuri.
Risultati delle valutazioni di rischio
Nel presentare i risultati delle valutazioni di rischio al Consiglio di Amministrazione, l’obiettivo principale è comunicare chiaramente i rischi identificati, le misure di mitigazione adottate e la strategia complessiva per la gestione dei rischi informatici.
È opportuno fornire una panoramica delle valutazioni di rischio più recenti, spiegando il processo utilizzato per identificare i rischi e valutare la probabilità dell’impatto, utilizzando una scala o un sistema di classificazione per rendere più comprensibili i livelli di rischio.
Illustrare le misure di mitigazione che sono state implementate e discuterne l’efficacia per ridurre il livello di rischio.
Utilizzare dati concreti, come il tasso di successo di determinanti controlli, aiuterà a dimostrare l’impatto positivo che stanno avendo le azioni intraprese dai nostri CISO.
Infine, indicare i rischi che non sono ancora stati completamente mitigati e spiegare i piani in corso o futuri per affrontarli.
Questo potrebbe includere l’implementazione di ulteriori controlli, l’allocazione di risorse aggiuntive o l’identificazione di nuove strategie di mitigazione.
Come aumentare chiarezza ed efficacia del report
Qualsiasi sia la categoria di informazioni approfondita nel reporting dei nostri CISO, sarà fondamentale per aumentarne la chiarezza e l’efficacia, che vengano inserite anche le metriche e le dashboard.
La presentazione di metriche di sicurezza al Cda consente di misurare in modo oggettivo l’efficacia delle iniziative di sicurezza informatica, di dimostrare i progressi nel miglioramento della postura di sicurezza dell’azienda e aiuta a dimostrare che le decisioni sono guidate, anche, da dati concreti.
Suddividerle nelle tre categorie principali:
- Key Risk Indicators (KRI) per identificare i potenziali rischi;
- Key Performance Indicators (KPI) per misurare il successo delle iniziative;
- Key Control Indicators (KCI) per fornire informazioni sull’efficacia delle misure di mitigazione implementate;
aiuterà il CISO a fornire una visione completa dei rischi, delle prestazioni di sicurezza e delle misure di controllo all’interno dell’azienda.
Infine, è importante per ogni categoria affrontata, presentare la “Pianificazione futura e le iniziative di sicurezza”, per illustrare al consiglio di amministrazione la direzione strategica che l’azienda intende intraprendere per rafforzare la sicurezza delle informazioni.
È un’opportunità per dimostrare la proattività nel migliorare la postura di sicurezza e affrontare le sfide emergenti. Andranno approfonditi ad esempio i “Piani di miglioramento”, le “Iniziative di formazione”, le “Esercitazioni di risposta agli incidenti” e le “Innovazioni tecnologiche”.
Dovranno essere illustrate le risorse finanziarie, umane e tecnologiche necessarie per attuare con successo i piani futuri, sottolineando come le iniziative di sicurezza pianificate si allineino agli obiettivi generali dell’azienda e ricordando come una solida strategia di sicurezza può contribuire al successo dell’azienda, migliorando la reputazione, la fiducia dei clienti e la continuità operativa.
Le priorità nella cyber security? Best practice e buon senso operativo
La domanda che il Cda pone ai CISO (e a volte non dovrebbe)
Sarebbe sbagliato, però, pensare che il reporting possa dare risposta alla domanda più comune (ma anche la più sbagliata) fatta dai membri dei consigli di amministrazione ai propri CISO: “Siamo sicuri?”.
La domanda è tutt’altro che banale e difficilmente si potrà rispondere con un secco “sì” o “no”.
Un reporting correttamente strutturato però, aiuterà il nostro CISO, se non a prevenire la domanda, a riportare il dialogo sulle aspettative e le sfide che circondano la sicurezza informatica. Riflettendo sulla ricerca costante di un equilibrio tra protezione e accessibilità.
La sicurezza informatica non come condizione statica, ma come processo dinamico che richiede valutazioni continue delle minacce emergenti, delle vulnerabilità e dei cambiamenti nel panorama tecnologico.
Un buon reporting permetterà di fornire una risposta che si basi sull’ impegno continuo dei CISO, e quindi dell’azienda, nel monitorare, migliorare e adattare le iniziative di sicurezza per affrontare le minacce emergenti.
