Con l’avvicinarsi di una possibile recessione, molte aziende stanno già applicando un livello più elevato di controllo dei budget, anche per costi business-critical come quelli per la sicurezza informatica. Man mano che i budget diminuiscono, i leader della sicurezza e dell’IT devono anticipare le discussioni con i dirigenti e iniziare a preparare in modo proattivo un business case per il loro programma di cyber security per garantire il finanziamento dei progetti.
Il business case dovrebbe “vendere la sicurezza” alla dirigenza per ottenere la fiducia del board. Forse l’errore più comune nella creazione di business case sulla sicurezza informatica è l’uso dell’allarmismo. Sebbene il numero di violazioni in aumento e la crescita degli attacchi ransomware possano essere validi punti da includere in un business case, alimentare la paura non dimostra affatto il valore della sicurezza informatica.
Frasi come “se non eseguiamo questo aggiornamento della sicurezza subiremo violazioni, gravi perdite e/o violeremo i requisiti di conformità” non servono allo scopo. Sono argomenti deboli e tutto ciò che tendono a fare è indisporre i dirigenti perché si sentono messi in un angolo senza comprendere nessuno dei vantaggi tangibili di ciò che viene proposto.
CISO e CIO dovrebbero quindi tenere a mente alcuni suggerimenti chiave mentre preparano i budget di sicurezza e iniziano a costruire il loro business case.
Investimenti in sicurezza informatica, il trend è in netta ascesa
Indice degli argomenti
Vince il gioco di squadra
La sicurezza è uno sport di squadra e uno dei primi errori di molti business case per la sicurezza informatica ha a che fare con le risorse umane. Le risorse al di fuori della security vengono spesso escluse dalla fase di pianificazione. Se non coinvolgi tutti i principali attori all’inizio del processo, potrebbero non essere in grado di supportare il progetto al momento dell’implementazione, perché non hanno avuto la possibilità di fornire input preziosi o allocare le capacità e le risorse necessarie quando era il momento giusto per farlo.
Questo è particolarmente importante quando si tratta del team IT. In passato, la sicurezza e il networking lavoravano come team indipendenti e separati. Ma man mano che le infrastrutture si sono evolute e consolidate, si sono create interdipendenze tra sicurezza e networking.
I team IT e i team di sicurezza devono collaborare sin dall’inizio durante la creazione di un business case. Ciò significa anche coinvolgere le risorse che si occupano degli endpoint, poiché molti team di sicurezza avranno bisogno di un client installato sull’endpoint, il che significa che l’IT Architect dovrà essere coinvolto per aiutare a orchestrare gli altri team.
Sicurezza e strategia aziendale globale devono viaggiare insieme
Quando si scrive un business case, occorre conoscere l’audience a cui ci si rivolge: su cosa sta lavorando l’azienda, quali eventuali problemi potenziali puoi aiutare a risolvere e quali cambiamenti si prospettano all’orizzonte? Gli obiettivi di sicurezza devono essere sincronizzati con gli obiettivi più ampi dell’azienda, nonché con importanti cambiamenti in cui la sicurezza può contribuire a migliorare i risultati.
Ad esempio, nei casi di fusioni e acquisizioni (M&A), la sicurezza dovrebbe svolgere un ruolo fondamentale in ogni fase. Lo stesso vale per questioni legali relative alla privacy dei clienti, all’espansione in una nuova regione globale o alla concessione di un accesso controllato alla proprietà intellettuale a un partner strategico.
La sicurezza potrebbe includere cambiamenti improvvisi allo stato di profitti e perdite (P&L) dell’azienda, potrebbe anche consentire una più rapida abilitazione di nuove organizzazioni, una migliore identificazione dei rischi o una migliore integrazione complessiva.
Nel rivedere il proprio business case, occorre evidenziare i vantaggi più significativi con questo ordine di priorità: (1) generazione di entrate, (2) risparmio sui costi e (3) riduzione dei costi.
Per comprendere appieno ciò che la dirigenza sta cercando di ottenere, i leader della sicurezza e del networking devono partecipare regolarmente alle riunioni del board. Partendo dalla strategia aziendale è possibile evidenziare l’impatto positivo che la sicurezza ha su:
- Abilitazione dell’agilità: un’esperienza utente senza interruzioni consente all’azienda di muoversi alla velocità del mercato e garantisce che le decisioni critiche possano essere prese sulla base dei dati più recenti.
- Controllo dei costi: analisi del costo totale di proprietà (TCO) della sicurezza, mantenimento dell’efficienza operativa e ottimizzazione della spesa per il cloud.
- Gestione del rischio: protezione delle risorse critiche, garanzia di stabilità e resilienza e formazione delle persone affinché diventino cittadini digitali migliori.
I responsabili della sicurezza e del networking dovrebbero anche fornire aggiornamenti regolari per informare la dirigenza, riferire sui progressi attuali e prospettare nuove richieste per i budget futuri. Non bisogna parlare solo di quello che si intende fare quest’anno, ma anche di quello che accadrà il prossimo anno.
Questo ciclo di feedback aiuterà a costruire solidi rapporti e alleanze con gli stakeholder del board: ecco quindi che incontrarli ed esaminare i loro piani aiuterà a comunicare meglio in che modo il proprio business case supporterà i loro piani.
Evidenziare i dati più importanti
Un altro errore comune è presentare un volume enorme di dati che potrebbe non significare molto per la dirigenza. Ad esempio, troppi calcoli dell’aspettativa di perdita annuale (ALE) possono essere inefficaci allo scopo, inoltre sono spesso basati su presupposti difficili da quantificare.
I leader della sicurezza e del networking devono scegliere con attenzione le metriche importanti per l’azienda. Un modo per farlo può essere confrontare il proprio programma con ciò che stanno facendo i concorrenti. Una valutazione annuale può aiutare a dimostrare le prestazioni attuali del programma ed evidenziare le aree in cui potrebbe non essere all’altezza della concorrenza o delle migliori pratiche del settore.
Si dovrebbero anche includere “metriche intelligenti”, il che significa utilizzare numeri che legano un risultato a un vantaggio aziendale. “Abbiamo bloccato un milione di tentativi di phishing” può sembrare impressionante, ma è un numero vuoto perché manca di contesto aziendale. Invece “Abbiamo risposto a 20 incidenti in 120 minuti il mese scorso, cinque dei quali miravano a sistemi aziendali critici” racconta una storia migliore sul valore della sicurezza per le operation e sulla velocità con cui sono stati risolti i problemi.
Parlare di denaro
Le giustificazioni più deboli in un business case sono “evitare costi” e “essere conformi alle normative”. Realizzare un business case per la governance può essere particolarmente complicato senza ricorrere all’allarmismo. “Siamo tenuti a rispettare gli standard PCI” o “Il nostro concorrente è stato multato di X-euro per aver violato le regole del GDPR“. Sebbene i requisiti legali e normativi possano essere elementi rilevanti, non trasmettono un valore misurabile positivo al management.
Tuttavia, se uno dei principali clienti richiede contrattualmente la conformità PCI o una parte significativa delle vendite arriva tramite partner con sede nell’UE in cui è obbligatorio il GDPR, la storia è diversa. Molti clienti avranno requisiti di sicurezza da rispettare per fare affari con la tua azienda, quindi, il team della sicurezza può legittimamente rivendicare il proprio ruolo di responsabilità nell’aiutare a ottenere quei guadagni.
Probabilmente, il modo migliore per mostrare il valore monetario della riduzione del rischio è parlarne come di un “aumento delle entrate”: la sicurezza come centro di costo che aiuta a portare denaro nell’organizzazione. Quando si riformula la conversazione sulla sicurezza intesa come un altro centro di costo a un centro che invece genera entrate, allora funziona.
Non da ultimo, è anche importante chiudere il ciclo di revisione una volta completato il programma. Un anno dopo l’approvazione del budget, va eseguita una revisione per verificare se l’organizzazione sta vedendo i vantaggi proposti nell’investimento iniziale. Se il business case avrà sopravvalutato il valore del progetto, è probabile che le richieste future saranno trattate con scetticismo.
Vendere la sicurezza in un mercato al ribasso
Prima o poi, ogni azienda guarda alla propria spesa globale con l’obiettivo di eliminare i costi. In questo momento, la sicurezza dovrebbe essere in basso nell’elenco delle voci che le organizzazioni esaminano per decidere dove tagliare i finanziamenti.
Ma di fronte ad ogni divisione aziendale che tenterà di giustificare disperatamente il proprio apporto all’impronta di bilancio per farsi approvare il proprio budget, non si può presumere che i leader aziendali capiranno da soli il valore più ampio della sicurezza.
Un business case efficace per la sicurezza deve essere basato su ciò che conta realmente per l’organizzazione. Ciò significa che è necessaria una comprensione interiore di ciò che l’azienda sta facendo e di come la sicurezza sarà un fattore essenziale per raggiungere tali obiettivi.
E richiede una costruzione di relazioni a lungo termine per garantire che la dirigenza comprenda tutti gli impatti positivi che i progetti di sicurezza avranno sull’organizzazione, ora e in futuro.
