È probabile che, nell’ambito delle task di cyber security governance, sia necessario spiegare lo stato della protezione aziendale a un executive. Tra KPI quantitativi e metriche di dettaglio può essere difficile districarsi, soprattutto se dopo il Cybersecurity Framework 2.0 del NIST o il Digital Operational Resilience Act l’azienda abbia l’obiettivo di rafforzare la governance. Di seguito riportiamo gli spunti delle best practice da ISACA e NIST su come costruire un vero e proprio programma di monitoraggio della cyber security (cyber security monitoring).
Indice degli argomenti
Dinamiche e impatti degli ecosistemi di cyber security
Gli incidenti di cyber security possono avere un impatto sistemico e coinvolgere, più o meno intenzionalmente, ulteriori aziende rispetto a quelle individuate come target da un threat actor.
Tale effetto domino può essere osservato anche all’interno di una specifica organizzazione, in cui un incidente può coinvolgere asset e processi critici non strettamente connessi all’obiettivo dell’attaccante, e così avere un impatto finanziario e reputazionale esteso su interi gruppi societari.
Si pensi, per esempio, a un Gruppo finanziario che gestisce molteplici aziende in settori diversi come la salute, la produzione e la mobilità.
La fiducia dei clienti, nei vari rami dell’attività, si fonda sul brand del Gruppo stesso e sulla qualità dell’esperienza utente garantita, in particolare nel settore bancario, il suo nucleo principale.
Se un attacco informatico mirato a una di queste compagnie portasse a una fuga di dati e la questione diventasse di dominio pubblico, l’impatto sulla fiducia non si limiterebbe ai clienti dell’entità attaccata, ma si estenderebbe a tutti i clienti del Gruppo, danneggiando la reputazione del brand a livello più ampio, perché l’erosione della fiducia non riguarderebbe esclusivamente i clienti della società oggetto dell’attacco, ma l’intero Gruppo in quanto rappresentativo del brand.
È evidente che ci sono molte variabili che dovrebbero realizzarsi perché lo scenario descritto si concretizzi.
Tuttavia, non si può fare a meno di notare che queste preoccupazioni abbiano iniziato a palesarsi all’interno della comunità cyber, delle best practice e, anche se con toni meno netti, in ambito normativo. Come verrà articolato nella breve analisi che segue, la consapevolezza rispetto ai potenziali ambiti della cyber security sta coinvolgendo progressivamente le prime linee aziendali di tutte le industry.
La dimensione strategica della cyber security
La cyber security sta entrando progressivamente all’interno della dimensione strategica aziendale.
Da un lato, incrementando la propria presenza all’interno delle discussioni nei Board, trasformandosi in una business-issue piuttosto che una technological-issue e, infine, guardando oltreoceano, attraverso gli obblighi di comunicazione degli incidenti di cyber monitoringsecurity da poco entrati in vigore negli USA.
Un trend ragionevole, soprattutto se consideriamo che sempre più aziende modificano, integrano e supportano il loro modello di business con transizioni tecnologiche che coinvolgono tutta l’organizzazione.
Quindi, la cyber security entra a tutti gli effetti come punto ricorrente all’interno delle agende strategiche di Amministratori Delegati e delle prime linee aziendali. Un ambito nato tecnico e spesso considerato di supporto, deve ora entrare nel lessico, nel mind-set e nella capacità gestionale degli executive.
Nella comunità cyber emergono una serie di quesiti: “Come possiamo formulare le linee guida per rappresentare la cyber security con una prospettiva di business? In una traduzione asettica di tematiche tecniche in linguaggio di business, nella costruzione di team ibridi composti da tecnici ed executive, in qualche piano strategico o in un manuale di self-help?”.
La governance della cyber security
Sembra che anche in assenza di tassonomie comuni tra le funzioni specialistiche e quelle di business, di obiettivi strategici cross-industry e di maturità del mercato simili, il corpus di best practice inerente al monitoraggio della cyber security possa fornire degli spunti rilevanti su come “allineare” gli executive rispetto allo stato della cyber security in azienda.
In effetti, il presupposto per indirizzare qualsiasi sviluppo aziendale prevede di essere consapevoli rispetto allo stato as-is dei processi, delle persone e delle tecnologie, questo non è diverso per la cyber security costantemente aggiornati a tutti più livelli aziendali, circa le risposte a questi interrogativi, è funzionale alla governance che, attraverso un rapido sguardo alla normativa, sembra una priorità degli anni avvenire:
- il Digital Operational Resilience Act (DORA) insiste sulla definizione di un quadro per la gestione dei rischi informatici e comprende metodi per affrontare i rischi informatici e conseguire specifici obiettivi definiti nell’ambito della strategia di cyber security;
- il Cybersecurity Framework promuove la governance richiedendo di definire e monitorare “La Strategia, le aspettative e la politica di gestione del rischio di cyber security”;
- ISO/IEC 27001 fornisce un sistema di Gestione della Sicurezza delle Informazioni (ISMS): Il monitoraggio e la misurazione regolari delle prestazioni degli obiettivi sono componenti essenziali per la conformità alla ISO 27001. Infatti, lo standard ISO 27001 richiede alle organizzazioni di stabilire un ISMS, che include il definire obiettivi di sicurezza delle informazioni per migliorare i loro programmi e pratiche. Questi obiettivi devono essere misurabili e allineati con gli obiettivi generali dell’organizzazione;
- NIST Cybersecurity Framework (CSF) incoraggia le organizzazioni a stabilire metriche e indicatori chiave di prestazione (KPI) per misurare le loro prestazioni di cyber security. Una delle sue funzioni principali è la funzione “Misura”, che si concentra sullo stabilire e tracciare metriche di prestazione per valutare l’efficacia delle attività di cyber security;
- Payment Card Industry Data Security Standard (PCI DSS) richiede di stabilire obiettivi di sicurezza e indicatori chiave di prestazione relativi alla protezione dei dati delle carte di pagamento. Il tracciamento e la segnalazione regolari di queste metriche sono essenziali per mantenere la conformità e ridurre il rischio di violazioni dei dati.
Funzione del monitoraggio della cyber security nel supporto alla governance
È utile in primis reperire una definizione di monitoraggio della cyber security per la quale è necessario considerare i tre livelli di riferimento della governance aziendale: strategico, tattico e operativo.
Secondo un approccio bottom-up, partendo dal livello operativo, si possono analizzare i componenti di una metrica, ovvero i dati acquisiti dai vari tool e funzioni aziendali che sulla base di best practice identificate nel NIST e ISACA possono essere sintetizzati come segue:
Tipi di Dati | Descrizione |
|---|---|
Dati Categorici o Nominali | Etichette mutuamente esclusive senza alcun valore numerico, come nomi, professioni, tipi di eventi malevoli e gradi di gravità delle configurazioni di sicurezza. |
Dati Ordinali | Simili ai dati categorici ma con un ordine chiaro. I valori ordinali spesso hanno numeri associati, tuttavia gli intervalli tra di loro sono arbitrari. I dati ordinali includono, per esempio, la data di nascita, le fasce salariali. |
Dati Quantitativi o Numerici | Dati che possono essere misurati e aggregati, come il numero di pazienti in un ospedale, i punteggi di sicurezza di un sistema e il numero di eventi per una località |
La selezione, o la combinazione dei dati presi in esame nelle attività di monitoraggio, sono funzionali alla costruzione di metriche che, a loro volta, dovranno essere considerate in base a criteri specifici come ad esempio quelli definiti dalla metodologia “Pragmatic” di BrotbyW.K.,Hinson G. In “Pragmatic security metrics: applying meta metrics to information security”:
Metodo “Pragmatic” per approcciare le metriche di cybersecurity | Descrizione |
|---|---|
Predittiva | Metrica correlata al risultato. |
Pertinente | Metrica che fornisce informazioni utili alle necessità dell’organizzazione. |
Azionabile | Metrica rappresenta dati che possono essere influenzati. |
Autentica | Metrica fornisce informazioni univoche, chiare, credibili e reali. |
Significativa | Metrica fornisce dati perspicaci per gli utenti previsti. |
Accurata | A seconda delle circostanze, la precisione è meno importante ma deve comunque essere presa in considerazione. |
Tempestiva | La tempestività è spesso associata al ritardo tra la raccolta dei dati e le azioni basate sul rapporto. |
Indipendente | Metrica è una misurazione veritiera, onesta, credibile e oggettiva. |
Economica | Creare e misurare le metriche comporta un costo che deve essere preso in considerazione. |
Sulla base di queste premesse, le metriche possono essere declinate sul livello operativo e tattico sulla base delle indicazioni fornite da varie pubblicazioni nell’ambito del cyber security monitoring fornite dal MITRE, come nell’esempio di seguito:
Obiettivo Tattico | Metriche Operative | |
|---|---|---|
Limitare l’accesso alle risorse in base alla criticità e sensibilità |
| |
Possiamo osservare come al fine di definire un obiettivo tattico venga operata una sintesi funzionale delle metriche operative.
Adottando un approccio più dettagliato rispetto all’analisi della tabella riportata emerge che le metriche sono composte da dati potenzialmente eterogenei messi a fattor comune, di conseguenza al fine di desumere un insight funzionale a livello operativo viene aggiunto un grado di soggettività al monitoraggio della cyber security potenzialmente inficiandone l’efficacia e la precisione analitica.
Le sfide del monitoraggio: la prospettiva di ISACA
Secondo la prospettiva proposta dal Cobit-19 di ISACA si potrebbe osservare che la gestione della cyber security va oltre l’uso di strumenti per la raccolta di dati.
La vera sfida è capire dove focalizzare l’attenzione all’interno di un’organizzazione, tenendo conto di variabili inaspettate che potrebbero alterare l’analisi.
È fondamentale interpretare correttamente le informazioni raccolte e come queste si inseriscono nei processi di gestione aziendale, tematica affrontata largamente dall’area della letteratura scientifica che tratta il process mining.
Questo compito diventa ancora più articolato quando si giunge al livello strategico di comunicazione delle metriche di monitoraggio della cyber security per il quale risulta necessaria la definizione di un vero e proprio modello operativo che si estenda a tutti i settori aziendali, unendo gli aspetti cyber e di business.
Infatti, il COBIT definisce una serie di obiettivi di governance e management che contribuiscono al raggiungimento degli “enterprise goals” ovvero obiettivi cardine dei piani strategici aziendali che risultano più vicini alle priorità executive e che pertanto devono funzionali a informare i decision maker con un lessico e un formato di reporting ad-hoc.
Alcuni enterprise goals riportati nel COBIT che possono fornire delle direttrici sulla formulazione delle metriche di cyber security sono:
- Portfolio of competitive products and services
- Managed business risk
- Compliance with external laws and regulations
- Quality of financial information
- Customer-oriented service culture
- Business service continuity and availability
- Optimization of business process costs
- Managed digital transformation programs
- Product and business innovation
Ognuno degli obiettivi aziendali riportati è supportato da pratiche di governance specifiche e metriche che aiutano a raccogliere informazioni cruciali per valutare se l’obiettivo è stato raggiunto.
Il COBIT-19 adotta un approccio completo, coprendo vari aspetti aziendali e considerando i livelli strategici, tattici e operativi, con un’attenzione particolare agli obiettivi aziendali.
Questa metodologia risulta quindi particolarmente utile per tracciare un filo conduttore che connetta la consapevolezza delle business unit, da quelle tecniche a quelle manageriali e del livello executive, nell’ambito del monitoraggio della sicurezza informatica.
La prospettiva del NIST sul monitoraggio della cyber security
A seguito di questo breve e comunque non esaustivo approfondimento sul supporto fornito da ISACA, è ora utile fare una breve riflessione sull’evoluzione delle best practice inerenti il cyber security monitoring fornite dal NIST.
Di seguito vengono articolate alcune riflessioni derivate dall’analisi preliminare dell’Initial Working Draft della pubblicazione speciale “NIST SP 800-55 revision 2 iwd: Performance Measurement Guide for Information Security”.
Il documento ha l’obiettivo di fornire una guida rispetto alla selezione, lo sviluppo e l’implementazione di misure di sicurezza informatica inerenti alla data collection, l’analisi e il reporting ed è indirizzata a supportare i Chief Information Officer e Chief Information Security Officer.
Nel documento vengono fornite, anche se preliminarmente, le definizioni del lessico di base del cyber security monitoring (e.g. metriche, misurazioni, misure, …) e vengono identificati alcuni fattori chiave che contribuiscono all’efficacia del monitoraggio della cyber security in azienda, in particolare:
- Onboarding dei decision maker principali del management aziendale.
- Policy & Procedure di cybersecurity mature ed implementate.
- Metriche di performance quantificabili.
- Misurazioni e analisi result-oriented.
Questi fattori contribuiscono significativamente allo sviluppo e al mantenimento di un “programma di cyber security monitoring” che implica l’applicazione di misure per il monitoraggio delle prestazioni dei controlli di sicurezza e l’utilizzo dei risultati per avviare azioni di miglioramento.
Secondo quanto illustrato nel documento, l’implementazione del programma prevede sei fasi da implementare ciclicamente per il mantenimento del programma:
- Preparazione alla data collection.
- Acquisizione dei dati ed analisi.
- Definizione del reporting.
- Identificazione delle azioni e degli interventi.
- Sviluppo di un business case e acquisizione risorse per azioni ed interventi.
- Applicazione delle azioni correttive
L’esistenza e la standardizzazione di processi di cyber security monitoring consente l’acquisizione di dati sempre più precisi provenienti da diverse aree dell’organizzazione.
Di conseguenza, il NIST suggerisce una relazione tra la capacità di monitorare la cyber security efficacemente e la maturità aziendale nell’ambito del management organizzativo rispetto alla gestione della sicurezza informatica.
Conclusione
Come introdotto nella prima parte dell’analisi la cyber security sta acquisendo progressivamente un ruolo rilevante nella dimensione strategica delle organizzazioni. Secondo quanto osservato in ambito normativo e nelle best practice, il monitoraggio della performance, di processi, persone e tecnologie è uno strumento funzionale a supportare i decision-maker rispetto alle valutazioni di governance sul raggiungimento degli obiettivi definiti.
Questa analisi aveva come obiettivo la formulazione di alcuni spunti sintetici rispetto al ruolo del monitoraggio della cyber security nel supporto alla governance e agli executive nelle attività di indirizzo e coordinamento aziendale.
È essenziale sottolineare che le considerazioni espresse sono di carattere generale e dovrebbero essere declinate all’interno degli specifici contesti organizzativi.
È importante però notare che un effort di traslazione di misurazioni tecniche in indicatori di performance consultabili e comprensibili anche da stakeholder non tecnici possa avere un impatto significativo indipendentemente dall’industry.
Il monitoraggio della cyber security può in sintesi contribuire al rafforzamento delle funzioni di governance e all’efficientamento dei processi comunicativi da e verso il livello strategico delle organizzazioni.
