Alle grandi violazioni di dati seguono solitamente una serie di dimissioni di alto profilo.
Diversi studi di recente stanno inquadrando l’impatto finanziario degli ultimi cyber attacchi a Sony, Target, JPMorgan e altri. Il gigante giapponese dell’elettronica ha già speso 15 milioni di dollari per la remediation e sta affrontando anche diverse azioni legali da parte degli avvocati. Target ha recentemente rivelato di aver subito un colpo da 162 milioni di dollari e gli esperti di sicurezza ritengono che le perdite potrebbero arrivare a 1 miliardo di dollari contando le spese legali.
In teoria, queste sventure dovrebbero impressionare i responsabili delle aziende circa l’importanza della sicurezza IT. Ma in assenza di un CISO esperto di business che riporta al board e coordina un approccio risk-based per mettere al sicuro i dati sensibili, in futuro ci saranno sempre più vicende come quelle già accadute.
Il caso di Target, quando il furto di dati sensibili mina la credibilità dell’azienda
La violazione di Target, come in molti altri casi, è stata un classico attacco mirato. Il modus operandi varia leggermente tra le diverse violazioni ma solitamente comporta il furto sottotraccia di informazioni aziendali di valore. In questo caso sono stati i dati personali e delle carte di credito dei clienti, sottratti per essere rivenduti al miglior offerente o per essere monetizzati in qualche modo.
Il primo errore di Target è stato quello di non avere in organico un CISO dedicato. È stato un errore che è costato il posto di lavoro al CEO e al CIO e che ha minato la fiducia del pubblico e degli investitori nei confronti dell’azienda.
Abbiamo sentito anche che JPMorgan aveva appena nominato un CSO dedicato, nel momento in cui è stata coinvolta in un attacco più grande. Home Depot, un altro retailer USA colpito l’anno scorso, si era ritrovato ad affrontare un massiccio turnover del suo staff nella divisione sicurezza.
Dall’IT Security all’Information Security
Il fatto di avere un CISO non impedisce a un’azienda di subire una violazione, ma è l’indicatore che i responsabili non prendono la sicurezza abbastanza sul serio. Per sicurezza, intendo ovviamente il termine più ampio di “information security” – ovvero la protezione dei dati chiave di business – piuttosto che la “IT security”, che potrebbe essere interpretata come la disciplina più tecnica di blindare un sistema IT contro gli attacchi.
Se in organico è presente un CISO ma è ai margini e non può parlare il linguaggio del business, c’è un’alta probabilità che l’organizzazione in questione soffra di qualche attacco cyber criminale o di qualche incidente di perdita di dati.
Questo succede perché la parte tecnica vede la sicurezza come un problema IT e non come un rischio di business, nel momento in cui riporta al board. Mi riferisco a tutti gli IT leader che si lamentano del fatto che i budget per la sicurezza vengono ridotti.
Questo succede perché non sono in grado di spiegare abbastanza l’importanza che ha la loro funzione per il business. Quello che succede è un errore comune, il board non apprezza il valore della info-security e l’IT non capisce cosa sta facendo il business.
Il “rischio” secondo il business e l’IT
Il problema è che storicamente i business leader operano secondo il rischio, ovvero assumono un rischio per guadagnare un vantaggio competitivo. Dall’altra parte il team IT è contrario al rischio, e questo spiega perché è spesso visto come un blocco alla produttività, all’agilità di business e alla crescita.
L’importanza delle metriche e di un approccio risk-based
Cosa può fare un CISO ambizioso per comunicare meglio con il board, assicurarsi i finanziamenti e aiutare a prevenire un’altra Target?
Studiare un sistema di metriche è un ottimo punto di partenza. Queste sono utilizzate solitamente dagli executive per capire la spesa, l’esposizione al rischio e l’efficienza operativa dei processi in corso. Le metriche, se ben strutturate, possono aiutare il CISO a presentare al board un foglio di bilancio per le funzioni della sicurezza, che evidenzi dove le spese sono in ritardo e dove gli investimenti devono essere focalizzati.
La chiave è assumere un approccio risk-based. Il volume e la sofisticazione delle minacce oggi suggeriscono che non si può proteggere un’organizzazione da qualsiasi cosa. È compito del CISO valutare gli asset chiave, dare loro un valore e calcolare quanto potrebbe costare al business se fossero compromessi. Questo è il tipo di linguaggio che il business è in grado di capire. È il punto di vista delle persone e dei processi, piuttosto che quello solamente tecnologico con il quale spesso ci fissiamo.
Questo non vuol dire che l’aspetto tecnologico deve essere ignorato. Un buon modo per testare come le difese siano adatte allo scopo è implementare una squadra indipendente che testi la loro efficacia. Si può lavorare con le risorse umane per definire dei parametri e autorizzare poi una squadra di fiducia di hacker etici per fare uno stress test di tutto l’ambiente. I dati ottenuti da questo tipo di esercizio possono dare un importante riscontro per le metriche che abbiamo predisposto.
Il fatto è che i costi delle violazioni di dati stanno crescendo e secondo PwC dal 2013 al 2014 è stato registrato un incremento del 30%. È quindi giunto il momento di nominare un CISO che si intenda anche di business.
*Country Manager Trend Micro Italia