La sicurezza è oggi innegabilmente una priorità a livello globale e lo è anche il conseguente aumento del budget annuale corrispondente. Questa evidenza non spiana però la strada a chi, nel ruolo di CISO, deve comprendere come allocare e giustificare la richiesta di aumento di risorse. Soprattutto oggi che l’emergenza cybersecurity non è l’unica a preoccupare i top manager.
Le complessità derivano dal fatto che il calcolo del ROI per questa voce di budget non è semplice come per le altre, a partire da marketing, vendite, ingegneria e assistenza. A venire in auto al CISO c’è però la cronaca: i casi di violazione dei dati aumentano di minuto in minuto e anche i loro costi. Questo favorisce i CISO nell’ottenere più budget ma, allo stesso tempo, li responsabilizza. Devono spenderlo in modo appropriato.
Come creare una ripartizione del budget per la cybersecurity
A seconda del settore e della tipologia di organizzazione, la quantità di soldi che le aziende spendono per la cybersecurity può variare. Molto impatta anche il loro livello di consapevolezza che però cambia per ogni singolo caso. Questo rende davvero difficile definire a priori un importo o una percentuale che i CISO dovrebbero richiedere. Si possono però indicare cinque leve principali che ogni organizzazione dovrebbe prendere in considerazione quando alloca i proprio budget per la cybersecurity:
- Compliance. Ci sono settori o contesti in cui norme di conformità impongono l’allocazione del budget per la sicurezza. In quello sanitario, per esempio, l’HIPAA definisce i requisiti di privacy e sicurezza dei dati per proteggere le cartelle cliniche e altre informazioni sanitarie personali. Per soddisfarli ed evitare multe potenzialmente pesanti, i CISO sono vincolati a destinare risorse a strumenti e tecnologie specifici come la classificazione dei dati, la crittografia e la gestione del life cycle
- Valutazioni continue dei rischi esistenti. Un atteggiamento proattivo, oggi essenziale, spinge i CISO a monitorare costantemente l’efficacia dei controlli di sicurezza nei vari ambienti per calibrarli di volta in volta rispetto ai vettori di attacco prevalenti. Quando i rischi superano le soglie concordate, i CISO devono valutare la minaccia e discuterne con il management per ottenere ulteriore budget o riallocarlo, oppure alzare i livelli di rischio accettabile. In queste situazioni, tra gli strumenti e i servizi utili ci sono le assicurazioni informatiche, i penetration test, le iniziative di bug bounty e l’incident response.
- Formazione continua sulla sicurezza. Non è più inserita di default nel programma annuale dedicato al personale ma un’azione indispensabile da estendere anche a tutto l’ecosistema di partner e fornitori. Deve essere un impegno costante e realizzata in modo divertente e interattivo, senza mai fare leva sulla paura o sul senso di colpa. La miglior formazione nasce dalla collaborazione tra i CISO e le loro controparti aziendali.
- Nuove iniziative aziendali. Quando viene adottata una nuova iniziativa commerciale è fondamentale valutare se richiede un budget dedicato, per garantire la sicurezza dell’azienda e dei suoi nuovi clienti. Ciò accade, per esempio, quando il marketing esternalizza la creazione di contenuti a un fornitore di terze parti collocata in un altro Paese o l’assistenza clienti decide di archiviare tutti i casi cliente in una piattaforma di cloud storage. Sono entrambi scenari che comportano rischi aggiuntivi da affrontare per il CISO prima che si passi alla loro implementazione.
- Cambio di priorità aziendali. Può accadere per motivi legati alle persone, alla tecnologia o alla monetizzazione. Nel primo caso, come esempio si può citare il passaggio al modello ibrido o, in alcuni casi, al remote working. Entrambi richiedono non banali interventi sulla strategia di cybersecurity. Dall’onboarding e offboarding all’uso di router domestici condivisi, all’archiviazione locale dei dati offline, ai dispositivi personali e alle esigenze di privacy domestica nelle videoconferenze: c’è una nuova sicurezza da implementare e il budget deve essere adeguatamente ricollocato. Per quanto riguarda la tecnologia, ciò che spesso sta avvenendo è il passaggio al cloud o all’ibrido da un unico fornitore o l’outsourcing dell’ingegneria. Si tratta di cambiamenti che richiedono una rivalutazione e una riallocazione del budget.
La quantità di risorse da destinare a ciascuna voce dipende da una serie di fattori. Nuove norme di conformità potrebbero richiedere una maggiore spesa in un particolare anno come accaduto con l’entrata in vigore del GDPR. Anche l’arrivo di un nuovo investitore o di un nuovo CEO può determinare un cambiamento della propensione al rischio dell’azienda, con un conseguente aumento o taglio della spesa per la sicurezza. ll CISO in questo caso si trova a dover rivedere gli importi destinati alle singole voci del budget per la cybersecurity.
6 best practices per il budget della cybersecurity
Il miglior modo per gestire in modo più efficace i budget per la sicurezza è comprendere il presente e prevedere esigenze future. Una sfida dura che il CISO può però affrontare adottando alcune best practices adatte a ogni settore.
- Capire come viene allocato il budget attualmente. Creare un inventario completo dei prodotti e dei servizi esistenti, associando a ciascuno la spesa giornaliera, mensile e annuale. Un task semplice prima del cloud e del modello su abbonamento, oggi meno con il provisioning e la messa in servizio on-demand. Resta però un esercizio fondamentale, da svolgere regolarmente più volte in un anno, non solo quando un contratto sta per scadere.
- Monitorare, monitorare, monitorare. Servono procedure per tenere sotto controllo costantemente l’efficacia degli strumenti e dei servizi di cybersecurity, ma anche dei relativi processi. Potrebbe emergere l’esigenza di riconfigurarli o addirittura disattivarli. Il valore e il rinnovo dei prodotti non possono basarsi solo sull’attività o sulla sua mancanza. Gli strumenti di protezione dal phishing, infatti, possono essere testati ogni giorno, quindi, la loro necessità è ovviamente giustificata. Altri prodotti, come i sistemi di difesa dagli attacchi DDoS o da ransomware, potrebbero restare inutilizzati per mesi o anni. Meglio quindi esaminare le statistiche del proprio settore e i competitor che sono stati colpiti dal cybercrime per decidere se un prodotto o un servizio serve o può essere disattivato. Questa fase di monitoraggio è anche un’opportunità per valutare il passaggio a prodotti o servizi più innovativi o più convenienti.
- Diventare un narratore, un sostenitore e un confidente. Per tutti i colleghi delle varie business unit a cui è richiesto di aumentare l’efficienza e incrementare ricavi ed engagement, il CISO può rappresentare una risorsa preziosa. Potrebbe per esempio realizzare un report completo sui rischi dei prodotti e dei servizi attualmente in uso all’interno di un reparto per far capire ai colleghi gli effetti di un potenziale attacco informatico su tali prodotti o servizi, mostrando anche come ridurne i danni. Un “esercizio” che abilita un approccio più efficiente in termini di costi e lungimirante sia per i CISO che per i loro colleghi.
- Prepararsi all’imprevisto. Il budget per la sicurezza può variare anche a seguito di eventi inattesi come è accaduto con la vulnerabilità di Log4j. Questo caso, che ha fatto il giro del mondo, ha imprevedibilmente ampliato il campo di responsabilità del CISO fino a comprendere le librerie utilizzate e il relativo impatto sulla sicurezza. Ne è derivato in alcuni contesti anche un aumento dei budget per la cybersecurity. Se però i CISO che non si impegnano attivamente a spiegare come e perché viene speso il loro budget, possono essere tra le prime vittime di tagli in caso di riduzione del budget a livello generale.
- Gestire l’impatto sugli stipendi. In un mercato del lavoro molto movimentato come quello della cybersecurity, è difficile trovare professionisti qualificati. La tentazione può essere quella di promettere stipendi elevati per attirare i talenti, ma non è questa la scelta giusta quando è necessario ridurre l’organico per raggiungere obiettivi di riduzione dell’Opex. Tante aziende tendono però a minimizzare l’impatto e quindi il numero di persone interessate “concentrandosi” proprio su quelle con gli stipendi più elevati.
- Trovare e coltivare i talenti. Un modo efficace per reclutare e trattenere i talenti a un costo ragionevole è quello di investire in community di chi già manifesta di voler entrare in azienda o ha intenzione di cambiare carriera. Investire in questi gruppi richiede tempo, budget e sforzi, ma i risultati potrebbero essere significativi e duraturi.
I budget per la cybersecurity aumenteranno o diminuiranno?
La risposta alla grande domanda è naturalmente: “dipende”. Ci sono alcuni fattori che potrebbero avere un impatto sui budget:
- L’effetto pandemia. Il COVID-19 in alcune organizzazioni ha portato allo smart working permanente o a un modello ibrido in continua evoluzione, ancora più impegnativo. Un’altra tendenza è rappresentata dal “Great Resignation”, oltre che dalle continue turbolenze economiche e dal costante rischio di sicurezza legato a dipendenti scontenti. Queste sfide di solito comportano un aumento del budget, poiché il danno reputazionale e finanziario che potrebbero infliggere è notevole.
- Automazione per sostituire o supportare gli esseri umani. La preoccupante carenza di talenti percepita spinge a creare modelli di previsione efficaci basati sull’intelligenza artificiale. Si inizia sempre raccogliendo dati per ottimizzarli. Per esempio, i programmi di threat hunting e bug bounty sono costosi e i ritorni non sono prevedibili. I modelli AI-based possono essere costruiti per durare nel tempo e i budget possono essere gradualmente aumentati man mano che si dimostra la loro efficacia nell’evidenziare e risolvere i problemi.
- Essere narratori efficaci e fornire un contesto. Per ottenere aumenti di budget in modo strategico e ponderato è importante adattare la propria narrazione sulla sicurezza ai diversi interlocutori. Rivolgendosi a un consiglio di amministrazione eterogeneo con rappresentanti provenienti da diversi settori, meglio fornire a ciascuno una “storia” che lo coinvolga. In questo modo, si favorisce una conversazione proficua in caso di violazioni da spiegare o di nuove iniziative per cui richiedere investimenti in cybersecurity.
- Recessione economica. Questa nuova realtà potrebbe avere un impatto negativo immediato e considerevole su qualsiasi budget di sicurezza. Un CISO proattivo e lungimirante si prepara a una flessione economica stilando un elenco di priorità su cosa tagliare in caso di necessità. È una strategia per evitare una riduzione dei costi sotto costrizione.
Oggi esistono una miriade di fattori che possono avere un impatto sul budget della cybersecurity. Esserne consapevoli e conoscere le diverse variabili – dalle nuove minacce informatiche, alle turbolenze economiche, alle innovazioni tecnologiche – garantisce risultati migliori il team di cybersecurity e per l’intera azienda.